Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5510)
Severidad: MEDIA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad a través de vectores desconocidos.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5512)
Severidad: MEDIA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad y la integridad a través de vectores desconocidos, una vulnerabilidad diferente a CVE-2016-5521.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5513)
Severidad: MEDIA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad a través de vectores relacionados con File Manager.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5514)
Severidad: ALTA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con ExportServlet.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5515)
Severidad: ALTA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con RMIServlet.
Vulnerabilidad en el componente Oracle GlassFish Server en Oracle Fusion Middleware (CVE-2016-5521)
Severidad: MEDIA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle GlassFish Server en Oracle Fusion Middleware 2.1.1, 3.0.1 y 3.1.2 permite a usuarios remotos autenticados afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con Java Server Faces.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5522)
Severidad: MEDIA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad a través de vectores desconocidos.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5523)
Severidad: ALTA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con AutoVue Java Applet.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5524)
Severidad: MEDIA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad a través de vectores desconocidos, una vulnerabilidad diferente a CVE-2016-5527.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5526)
Severidad: ALTA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con Apache Tomcat.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5527)
Severidad: MEDIA
Fecha de publicación: 25/10/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad a través de vectores desconocidos, una vulnerabilidad diferente a CVE-2016-5524.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3420)
Severidad: MEDIA
Fecha de publicación: 21/04/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3 permite a usuarios remotos autenticados afectar a la confidencialidad e integridad a través de vectores relacionados con Security, una vulnerabilidad distinta a CVE-2016-3431.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3431)
Severidad: MEDIA
Fecha de publicación: 21/04/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3 permite a usuarios remotos autenticados afectar a la confidencialidad e integridad a través de vectores relacionados con Security, una vulnerabilidad distinta a CVE-2016-3420.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3507)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la integridad a través de vectores relacionados con WebClient / Admin.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3509)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad y la integridad a través de vectores relacionados con File Folders / URL Attachment.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3517)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la integridad a través de vectores relacionados con PC / Get Shortcut.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3519)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad y la integridad a través de vectores relacionados con PC / Get Shortcut.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3526)
Severidad: ALTA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad a través de vectores relacionados con SDK, una vulnerabilidad diferente a CVE-2016-3529 y CVE-2016-3560.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3529)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad a través de vectores relacionados con SDK, una vulnerabilidad diferente a CVE-2016-3526 y CVE-2016-3560.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3530)
Severidad: ALTA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la integridad y la disponibilidad a través de vectores relacionados con PGC / Import.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3531)
Severidad: BAJA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad a través de vectores relacionados con PC / Notification.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3537)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad a través de vectores relacionados con File Folders / Attachment, una vulnerabilidad diferente a CVE-2016-5473.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3538)
Severidad: ALTA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la integridad y la disponibilidad a través de vectores relacionados con File Folders / Attachment, una vulnerabilidad diferente a CVE-2016-3539.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3539)
Severidad: ALTA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la integridad y la disponibilidad a través de vectores relacionados con File Folders / Attachment, una vulnerabilidad diferente a CVE-2016-3538.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3553)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad y la integridad a través de vectores relacionados con PC Core.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3554)
Severidad: ALTA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con PC / BOM, MCAD y Design.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3555)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad y la integridad a través de vectores relacionados con PGC / Excel Plugin.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3556)
Severidad: CRÍTICA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con EM Integration.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3557)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad y la integridad a través de vectores relacionados a File Load.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3560)
Severidad: MEDIA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad a través de vectores relacionados con SDK, una vulnerabilidad diferente a CVE-2016-3526 y CVE-2016-3529.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-3561)
Severidad: ALTA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a atacantes remotos afectar la confidencialidad, la integridad y la disponibilidad a través de vectores relacionados con SDK.
Vulnerabilidad en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2016-5473)
Severidad: BAJA
Fecha de publicación: 21/07/2016
Fecha de última actualización: 08/05/2025
Vulnerabilidad no especificada en el componente Oracle Agile PLM en Oracle Supply Chain Products Suite 9.3.4 y 9.3.5 permite a usuarios remotos autenticados afectar la confidencialidad a través de vectores relacionados con File Folders / Attachment, una vulnerabilidad diferente a CVE-2016-3537.
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2017-10093)
Severidad: MEDIA
Fecha de publicación: 08/08/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 5.3 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en PeopleSoft Enterprise FSCM en Oracle PeopleSoft Products (CVE-2017-10299)
Severidad: MEDIA
Fecha de publicación: 19/10/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 4.3 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2017-10052)
Severidad: MEDIA
Fecha de publicación: 08/08/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: PCMServlet). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Agile PLM, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 6.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2017-10080)
Severidad: MEDIA
Fecha de publicación: 08/08/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Agile PLM, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 6.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2017-10082)
Severidad: MEDIA
Fecha de publicación: 08/08/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Agile PLM, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 6.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2017-10088)
Severidad: BAJA
Fecha de publicación: 08/08/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante con muchos privilegios y permisos de inicio de sesión en la infraestructura en la que se ejecuta Oracle Agile PLM comprometa la seguridad de Oracle Agile PLM. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 3.4 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N).
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2017-10092)
Severidad: MEDIA
Fecha de publicación: 08/08/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Agile PLM, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 6.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2017-10094)
Severidad: MEDIA
Fecha de publicación: 08/08/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Agile PLM, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 5.4 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en PeopleSoft Enterprise FSCM en Oracle PeopleSoft Products (CVE-2017-10308)
Severidad: BAJA
Fecha de publicación: 19/10/2017
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Performance). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite el acceso físico, lo que compromete la seguridad de Oracle Agile PLM. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado de actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 3.5 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N).
Vulnerabilidad en Oracle Agile PLM en Oracle Supply Chain Products Suite (CVE-2018-2609)
Severidad: MEDIA
Fecha de publicación: 18/01/2018
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el componente Oracle Agile PLM de Oracle Supply Chain Products Suite (subcomponente: Security). Las versiones compatibles que se han visto afectadas son la 9.3.5 y la 9.3.6. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Agile PLM. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Agile PLM, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Agile PLM, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Base Score 6.1 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Agile PLM de Oracle Supply Chain (CVE-2020-2920)
Severidad: MEDIA
Fecha de publicación: 15/04/2020
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle Agile PLM de Oracle Supply Chain (componente: Security). Las versiones compatibles que están afectadas son 9.3.3, 9.3.5 y 9.3.6. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Agile PLM. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle Agile PLM, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad puedan resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Agile PLM, así como también en el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Agile PLM. CVSS 3.0 Puntuación Base 6.1 (Impactos de la confidencialidad y la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Apache Axis (CVE-2018-8032)
Severidad: MEDIA
Fecha de publicación: 02/08/2018
Fecha de última actualización: 08/05/2025
Apache Axis en versiones 1.x hasta la 1.4 (incluida) es vulnerable a un ataque de Cross-Site Scripting (XSS) en el servlet/services por defecto.
