Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en User Registration de WordPress (CVE-2024-1290)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 09/05/2025
    El complemento User Registration de WordPress anterior a 2.12 no impide que los usuarios con al menos el rol de colaborador muestren códigos cortos confidenciales, lo que les permite generar y filtrar URL válidas para restablecer contraseñas, que pueden usar para hacerse cargo de cualquier cuenta.
  • Vulnerabilidad en Inline Related Posts de WordPress (CVE-2023-6257)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 09/05/2025
    El complemento Inline Related Posts de WordPress anterior a 3.6.0 no garantiza que el contenido de la publicación mostrado mediante una acción AJAX sea accesible para el usuario, lo que permite que cualquier usuario autenticado, como un suscriptor, recupere el contenido de las publicaciones protegidas con contraseña.
  • Vulnerabilidad en Zoho ManageEngine ADAudit Plus (CVE-2023-49331)
    Severidad: ALTA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 09/05/2025
    Las versiones de Zoho ManageEngine ADAudit Plus inferiores a 7271 permiten la inyección de SQL en la opción de búsqueda de informes agregados.
  • Vulnerabilidad en Zoho ManageEngine ADAudit Plus (CVE-2023-49332)
    Severidad: ALTA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 09/05/2025
    Las versiones de Zoho ManageEngine ADAudit Plus inferiores a 7271 permiten la inyección de SQL al agregar archivos compartidos.
  • Vulnerabilidad en Zoho ManageEngine ADAudit Plus (CVE-2023-49333)
    Severidad: ALTA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 09/05/2025
    Las versiones de Zoho ManageEngine ADAudit Plus inferiores a 7271 permiten la inyección de SQL en la función de gráfico del panel.
  • Vulnerabilidad en Zoho ManageEngine ADAudit Plus (CVE-2023-49334)
    Severidad: ALTA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 09/05/2025
    Las versiones de Zoho ManageEngine ADAudit Plus inferiores a 7271 permiten la inyección de SQL mientras se exporta un informe resumido completo.
  • Vulnerabilidad en Zoho ManageEngine ADAudit Plus (CVE-2023-49335)
    Severidad: ALTA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 09/05/2025
    Las versiones de Zoho ManageEngine ADAudit Plus inferiores a 7271 permiten la inyección de SQL mientras se obtienen detalles del servidor de archivos.
  • Vulnerabilidad en Zoho ManageEngine ADAudit Plus (CVE-2024-21791)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2024
    Fecha de última actualización: 09/05/2025
    Las versiones de Zoho ManageEngine ADAudit Plus inferiores a 7271 permiten la inyección SQL en la opción del historial de bloqueo. Nota: Los usuarios que no sean administradores no pueden aprovechar esta vulnerabilidad.
  • Vulnerabilidad en YesWiki (CVE-2025-24017)
    Severidad: ALTA
    Fecha de publicación: 21/01/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es una wiki sistema escrita en PHP. Las versiones hasta incluida 4.4.5 son vulnerables a que cualquier usuario final manipule un XSS basado en DOM en todas las páginas de YesWiki que se active cuando un usuario haga clic en un enlace malicioso. La vulnerabilidad hace uso de la función de búsqueda por etiqueta. Cuando una etiqueta no existe, la etiqueta se refleja en la página y no se desinfecta correctamente en el lado del servidor, lo que permite a un usuario malicioso generar un enlace que activará un XSS en el lado del cliente cuando se haga clic en él. Esta vulnerabilidad permite a cualquier usuario generar un enlace malicioso que activará una apropiación de cuenta cuando se haga clic en él, lo que permite a un usuario robar otras cuentas, modificar páginas, comentarios, permisos, extraer datos de usuario (correos electrónicos), lo que afecta la integridad, disponibilidad y confidencialidad de una instancia de YesWiki. La versión 4.5.0 contiene un parche para el problema.