Vulnerabilidad en Apache Axis (CVE-2019-0227)
Severidad: ALTA
Fecha de publicación: 01/05/2019
Fecha de última actualización: 08/05/2025
Una vulnerabilidad de tipo SSRF (Server Side Request Forgery) afectó a la distribución de Apache Axis 1.4 que fue lanzada por última vez en 2006. La seguridad y las confirmaciones de errores continúan en el repositorio de Subversion de Axis 1.x, se anima a los usuarios a construir desde el código fuente. El sucesor de Axis 1.x es Axis2, la última versión es 1.7.9 y no es vulnerable a este problema.
Vulnerabilidad en Terminalfour y Formbank (CVE-2024-22220)
Severidad: MEDIA
Fecha de publicación: 21/02/2024
Fecha de última actualización: 08/05/2025
Se descubrió un problema en Terminalfour 7.4 hasta 7.4.0004 QP3 y 8 hasta 8.3.19, y en Formbank hasta 2.1.10-FINAL. Pueden producirse Cross-Site Scripting Almacenado no autenticadas, con el consiguiente secuestro de sesión de administrador. Los vectores de ataque son Form Builder y Form Preview.
Vulnerabilidad en Ecomiz para PrestaShop (CVE-2024-24309)
Severidad: ALTA
Fecha de publicación: 23/02/2024
Fecha de última actualización: 08/05/2025
En el módulo "Survey TMA" (ecomiz_survey_tma) hasta la versión 2.0.0 de Ecomiz para PrestaShop, un invitado puede descargar información personal sin restricciones.
Vulnerabilidad en Ether Creation (CVE-2024-24310)
Severidad: ALTA
Fecha de publicación: 23/02/2024
Fecha de última actualización: 08/05/2025
En el módulo "Generar código de barras en factura/albarán de entrega" (ecgeneratebarcode) de Ether Creation <= 1.2.0 para PrestaShop, un invitado puede realizar una inyección SQL.
Vulnerabilidad en JoomUnited WP Media (CVE-2024-25909)
Severidad: CRÍTICA
Fecha de publicación: 26/02/2024
Fecha de última actualización: 08/05/2025
Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en la carpeta JoomUnited WP Media. Este problema afecta a la carpeta WP Media: desde n/a hasta 5.7.2.
Vulnerabilidad en Skymoonlabs MoveTo (CVE-2024-25913)
Severidad: CRÍTICA
Fecha de publicación: 26/02/2024
Fecha de última actualización: 08/05/2025
Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en Skymoonlabs MoveTo. Este problema afecta a MoveTo: desde n/a hasta 6.2.
Vulnerabilidad en SYSBASICS WooCommerce Easy Checkout Field Editor, Fees & Discounts (CVE-2024-25925)
Severidad: CRÍTICA
Fecha de publicación: 26/02/2024
Fecha de última actualización: 08/05/2025
Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en SYSBASICS WooCommerce Easy Checkout Field Editor, Fees & Discounts. Este problema afecta a WooCommerce Easy Checkout Field Editor, Fees & Discounts: desde n/a hasta 3.5.12.
Vulnerabilidad en Dynamic Lab Management System en PHP v.1.0 (CVE-2024-22917)
Severidad: ALTA
Fecha de publicación: 27/02/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad de inyección SQL en el proyecto Dynamic Lab Management System en PHP v.1.0 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado.
Vulnerabilidad en HCL Software (CVE-2023-37495)
Severidad: MEDIA
Fecha de publicación: 29/02/2024
Fecha de última actualización: 08/05/2025
Las contraseñas de Internet almacenadas en documentos personales en el directorio de Domino® creado mediante la acción "Agregar persona" en la pestaña Personas y grupos del Administrador de Domino® están protegidas mediante un algoritmo hash criptográficamente débil. Esto podría permitir a los atacantes con acceso al valor hash determinar la contraseña de un usuario, por ejemplo, mediante un ataque de fuerza bruta. Este problema no afecta los documentos personales creados mediante el registro de usuario https://help.hcltechsw.com/domino/10.0.1/admin/conf_userregistration_c.html.
Vulnerabilidad en PrestaShop (CVE-2024-25842)
Severidad: ALTA
Fecha de publicación: 03/03/2024
Fecha de última actualización: 08/05/2025
Se descubrió un problema en el módulo Presta World "Administrador de cuentas - Representante de ventas y distribuidores - CRM" (prestasalesmanager) para PrestaShop anterior a la versión 9.0, que permite a atacantes remotos escalar privilegios y obtener información confidencial a través de los métodos uploadLogo() y postProcess.
Vulnerabilidad en M-Files (CVE-2023-4479)
Severidad: ALTA
Fecha de publicación: 04/03/2024
Fecha de última actualización: 08/05/2025
La vulnerabilidad XSS almacenada en las versiones web de M-Files anteriores a la 23.8 permite a un atacante ejecutar scripts en el navegador de los usuarios a través de un documento HTML almacenado dentro de un período de tiempo limitado.
Vulnerabilidad en IBM Security Verify Privilege On-Premises 11.5 (CVE-2022-43890)
Severidad: MEDIA
Fecha de publicación: 04/03/2024
Fecha de última actualización: 08/05/2025
IBM Security Verify Privilege On-Premises 11.5 podría revelar información confidencial a través de una solicitud HTTP que podría ayudar a un atacante en futuros ataques contra el sistema. ID de IBM X-Force: 240453.
Vulnerabilidad en Online Diagnostic Lab Management System 1.0 (CVE-2024-26492)
Severidad: MEDIA
Fecha de publicación: 07/03/2024
Fecha de última actualización: 08/05/2025
Un problema en Online Diagnostic Lab Management System 1.0 permite a un atacante remoto obtener el control de una cuenta de usuario 'Staff' a través de una solicitud POST manipulada utilizando los parámetros de identificación, correo electrónico, contraseña y cpass.
Vulnerabilidad en MITRE (CVE-2024-27612)
Severidad: MEDIA
Fecha de publicación: 08/03/2024
Fecha de última actualización: 08/05/2025
El editor de Numbas anterior a 7.3 maneja mal la edición de temas y extensiones.
Vulnerabilidad en Related Posts de WordPress (CVE-2024-2444)
Severidad: MEDIA
Fecha de publicación: 06/04/2024
Fecha de última actualización: 08/05/2025
El complemento Related Posts de WordPress en línea anterior a 3.5.0 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de cross-site scripting incluso cuando unfiltered_html no está permitido.
Vulnerabilidad en HCL DRYiCE MyXalytics (CVE-2023-50347)
Severidad: BAJA
Fecha de publicación: 10/04/2024
Fecha de última actualización: 08/05/2025
HCL DRYiCE MyXalytics se ve afectado por una vulnerabilidad de interfaz SQL insegura, que potencialmente le brinda a un atacante la capacidad de ejecutar consultas SQL personalizadas. Un usuario malintencionado puede ejecutar comandos SQL arbitrarios, incluido cambiar la configuración del sistema.
Vulnerabilidad en Ultimate Video Player For WordPress para WordPress (CVE-2024-2428)
Severidad: MEDIA
Fecha de publicación: 10/04/2024
Fecha de última actualización: 08/05/2025
El complemento Ultimate Video Player For WordPress para WordPress anterior a 2.2.3 no tiene una verificación de capacidad adecuada al actualizar su configuración a través de una ruta REST, lo que permite a Contributor y a los usuarios superiores actualizarlos. Además, debido a la falta de escape en una de las configuraciones, esto también les permite realizar ataques XSS almacenados.
Vulnerabilidad en Everest Backup de WordPress (CVE-2023-7201)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento Everest Backup de WordPress anterior a 2.2.5 no valida correctamente la carga de los archivos de copia de seguridad, lo que permite a usuarios con privilegios elevados, como el administrador, cargar archivos arbitrarios en el servidor incluso cuando no se les debería permitir (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Top Bar de WordPress (CVE-2024-1660)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento Top Bar de WordPress anterior a 3.0.5 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Testimonial Slider de WordPress (CVE-2024-1746)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento Testimonial Slider de WordPress anterior a 2.3.8 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en NPS computy de WordPress (CVE-2024-1754)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento NPS computy de WordPress hasta la versión 2.7.5 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en NPS computy WordPress (CVE-2024-1755)
Severidad: ALTA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento NPS computy WordPress hasta la versión 2.7.5 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en WP Customer Reviews de WordPress (CVE-2024-1849)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento WP Customer Reviews de WordPress anterior a 3.7.1 no valida un parámetro que permite a los contribuyentes y usuarios superiores redirigir una página a una URL maliciosa
Vulnerabilidad en Advanced Search de WordPress (CVE-2024-2739)
Severidad: ALTA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento Advanced Search de WordPress hasta la versión 1.1.6 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en Social Share, Social Login and Social Comments Plugin de WordPress (CVE-2024-2836)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento Social Share, Social Login and Social Comments Plugin de WordPress anterior a 7.13.64 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como editores, realizar ataques de cross-site scripting incluso cuando unfiltered_html no está permitido.
Vulnerabilidad en Simple Buttons Creator de WordPress (CVE-2024-2857)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento Simple Buttons Creator de WordPress hasta la versión 1.04 no tiene ninguna autorización ni CSRF en su función de agregar botón, lo que permite a usuarios no autenticados llamarlos directamente o mediante ataques CSRF. Además, debido a la falta de sanitización y escape, también podría permitirles realizar ataques de Cross-Site Scripting Almacenado contra administradores que hayan iniciado sesión.
Vulnerabilidad en Simple Buttons Creator de WordPress (CVE-2024-2858)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 08/05/2025
El complemento Simple Buttons Creator de WordPress hasta la versión 1.04 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en PeopleSoft Enterprise HCM Benefits Administration product of Oracle PeopleSoft (CVE-2024-21063)
Severidad: MEDIA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en PeopleSoft Enterprise HCM Benefits Administration product of Oracle PeopleSoft (componente: Administración de Beneficios). La versión compatible que se ve afectada es la 9.2. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta PeopleSoft Enterprise HCM Benefits Administration para comprometer PeopleSoft Enterprise HCM Benefits Administration. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de PeopleSoft Enterprise HCM Benefits Administration, así como acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de PeopleSoft Enterprise HCM Benefits Administration y capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de PeopleSoft Enterprise HCM Administración de Beneficios. CVSS 3.1 Puntuación base 6.1 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L).
Vulnerabilidad en Oracle Business Intelligence Enterprise Edition de Oracle Analytics (CVE-2024-21064)
Severidad: MEDIA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Analytics (componente: Analytics Web Answers). Las versiones compatibles que se ven afectadas son 7.0.0.0.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle Business Intelligence Enterprise Edition. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en Oracle Business Intelligence Enterprise Edition, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de Oracle Business Intelligence Enterprise Edition, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Puntaje base 5.4 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2024-21065)
Severidad: MEDIA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Workflow). Las versiones compatibles que se ven afectadas son 8.59, 8.60 y 8.61. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer PeopleSoft Enterprise PeopleTools. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.1 Puntaje base 6.1 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Trade Management de Oracle E-Business Suite (CVE-2024-21074)
Severidad: ALTA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle Trade Management de Oracle E-Business Suite (componente: Finance LOV). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Trade Management. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Trade Management. CVSS 3.1 Puntaje base 7.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle Trade Management de Oracle E-Business Suite (CVE-2024-21076)
Severidad: ALTA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle Trade Management de Oracle E-Business Suite (componente: Oferta LOV). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Trade Management. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Trade Management. CVSS 3.1 Puntaje base 7.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle Business Intelligence Enterprise Edition de Oracle Analytics (CVE-2024-21099)
Severidad: MEDIA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Analytics (componente: Visualización de datos). La versión compatible afectada es 7.0.0.0.0. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle Business Intelligence Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Puntaje base 4.3 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle Solaris de Oracle Systems (CVE-2024-21105)
Severidad: BAJA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Utility). La versión compatible que se ve afectada es la 11. Una vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle Solaris para comprometer Oracle Solaris. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Solaris. CVSS 3.1 Base Score 2.0 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21107)
Severidad: MEDIA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. Nota: Esta vulnerabilidad se aplica únicamente a los hosts de Windows. CVSS 3.1 Puntuación base 6,7 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21110)
Severidad: ALTA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. CVSS 3.1 Puntuación base 7.3 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21114)
Severidad: ALTA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 08/05/2025
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. CVSS 3.1 Puntuación base 8,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en Easy Social Feed de WordPress (CVE-2024-1219)
Severidad: MEDIA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 08/05/2025
El complemento Easy Social Feed de WordPress anterior a 6.5.6 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a la página, lo que podría permitir a los usuarios con un rol tan bajo como colaborador realizar ataques de Cross-Site Scripting Almacenado que podrían ser utilizado contra usuarios con privilegios elevados, como el administrador
Vulnerabilidad en Social Media Share Buttons & Social Sharing Icons de WordPress (CVE-2024-2118)
Severidad: MEDIA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 08/05/2025
El complemento Social Media Share Buttons & Social Sharing Icons de WordPress anterior a 2.8.9 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida ( por ejemplo en configuración multisitio)
Vulnerabilidad en Otter Blocks de WordPress (CVE-2024-2729)
Severidad: MEDIA
Fecha de publicación: 18/04/2024
Fecha de última actualización: 08/05/2025
El complemento Otter Blocks de WordPress anterior a 2.6.6 no escapa correctamente del atributo de sus bloques mainHeadings antes de agregarlo al bloque renderizado final, lo que permite a los contribuyentes realizar ataques XSS almacenados.