  • Vulnerabilidad en YesWiki (CVE-2025-24018)
    Severidad: ALTA
    Fecha de publicación: 21/01/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es una wiki sistema escrita en PHP. En versiones hasta incluida 4.4.5, es posible que un usuario autenticado con derechos para editar/crear una página o comentario active un XSS almacenado que se reflejará en cualquier página donde se cargue el recurso. La vulnerabilidad hace uso de la función de edición de contenido y, más específicamente, del componente `{{attach}}` que permite a los usuarios adjuntar archivos/medios a una página. Cuando se adjunta un archivo utilizando el componente `{{attach}}`, si el recurso contenido en el atributo `file` no existe, entonces el servidor generará un botón de carga de archivo que contiene el nombre del archivo. Esta vulnerabilidad permite que cualquier usuario autenticado malintencionado que tenga derecho a crear un comentario o editar una página pueda robar cuentas y, por lo tanto, modificar páginas, comentarios, permisos, extraer datos de usuario (correos electrónicos), lo que afecta la integridad, disponibilidad y confidencialidad de una instancia de YesWiki. La versión 4.5.0 contiene un parche para el problema.
  • Vulnerabilidad en YesWiki (CVE-2025-24019)
    Severidad: ALTA
    Fecha de publicación: 21/01/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un wiki sistema escrito en PHP. En versiones hasta incluida 4.4.5, es posible que cualquier usuario autenticado, mediante el uso del administrador de archivos, elimine cualquier archivo propiedad del usuario que ejecuta el Administrador de procesos FastCGI (FPM) en el host sin ninguna limitación en el alcance del sistema de archivos. Esta vulnerabilidad permite a cualquier usuario autenticado eliminar contenido del Wiki de forma arbitraria, lo que resulta en la pérdida parcial de datos y la desfiguración/deterioro del sitio web. En el contexto de una instalación de contenedor de YesWiki sin ninguna modificación, los archivos `yeswiki` (por ejemplo .php) no son propiedad del mismo usuario (superusuario) que el que ejecuta el proceso FPM (www-data). Sin embargo, en una instalación estándar, www-data también puede ser el propietario de los archivos PHP, lo que permite a un usuario malintencionado cortar por completo el acceso al wiki eliminando todos los archivos PHP importantes (como index.php o los archivos principales de YesWiki). La versión 4.5.0 contiene un parche para este problema.
  • Vulnerabilidad en Site Reviews de WordPress (CVE-2025-1232)
    Severidad: ALTA
    Fecha de publicación: 19/03/2025
    Fecha de última actualización: 09/05/2025
    El complemento Site Reviews de WordPress anterior a la versión 7.2.5 no depura ni escapa correctamente algunos de sus campos de revisión, lo que podría permitir que usuarios no autenticados realicen ataques XSS almacenado.
  • Vulnerabilidad en YesWiki (CVE-2025-31131)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. El parámetro squelette es vulnerable a ataques de Path Traversal, lo que permite el acceso de lectura a archivos arbitrarios en el servidor. Esta vulnerabilidad se corrigió en la versión 4.5.2.
  • Vulnerabilidad en YesWiki (CVE-2025-46346)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.5.4, se descubrió una vulnerabilidad de cross-site scripting (XSS) almacenado en la función de comentarios de la aplicación. Este problema permite a un actor malicioso inyectar payloads de JavaScript que se almacenan y posteriormente se ejecutan en el navegador de cualquier usuario que vea el comentario afectado. El XSS se produce porque la aplicación no depura ni codifica correctamente la entrada del usuario en los comentarios. Cabe destacar que la aplicación depura o impide la ejecución de las etiquetas `
  • Vulnerabilidad en PHPGurukul Rail Pass Management System 1.0 (CVE-2025-4070)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Rail Pass Management System 1.0. Esta afecta a una parte desconocida del archivo /admin/changeimage.php. La manipulación del argumento editid provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul COVID19 Testing Management System 1.0 (CVE-2025-4071)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul COVID19 Testing Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /test-details.php. La manipulación del argumento "Status" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en YesWiki (CVE-2025-46349)
    Severidad: ALTA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.5.4, YesWiki era vulnerable a XSS reflejado en el formulario de subida de archivos. Esta vulnerabilidad permite a cualquier usuario malintencionado no autenticado crear un enlace en el que la víctima puede hacer clic para realizar acciones arbitrarias. Este problema se ha corregido en la versión 4.5.4.