Vulnerabilidad en Import WP WordPress (CVE-2023-7253)
Severidad: MEDIA
Fecha de publicación: 24/04/2024
Fecha de última actualización: 08/05/2025
El complemento Import WP WordPress anterior a 2.13.1 no impide que los usuarios con función de administrador hagan ping al realizar ataques SSRF, lo que puede ser un problema en configuraciones multisitio.
Vulnerabilidad en Better Comments de WordPress (CVE-2024-2402)
Severidad: MEDIA
Fecha de publicación: 24/04/2024
Fecha de última actualización: 08/05/2025
El complemento Better Comments de WordPress anterior a 1.5.6 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Floating Chat Widget: Contact Chat Icons, WhatsApp, Telegram Chat, Line Messenger, WeChat, Email, SMS, Call Button de WordPress (CVE-2024-2972)
Severidad: BAJA
Fecha de publicación: 24/04/2024
Fecha de última actualización: 08/05/2025
El complemento Floating Chat Widget: Contact Chat Icons, WhatsApp, Telegram Chat, Line Messenger, WeChat, Email, SMS, Call Button de WordPress anterior a 3.1.9 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
Vulnerabilidad en Strong Testimonials de WordPress (CVE-2024-3261)
Severidad: MEDIA
Fecha de publicación: 24/04/2024
Fecha de última actualización: 08/05/2025
El complemento Strong Testimonials de WordPress anterior a 3.1.12 no valida ni escapa algunos de sus campos de testimonios antes de devolverlos a una página/publicación, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado. El ataque requiere que se realice una vista específica.
Vulnerabilidad en Advanced Search de WordPres (CVE-2024-3265)
Severidad: MEDIA
Fecha de publicación: 25/04/2024
Fecha de última actualización: 08/05/2025
El complemento Advanced Search de WordPres hasta la versión 1.1.6 no escapa correctamente a los parámetros agregados a una consulta SQL, lo que hace posible que los usuarios con función de administrador realicen ataques de inyección SQL en el contexto de configuraciones de WordPress multisitio.
Vulnerabilidad en Fancy Product Designer de WordPress (CVE-2024-0905)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 08/05/2025
El complemento Fancy Product Designer de WordPress anterior a 6.1.8 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios no autenticados y de nivel administrador.
Vulnerabilidad en Social Sharing Plugin de WordPress (CVE-2024-2159)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 08/05/2025
El complemento Social Sharing Plugin de WordPress anterior a 3.3.61 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado.
Vulnerabilidad en WP Google Review Slider de WordPress (CVE-2024-2310)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 08/05/2025
El complemento WP Google Review Slider de WordPress anterior a 13.6 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Call Now Button de WordPress (CVE-2024-2908)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 08/05/2025
El complemento Call Now Button de WordPress anterior a 1.4.7 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en GamiPress WordPress (CVE-2024-2505)
Severidad: ALTA
Fecha de publicación: 29/04/2024
Fecha de última actualización: 08/05/2025
El mecanismo de control de acceso del complemento GamiPress WordPress anterior a 6.8.9 no restringe adecuadamente el acceso a su configuración, lo que permite a los autores manipular solicitudes y extender el acceso a usuarios con privilegios más bajos, como suscriptores, a pesar de que la configuración inicial prohíbe dicho acceso. Esta vulnerabilidad se asemeja a un control de acceso roto, lo que permite a usuarios no autorizados modificar el complemento crítico de GamiPress WordPress antes de las configuraciones 6.8.9.
Vulnerabilidad en Geo Controller WordPress (CVE-2024-3591)
Severidad: MEDIA
Fecha de publicación: 01/05/2024
Fecha de última actualización: 08/05/2025
El complemento Geo Controller WordPress anterior a 8.6.5 deserializa la entrada del usuario a través de algunas de sus acciones AJAX y rutas API REST, lo que podría permitir a usuarios no autenticados realizar inyección de objetos PHP cuando hay un gadget adecuado presente en el blog.
Vulnerabilidad en Float menu de WordPress (CVE-2024-2405)
Severidad: MEDIA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Float menu de WordPress anterior a 6.0.1 no tiene verificación CSRF en sus acciones masivas, lo que podría permitir a los atacantes hacer que el administrador registrado elimine un menú arbitrario a través de un ataque CSRF.
Vulnerabilidad en Button Generator de WordPress (CVE-2024-3471)
Severidad: BAJA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Button Generator de WordPress anterior a 3.0 no tiene activada la verificación CSRF durante la eliminación masiva, lo que podría permitir a los atacantes crear botones de eliminación de un administrador que haya iniciado sesión a través de un ataque CSRF.
Vulnerabilidad en Modal Window de WordPress (CVE-2024-3472)
Severidad: MEDIA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Modal Window de WordPress anterior a 5.3.10 no tiene activada la verificación CSRF cuando se eliminan modales de forma masiva, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los elimine mediante un ataque CSRF.