  • Vulnerabilidad en YesWiki (CVE-2025-46350)
    Severidad: BAJA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.5.4, un atacante podía usar un ataque de cross-site scripting reflejado para robar cookies de un usuario autenticado al hacer que hiciera clic en un enlace malicioso. Las cookies robadas permiten al atacante controlar la sesión del usuario. Esta vulnerabilidad también puede permitir a los atacantes desfigurar el sitio web o incrustar contenido malicioso. Este problema se ha corregido en la versión 4.5.4.
  • Vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0 (CVE-2025-4074)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/pass-bwdates-report.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en YesWiki (CVE-2025-46347)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.5.4, YesWiki era vulnerable a la ejecución remota de código. Una escritura arbitraria en un archivo podía utilizarse para escribir un archivo con extensión PHP, que luego se podía explorar para ejecutar código arbitrario en el servidor, lo que resultaba en una vulnerabilidad total del servidor. Esto podría ser realizado inadvertidamente por un usuario. Este problema se ha corregido en la versión 4.5.4.
  • Vulnerabilidad en PHPGurukul Online Nurse Hiring System 1.0 (CVE-2025-4072)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Online Nurse Hiring System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/edit-nurse.php. La manipulación provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Múltiples parámetros podrían verse afectados.
  • Vulnerabilidad en PHPGurukul Student Record System 3.20 (CVE-2025-4073)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Student Record System 3.20. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /change-password.php. La manipulación del argumento currentpassword provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en YesWiki (CVE-2025-46348)
    Severidad: CRÍTICA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.5.4, la solicitud para iniciar una copia de seguridad del sitio podía ejecutarse y descargarse sin autenticación. Los archivos se crean con un nombre predecible, por lo que un usuario malintencionado podría crear y descargar un archivo sin autenticarse. Esto podría provocar que un atacante realizara numerosas solicitudes para crear archivos y saturar el sistema de archivos, o que descargara el archivo que contiene información confidencial del sitio. Este problema se ha corregido en la versión 4.5.4.
  • Vulnerabilidad en YesWiki (CVE-2025-46549)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.5.4, un atacante podía usar un ataque de cross-site scripting reflejado para robar cookies de un usuario autenticado al hacer que hiciera clic en un enlace malicioso. Las cookies robadas permiten al atacante controlar la sesión del usuario. Esta vulnerabilidad también puede permitir a los atacantes desfigurar el sitio web o incrustar contenido malicioso. Este problema se ha corregido en la versión 4.5.4.
  • Vulnerabilidad en YesWiki (CVE-2025-46550)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.5.4, el endpoint `/?BazaR` y el parámetro `idformulaire` eran vulnerables a ataques de cross-site scripting. Un atacante puede usar un ataque de cross-site scripting reflejado para robar cookies de un usuario autenticado al hacer que haga clic en un enlace malicioso. Las cookies robadas permiten al atacante controlar la sesión del usuario. Esta vulnerabilidad también puede permitir a los atacantes desfigurar el sitio web o incrustar contenido malicioso. Este problema se ha corregido en la versión 4.5.4.
  • Vulnerabilidad en SureForms de WordPress (CVE-2025-3471)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    El complemento SureForms de WordPress anterior a la versión 1.4.4 no tiene una verificación de autorización adecuada al actualizar su configuración a través de la API REST, lo que podría permitir que los roles de Colaborador y superiores realicen dicha acción.
  • Vulnerabilidad en PHPGurukul Timetable Generator System v1.0 (CVE-2025-45007)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el archivo profile.php de PHPGurukul Timetable Generator System v1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código JavaScript arbitrario mediante el parámetro de solicitud POST adminname.
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45020)
    Severidad: ALTA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de inyección SQL en el archivo normal-bwdates-reports-details.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código SQL arbitrario mediante el parámetro "todate" en una solicitud POST.