Vulnerabilidad en Sticky Buttons de WordPress (CVE-2024-3475)
Severidad: ALTA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Sticky Buttons de WordPress anterior a 3.2.4 no tiene comprobaciones CSRF en algunas acciones masivas, lo que podría permitir a los atacantes hacer que los administradores registrados realicen acciones no deseadas, como eliminar botones mediante ataques CSRF.
Vulnerabilidad en Side Menu Lite de WordPress (CVE-2024-3476)
Severidad: ALTA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Side Menu Lite de WordPress anterior a 4.2.1 no tiene comprobaciones CSRF en algunas acciones masivas, lo que podría permitir a los atacantes hacer que los administradores que han iniciado sesión realicen acciones no deseadas, como eliminar botones mediante ataques CSRF.
Vulnerabilidad en Popup Box de WordPress (CVE-2024-3477)
Severidad: MEDIA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Popup Box de WordPress anterior a 2.2.7 no tiene comprobaciones CSRF en algunas acciones masivas, lo que podría permitir a los atacantes hacer que los administradores registrados realicen acciones no deseadas, como eliminar ventanas emergentes mediante ataques CSRF.
Vulnerabilidad en Herd Effects de WordPress (CVE-2024-3478)
Severidad: MEDIA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Herd Effects de WordPress anterior a 5.2.7 no tiene comprobaciones CSRF en algunas acciones masivas, lo que podría permitir a los atacantes hacer que los administradores que han iniciado sesión realicen acciones no deseadas, como eliminar efectos mediante ataques CSRF.
Vulnerabilidad en Counter Box de WordPress (CVE-2024-3481)
Severidad: MEDIA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 08/05/2025
El complemento Counter Box de WordPress anterior a 1.2.4 no tiene comprobaciones CSRF en algunas acciones masivas, lo que podría permitir a los atacantes hacer que los administradores que han iniciado sesión realicen acciones no deseadas, como eliminar contadores mediante ataques CSRF.
Vulnerabilidad en Responsive Contact Form Builder & Lead Generation Plugin WordPress (CVE-2024-3637)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 08/05/2025
El complemento Responsive Contact Form Builder & Lead Generation Plugin WordPress hasta la versión 1.8.9 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo en configuración multisitio)
Vulnerabilidad en Gutenverse WordPress (CVE-2024-3692)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 08/05/2025
El complemento Gutenverse WordPress anterior a 1.9.1 no valida la opción htmlTag en varios de sus bloques antes de devolverlo a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado
Vulnerabilidad en Fancy Product Designer de WordPress (CVE-2024-0904)
Severidad: MEDIA
Fecha de publicación: 06/05/2024
Fecha de última actualización: 08/05/2025
El complemento Fancy Product Designer de WordPress anterior a 6.1.81 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en la configuración de multisitio).
Vulnerabilidad en Crelly Slider de WordPress (CVE-2024-3752)
Severidad: MEDIA
Fecha de publicación: 06/05/2024
Fecha de última actualización: 08/05/2025
El complemento Crelly Slider de WordPress hasta la versión 1.4.5 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en wp-cart-for-digital-products de WordPress (CVE-2024-6133)
Severidad: MEDIA
Fecha de publicación: 12/08/2024
Fecha de última actualización: 08/05/2025
El complemento wp-cart-for-digital-products de WordPress anterior a 8.5.6 no desinfecta ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
Vulnerabilidad en wp-cart-for-digital-products de WordPress (CVE-2024-6134)
Severidad: MEDIA
Fecha de publicación: 12/08/2024
Fecha de última actualización: 08/05/2025
El complemento wp-cart-for-digital-products de WordPress anterior a 8.5.6 no desinfecta ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
Vulnerabilidad en wp-cart-for-digital-products de WordPress (CVE-2024-6136)
Severidad: MEDIA
Fecha de publicación: 12/08/2024
Fecha de última actualización: 08/05/2025
El complemento wp-cart-for-digital-products de WordPress anterior a 8.5.6 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en HackerOne (CVE-2024-39718)
Severidad: ALTA
Fecha de publicación: 07/09/2024
Fecha de última actualización: 08/05/2025
Una vulnerabilidad de validación de entrada incorrecta que permite a un usuario con pocos privilegios eliminar de forma remota archivos del sistema con permisos equivalentes a los de la cuenta de servicio.
Vulnerabilidad en Autodesk FBX (CVE-2023-7298)
Severidad: MEDIA
Fecha de publicación: 09/12/2024
Fecha de última actualización: 08/05/2025
Un archivo FBX creado con fines malintencionados, cuando se analiza a través del SDK de Autodesk FBX, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Revit (CVE-2024-11268)
Severidad: MEDIA
Fecha de publicación: 09/12/2024
Fecha de última actualización: 08/05/2025
Un archivo PDF manipulado con fines malintencionados, al analizarse mediante Autodesk Revit, puede forzar una lectura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo o una pérdida de memoria arbitraria.
Vulnerabilidad en Autodesk Revit (CVE-2024-11454)
Severidad: ALTA
Fecha de publicación: 09/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DLL manipulado con fines malintencionados, al colocarse en el mismo directorio que un archivo RVT, podría ser cargado por Autodesk Revit y ejecutar código arbitrario en el contexto del proceso actual debido al uso de un parche de búsqueda no confiable.
Vulnerabilidad en Ultimate Blocks para WordPress (CVE-2024-10678)
Severidad: MEDIA
Fecha de publicación: 13/12/2024
Fecha de última actualización: 08/05/2025
El complemento Ultimate Blocks para WordPress anterior a la versión 3.2.4 no valida ni escapa algunas de sus opciones de bloque antes de mostrarlas nuevamente en una página o publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques Cross-Site Scripting almacenado.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-11422)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12178)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, al analizarse mediante Autodesk Navisworks, puede provocar una vulnerabilidad de corrupción de memoria. Un actor malintencionado puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12179)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, se puede utilizar para provocar una vulnerabilidad de desbordamiento basada en montón. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12191)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12192)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWF manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12193)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12194)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, al analizarse mediante Autodesk Navisworks, puede provocar una vulnerabilidad de corrupción de memoria. Un actor malintencionado puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12197)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12198)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12199)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12200)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12669)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, se puede utilizar para provocar una vulnerabilidad de desbordamiento basada en montón. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12670)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWF manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, se puede utilizar para provocar una vulnerabilidad de desbordamiento basado en el montón. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Navisworks (CVE-2024-12671)
Severidad: ALTA
Fecha de publicación: 17/12/2024
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines malintencionados, cuando se analiza a través de Autodesk Navisworks, puede provocar una vulnerabilidad de escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, provocar daños en los datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en WPForms de WordPress (CVE-2024-11223)
Severidad: MEDIA
Fecha de publicación: 26/12/2024
Fecha de última actualización: 08/05/2025
El complemento WPForms de WordPress anterior a 1.9.2.3 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Form Maker de 10Web para WordPress (CVE-2024-10562)
Severidad: BAJA
Fecha de publicación: 07/01/2025
Fecha de última actualización: 08/05/2025
El complemento Form Maker de 10Web para WordPress anterior a la versión 1.15.31 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Email Subscribers de Icegram Express de WordPress (CVE-2024-11636)
Severidad: MEDIA
Fecha de publicación: 13/01/2025
Fecha de última actualización: 08/05/2025
El complemento Email Subscribers de Icegram Express de WordPress anterior a la versión 5.7.45 no desinfecta ni escapa a algunas de sus opciones de bloque de texto, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Appointment Booking Calendar Plugin and Scheduling Plugin de WordPress (CVE-2024-12274)
Severidad: ALTA
Fecha de publicación: 13/01/2025
Fecha de última actualización: 08/05/2025
El complemento Appointment Booking Calendar Plugin and Scheduling Plugin de WordPress anterior a la versión 1.1.23 exporta datos a una carpeta pública, con un nombre de archivo fácilmente adivinable, lo que permite a atacantes no autenticados acceder a los archivos exportados (si existen).
Vulnerabilidad en Email Subscribers de Icegram Express de WordPress (CVE-2024-12566)
Severidad: MEDIA
Fecha de publicación: 13/01/2025
Fecha de última actualización: 08/05/2025
El complemento Email Subscribers de Icegram Express de WordPress anterior a la versión 5.7.45 no desinfecta ni escapa a algunas configuraciones de formulario, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Email Subscribers by Icegram Express de WordPress (CVE-2024-12567)
Severidad: MEDIA
Fecha de publicación: 13/01/2025
Fecha de última actualización: 08/05/2025
El complemento Email Subscribers by Icegram Express de WordPress anterior a la versión 5.7.45 no desinfecta ni escapa de algunas de las configuraciones de su formulario, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Email Subscribers de Icegram Express para WordPress (CVE-2024-12568)
Severidad: MEDIA
Fecha de publicación: 13/01/2025
Fecha de última actualización: 08/05/2025
El complemento Email Subscribers de Icegram Express para WordPress anterior a la versión 5.7.45 no desinfecta ni escapa a algunas de sus configuraciones de flujo de trabajo, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en WP Customer Area de WordPress (CVE-2024-12280)
Severidad: MEDIA
Fecha de publicación: 27/01/2025
Fecha de última actualización: 08/05/2025
El complemento WP Customer Area de WordPress hasta la versión 8.2.4 no tiene una verificación CSRF activada al eliminar sus registros, lo que podría permitir a los atacantes iniciar sesión para eliminarlos a través de un ataque CSRF.
Vulnerabilidad en WP Customer Area de WordPress (CVE-2024-12436)
Severidad: MEDIA
Fecha de publicación: 27/01/2025
Fecha de última actualización: 08/05/2025
El complemento WP Customer Area de WordPress hasta la versión 8.2.4 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios registrados realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en Tandoor Recipes (CVE-2025-23213)
Severidad: ALTA
Fecha de publicación: 28/01/2025
Fecha de última actualización: 08/05/2025
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. La función de carga de archivos permite cargar archivos arbitrarios, incluida html y svg. Ambos pueden contener contenido malicioso (XSS payloads). Esta vulnerabilidad se solucionó en la versión 1.5.28.
Vulnerabilidad en Tandoor Recipes (CVE-2025-23211)
Severidad: CRÍTICA
Fecha de publicación: 28/01/2025
Fecha de última actualización: 08/05/2025
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. Una vulnerabilidad SSTI de Jinja2 permite a cualquier usuario ejecutar comandos en el servidor. En el caso del archivo Docker Compose proporcionado como superusuario. Esta vulnerabilidad se solucionó en la versión 1.5.24.
Vulnerabilidad en Tandoor Recipes (CVE-2025-23212)
Severidad: ALTA
Fecha de publicación: 28/01/2025
Fecha de última actualización: 08/05/2025
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. La función de almacenamiento externo permite a cualquier usuario enumerar el nombre y el contenido de los archivos en el servidor. Esta vulnerabilidad se solucionó en la versión 1.5.28.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26594)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró una falla de use-after-free en X.Org y Xwayland. El cursor raíz se referencia en el servidor X como una variable global. Si un cliente libera el cursor raíz, la referencia interna apunta a la memoria liberada y provoca un use-after-free.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26595)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró una falla de desbordamiento de búfer en X.Org y Xwayland. El código en XkbVModMaskText() asigna un búfer de tamaño fijo en la pila y copia los nombres de los modificadores virtuales en ese búfer. El código no verifica los límites del búfer y copia los datos independientemente del tamaño.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26596)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró una falla de desbordamiento de búfer en X.Org y Xwayland. El cálculo de la longitud en XkbSizeKeySyms() difiere de lo que está escrito en XkbWriteKeySyms(), lo que puede provocar un desbordamiento de búfer en el búfer.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26597)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró una falla de desbordamiento de búfer en X.Org y Xwayland. Si se llama a XkbChangeTypesOfKey() con un grupo 0, cambiará el tamaño de la tabla de símbolos de teclas a 0, pero dejará las acciones de teclas sin cambios. Si luego se llama a la misma función con un valor de grupos distinto de cero, esto provocará un desbordamiento de búfer porque las acciones de teclas tienen un tamaño incorrecto.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26598)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró una falla de escritura fuera de los límites en X.Org y Xwayland. La función GetBarrierDevice() busca el dispositivo puntero en función de su ID de dispositivo y devuelve el valor coincidente, o supuestamente NULL, si no se encuentra ninguna coincidencia. Sin embargo, el código devolverá el último elemento de la lista si no se encuentra ninguna ID de dispositivo coincidente, lo que puede provocar un acceso a la memoria fuera de los límites.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26599)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró un error en el acceso a un puntero no inicializado en X.Org y Xwayland. La función compCheckRedirect() puede fallar si no puede asignar el mapa de píxeles de respaldo. En ese caso, compRedirectWindow() devolverá un error BadAlloc sin validar el árbol de ventanas marcado justo antes, lo que deja los datos validados parcialmente inicializados y el uso de un puntero no inicializado más adelante.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26600)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró una falla de use-after-free en X.Org y Xwayland. Cuando se elimina un dispositivo mientras aún está congelado, los eventos en cola para ese dispositivo permanecen mientras se libera el dispositivo. La reproducción de los eventos provocará un use-after-free.