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45015)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en el archivo foreigner-bwdates-reports-details.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos inyectar código JavaScript arbitrario mediante los parámetros fromdate y todate.
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45017)
    Severidad: CRÍTICA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de inyección SQL en edit-ticket.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario mediante el parámetro de solicitud POST tprice.
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45018)
    Severidad: CRÍTICA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de inyección SQL en el archivo foreigner-bwdates-reports-details.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código SQL arbitrario mediante el parámetro "todate".
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45019)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de inyección SQL en el archivo /add-foreigners-ticket.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario mediante el parámetro de solicitud POST cprice.
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45009)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de inyección HTML en el archivo normal-search.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario mediante el parámetro searchdata.
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45010)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de inyección HTML en el archivo normal-bwdates-reports-details.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario mediante los parámetros de solicitud POST fromdate y todate.
  • Vulnerabilidad en PHPGurukul Park Ticketing Management System v2.0 (CVE-2025-45011)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se descubrió una vulnerabilidad de inyección HTML en el archivo foreigner-search.php de PHPGurukul Park Ticketing Management System v2.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario mediante el parámetro de solicitud POST searchdata.
  • Vulnerabilidad en PHPGurukul Directory Management System v2.0 (CVE-2025-45021)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 09/05/2025
    Se identificó una vulnerabilidad de inyección SQL en el archivo admin/edit-directory.php de PHPGurukul Directory Management System v2.0. Los atacantes pueden explotar esta vulnerabilidad mediante el parámetro de correo electrónico en una solicitud POST para ejecutar comandos SQL arbitrarios.
  • Vulnerabilidad en PHPGurukul COVID19 Testing Management System 1.0 (CVE-2025-4174)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 09/05/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en PHPGurukul COVID19 Testing Management System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /login.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Blood Bank & Donor Management System 2.4 (CVE-2025-4176)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 09/05/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Blood Bank & Donor Management System 2.4, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/request-received-bydonar.php. La manipulación del argumento "searchdata" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Employee Record Management System 1.3 (CVE-2025-4191)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 09/05/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Employee Record Management System 1.3, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /editmyeducation.php. La manipulación del argumento coursepg provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Cyber Cafe Management System 1.0 (CVE-2025-4226)
    Severidad: MEDIA
    Fecha de publicación: 03/05/2025
    Fecha de última actualización: 09/05/2025
    Se ha detectado una vulnerabilidad crítica en PHPGurukul Cyber Cafe Management System 1.0. Esta afecta a una parte desconocida del archivo /add-computer.php. La manipulación del argumento "compname" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Teacher Subject Allocation Management System 1.0 (CVE-2025-4241)
    Severidad: MEDIA
    Fecha de publicación: 03/05/2025
    Fecha de última actualización: 09/05/2025
    Se ha detectado una vulnerabilidad crítica en PHPGurukul Teacher Subject Allocation Management System 1.0. Se ve afectada una función desconocida del archivo /admin/search.php. La manipulación del argumento "searchdata" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Birth Certificate System 2.0 (CVE-2025-4242)
    Severidad: MEDIA
    Fecha de publicación: 03/05/2025
    Fecha de última actualización: 09/05/2025
    Se encontró una vulnerabilidad crítica en PHPGurukul Online Birth Certificate System 2.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/between-dates-report.php. La manipulación del argumento "fromdate" provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en PHPGurukul Art Gallery Management System 1.1 (CVE-2025-4309)
    Severidad: MEDIA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 09/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Art Gallery Management System 1.1. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/add-art-type.php. La manipulación del argumento arttype provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Company Visitor Management System 2.0 (CVE-2025-4332)
    Severidad: MEDIA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 09/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Company Visitor Management System 2.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /visitor-detail.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Company Visitor Management System 2.0 (CVE-2025-4358)
    Severidad: MEDIA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 09/05/2025
    Se ha detectado una vulnerabilidad crítica en PHPGurukul Company Visitor Management System 2.0. Se ve afectada una función desconocida del archivo /admin-profile.php. La manipulación del argumento adminname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.