Vulnerabilidad en X.Org y Xwayland (CVE-2025-26601)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 08/05/2025
Se encontró una falla de use-after-free en X.Org y Xwayland. Al cambiar una alarma, los valores de la máscara de cambio se evalúan uno tras otro, cambiando los valores de activación según lo solicitado y, finalmente, se llama a SyncInitTrigger(). Si uno de los cambios activa un error, la función regresará antes, sin agregar el nuevo objeto de sincronización, lo que posiblemente cause un use-after-free cuando finalmente se active la alarma.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-1954)
Severidad: MEDIA
Fecha de publicación: 04/03/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /login.php. La manipulación del argumento username provoca una inyección SQL. El ataque se puede ejecutar de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0 (CVE-2025-2051)
Severidad: MEDIA
Fecha de publicación: 07/03/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /search-visitor.php. La manipulación del argumento searchdata conduce a una inyección SQL. El ataque puede iniciarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0 (CVE-2025-2052)
Severidad: MEDIA
Fecha de publicación: 07/03/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0 y se ha clasificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo /forgot-password.php. La manipulación del argumento contactno provoca una inyección SQL. El ataque puede iniciarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0 (CVE-2025-2053)
Severidad: MEDIA
Fecha de publicación: 07/03/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /visitor-detail.php. La manipulación del argumento editid provoca una inyección SQL. Es posible lanzar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Emergency Ambulance Hiring Portal 1.0 (CVE-2025-2057)
Severidad: MEDIA
Fecha de publicación: 07/03/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Emergency Ambulance Hiring Portal 1.0. Se trata de una función desconocida del archivo /admin/about-us.php. La manipulación del argumento pagedes provoca una inyección SQL. Es posible lanzar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Emergency Ambulance Hiring Portal 1.0 (CVE-2025-2058)
Severidad: MEDIA
Fecha de publicación: 07/03/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Emergency Ambulance Hiring Portal 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/search.php. La manipulación del argumento searchdata conduce a una inyección SQL. El ataque se puede ejecutar de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1427)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo CATPRODUCT manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de variable no inicializada. Un agente malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1428)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo CATPART manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de lectura fuera de los límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1429)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo MODEL manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1430)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo SLDPRT manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede generar una vulnerabilidad de corrupción de memoria. Un agente malicioso puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1431)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo SLDPRT manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de lectura fuera de los límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1432)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo 3DM manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede generar una vulnerabilidad de uso después de la liberación. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1433)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo MODEL manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de lectura fuera de los límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1649)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo CATPRODUCT manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de variable no inicializada. Un agente malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1650)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo CATPRODUCT manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de variable no inicializada. Un agente malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1651)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo MODEL manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk AutoCAD (CVE-2025-1652)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 08/05/2025
Un archivo MODEL manipulado con fines maliciosos, al analizarse mediante Autodesk AutoCAD, puede forzar una vulnerabilidad de lectura fuera de los límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-2371)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 08/05/2025
Se encontró una vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Se ha clasificado como problemática. Este problema afecta a una funcionalidad desconocida del archivo /registered-user-testing.php del componente "Registered Mobile Number Search". La manipulación del argumento "regmobilenumber" provoca cross site scripting. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-2372)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 08/05/2025
Se ha detectado una vulnerabilidad crítica en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Esta afecta a una parte desconocida del archivo /password-recovery.php del componente Password Recovery Page. La manipulación del argumento "nombre de usuario" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-2373)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 08/05/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /check_availability.php. La manipulación del argumento mobnumber/employeeid provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-2374)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /profile.php. La manipulación del argumento `aid/adminname/mobilenumber/email` provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-2375)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 08/05/2025
Se encontró una vulnerabilidad clasificada como problemática en PHPGurukul Human Metapneumovirus Testing Management System 1.0. La vulnerabilidad afecta a una función desconocida del archivo /profile.php del componente Admin Profile Page. La manipulación del argumento "email" provoca ataques de cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Dell SmartFabric OS10 Software (CVE-2024-49561)
Severidad: ALTA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 08/05/2025
Dell SmartFabric OS10 Software, versiones 10.5.4.x, 10.5.5.x, 10.5.6.x y 10.6.0.x, contiene una vulnerabilidad de asignación incorrecta de privilegios. Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que provocaría una elevación de privilegios.
Vulnerabilidad en Tenda W6_S v1.0.0.4_510 (CVE-2025-28221)
Severidad: ALTA
Fecha de publicación: 28/03/2025
Fecha de última actualización: 08/05/2025
Tenda W6_S v1.0.0.4_510 tiene una vulnerabilidad de desbordamiento de búfer en la función set_local_time, que permite a atacantes remotos provocar un bloqueo del servidor web a través del parámetro time pasado al binario mediante una solicitud POST.
Vulnerabilidad en PHPGurukul e-Diary Management System 1.0 (CVE-2025-3006)
Severidad: MEDIA
Fecha de publicación: 31/03/2025
Fecha de última actualización: 08/05/2025
Se encontró una vulnerabilidad en PHPGurukul e-Diary Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /edit-category.php?id=8. La manipulación del argumento "Categoría" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Autodesk (CVE-2025-1658)
Severidad: ALTA
Fecha de publicación: 01/04/2025
Fecha de última actualización: 08/05/2025
Un archivo DWFX complemento con fines maliciosos, al analizarse mediante Autodesk Navisworks, puede forzar una vulnerabilidad de lectura fuera de los límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk (CVE-2025-1659)
Severidad: ALTA
Fecha de publicación: 01/04/2025
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines maliciosos, al analizarse mediante Autodesk Navisworks, puede forzar una vulnerabilidad de lectura fuera de los límites. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk (CVE-2025-1660)
Severidad: ALTA
Fecha de publicación: 01/04/2025
Fecha de última actualización: 08/05/2025
Un archivo DWFX manipulado con fines maliciosos, al analizarse mediante Autodesk Navisworks, puede generar una vulnerabilidad de corrupción de memoria. Un agente malicioso puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en PHPGurukul e-Diary Management System 1.0 (CVE-2025-3216)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 08/05/2025
Se encontró una vulnerabilidad en PHPGurukul e-Diary Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /password-recovery.php. La manipulación del argumento username/contactno provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul e-Diary Management System 1.0 (CVE-2025-3217)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 08/05/2025
Se encontró una vulnerabilidad en PHPGurukul e-Diary Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /registration.php. La manipulación del argumento emailid provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul e-Diary Management System 1.0 (CVE-2025-3220)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 08/05/2025
Se encontró una vulnerabilidad en PHPGurukul e-Diary Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /dashboard.php. La manipulación del argumento "Categoría" provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Autodesk (CVE-2025-1273)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 08/05/2025
Un archivo PDF manipulado con fines maliciosos, al vincularse o importarse a aplicaciones de Autodesk, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk (CVE-2025-1274)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 08/05/2025
Un archivo RCS manipulado con fines maliciosos, al analizarse mediante Autodesk Revit, puede forzar una vulnerabilidad de escritura fuera de los límites. Un agente malicioso podría aprovechar esta vulnerabilidad para provocar un bloqueo, dañar datos o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk (CVE-2025-1275)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 08/05/2025
Un archivo JPG manipulado con fines maliciosos, al vincularse o importarse a ciertas aplicaciones de Autodesk, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk (CVE-2025-1277)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 08/05/2025
Un archivo PDF manipulado con fines maliciosos, al analizarse mediante aplicaciones de Autodesk, puede generar una vulnerabilidad de corrupción de memoria. Un agente malicioso puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk (CVE-2025-1656)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 08/05/2025
Un archivo PDF manipulado con fines maliciosos, al vincularse o importarse a aplicaciones de Autodesk, puede generar una vulnerabilidad de desbordamiento basado en montón. Un agente malicioso puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Autodesk Revit (CVE-2025-2497)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 08/05/2025
Un archivo DWG manipulado con fines maliciosos, al analizarse mediante Autodesk Revit, puede causar una vulnerabilidad de desbordamiento de búfer basado en pila. Un agente malicioso puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del proceso actual.
Vulnerabilidad en Libraw (CVE-2025-43961)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
En Libraw antes de 0.21.4, Metadata/Tiff.cpp tiene un fuera de los límites Leer en el analizador de etiqueta FUJIFILM 0XF00C.
Vulnerabilidad en Libraw (CVE-2025-43962)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
En Libraw antes de 0.21.4, Phase_One_Correct en decoders/load_mfbacks.cpp tiene fuera de los límites lectura para el procesamiento de la etiqueta 0x412, relacionado con valores W0 o W1 grandes o los cálculos FRAC y multiplicados.
Vulnerabilidad en Libraw (CVE-2025-43963)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
En Libraw antes de 0.21.4, Phase_One_Correct en decoders/load_mfbacks.cpp permite el acceso fuera del búfer porque los valores split_col y split_row no se verifican en el procesamiento de etiquetas 0x041f.
Vulnerabilidad en Libraw (CVE-2025-43964)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
En Libraw antes de 0.21.4, la etiqueta 0x412 procesa en fase_one_correct en decoders/load_mfbacks.cpp no ??hace cumplir los valores mínimos de W0 y W1.
Vulnerabilidad en Libheif (CVE-2025-43966)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
Libheif antes de 1.19.6 tiene un puntero NULL Derferencia en ImageItem_iden en Image-Items/Iden.cc.
Vulnerabilidad en Libheif (CVE-2025-43967)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
Libheif antes de 1.19.6 tiene un puntero nulo desreferencia en imageItem_grid :: get_decoder en Image-Items/Grid.cc porque una imagen de la cuadrícula puede hacer referencia a un elemento de imagen inexistente.
Vulnerabilidad en GOBGP (CVE-2025-43970)
Severidad: MEDIA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
Se descubrió un problema en GOBGP antes de 3.35.0. PKG/Packet/MRT/MRT.GO no verifica correctamente la longitud de entrada, por ejemplo, asegurando que haya 12 bytes o 36 bytes (dependiendo de la familia de direcciones).
Vulnerabilidad en GOBGP (CVE-2025-43971)
Severidad: ALTA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
Se descubrió un problema en GOBGP antes de 3.35.0. PKG/PACKET/BGP/BGP.GO permite a los atacantes causar un pánico a través de un valor cero para SoftwareVersionLen.
Vulnerabilidad en GOBGP (CVE-2025-43972)
Severidad: MEDIA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
Se descubrió un problema en GOBGP antes de 3.35.0. Un atacante puede causar un bloqueo en el PKG/Packet/BGP/BGP.GO FLOWSPEC PARSER enviando menos de 20 bytes en cierto contexto.
Vulnerabilidad en GOBGP (CVE-2025-43973)
Severidad: MEDIA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 08/05/2025
Se descubrió un problema en GOBGP antes de 3.35.0. PKG/PACKET/RTR/RTR.GO no verifica que la longitud de entrada corresponde a una situación en la que todos los bytes están disponibles para un mensaje RTR.
Vulnerabilidad en Commvault Command Center Innovation Release (CVE-2025-34028)
Severidad: CRÍTICA
Fecha de publicación: 22/04/2025
Fecha de última actualización: 08/05/2025
Una vulnerabilidad de path traversal en Commvault Command Center Innovation Release permite que un agente no autenticado cargue archivos ZIP que, al ser expandidos por el servidor objetivo, provocan la ejecución remota de código. Este problema afecta a Command Center Innovation Release: 11.38.
Vulnerabilidad en MediaTek, Inc. (CVE-2025-20666)
Severidad: ALTA
Fecha de publicación: 05/05/2025
Fecha de última actualización: 08/05/2025
En Modem, existe un posible fallo del sistema debido a una excepción no detectada. Esto podría provocar una denegación de servicio remota si un UE se conecta a una estación base no autorizada controlada por el atacante, sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para su explotación. ID de parche: MOLY00650610; ID de problema: MSV-2933.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-4303)
Severidad: MEDIA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 08/05/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /add-phlebotomist.php. La manipulación del argumento empid provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.