Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en parámetros extra en la URL en el plugin MailPoet para WordPress (CVE-2019-11843)
Severidad: MEDIA
Fecha de publicación: 02/06/2020
Fecha de última actualización: 28/05/2025
El plugin MailPoet versiones anteriores a 3.23.2 para WordPress, permite a atacantes remotos inyectar script web o HTML arbitrario usando parámetros extra en la URL (un XSS Server-Side Reflexivo).
Vulnerabilidad en OpenId Connect de Jenkins (CVE-2023-50771)
Severidad: MEDIA
Fecha de publicación: 13/12/2023
Fecha de última actualización: 28/05/2025
El complemento de autenticación OpenId Connect de Jenkins 2.6 y versiones anteriores determina incorrectamente que una URL de redireccionamiento después de iniciar sesión apunta legítimamente a Jenkins, lo que permite a los atacantes realizar ataques de phishing.
Vulnerabilidad en Tenda A301 15.13.08.12_multi_TDE01 (CVE-2024-4291)
Severidad: ALTA
Fecha de publicación: 27/04/2024
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en Tenda A301 15.13.08.12_multi_TDE01. Ha sido calificada como crítica. Este problema afecta la función formAddMacfilterRule del archivo /goform/setBlackRule. La manipulación del argumento lista de dispositivos conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-262223. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en TOTOLINK EX1800T (CVE-2024-34257)
Severidad: CRÍTICA
Fecha de publicación: 08/05/2024
Fecha de última actualización: 28/05/2025
TOTOLINK EX1800T V9.1.0cu.2112_B20220316 tiene una vulnerabilidad en el parámetro apcliEncrypType que permite la ejecución no autorizada de comandos arbitrarios, permitiendo a un atacante obtener privilegios de administrador del dispositivo.
Vulnerabilidad en langchain-ai/langchainjs 0.2.5 (CVE-2024-7774)
Severidad: CRÍTICA
Fecha de publicación: 29/10/2024
Fecha de última actualización: 28/05/2025
Existe una vulnerabilidad de path traversal en el método `getFullPath` de la versión 0.2.5 de langchain-ai/langchainjs. Esta vulnerabilidad permite a los atacantes guardar archivos en cualquier parte del sistema de archivos, sobrescribir archivos de texto existentes, leer archivos `.txt` y eliminar archivos. La vulnerabilidad se explota a través de los métodos `setFileContent`, `getParsedFile` y `mdelete`, que no desinfectan adecuadamente la entrada del usuario.
Vulnerabilidad en Tenda AC6V2 (CVE-2024-52272)
Severidad: ALTA
Fecha de publicación: 04/12/2024
Fecha de última actualización: 28/05/2025
Vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en Shenzhen Tenda Technology Co Tenda AC6V2 (fromAdvSetLanip(overflow arg:lanMask) modules) permite desbordamientos de búfer. Este problema afecta a Tenda AC6V2: hasta 15.03.06.50
Vulnerabilidad en Tenda AC6V2 (CVE-2024-52273)
Severidad: ALTA
Fecha de publicación: 04/12/2024
Fecha de última actualización: 28/05/2025
Vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en los módulos Shenzhen Tenda Technology Co Tenda AC6V2 (setDoublePppoeConfig->guest_ip_check(overflow arg: mask) permite desbordamientos de búfer. Este problema afecta a Tenda AC6V2: hasta 15.03.06.50
Vulnerabilidad en Tenda AC6V2 (CVE-2024-52274)
Severidad: ALTA
Fecha de publicación: 04/12/2024
Fecha de última actualización: 28/05/2025
Vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en los módulos Shenzhen Tenda Technology Co Tenda AC6V2 (setDoubleL2tpConfig->guest_ip_check(overflow arg: mask). Permite desbordamientos de búfer. Este problema afecta a Tenda AC6V2: hasta 15.03.06.50
Vulnerabilidad en Tenda AC6V2 (CVE-2024-52275)
Severidad: ALTA
Fecha de publicación: 04/12/2024
Fecha de última actualización: 28/05/2025
Vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en Shenzhen Tenda Technology Co Tenda AC6V2 (desde los módulos WizardHandle) permite desbordamientos de búfer. Este problema afecta a Tenda AC6V2: hasta el 15.03.06.50.
Vulnerabilidad en Tenda (CVE-2025-0528)
Severidad: ALTA
Fecha de publicación: 17/01/2025
Fecha de última actualización: 28/05/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en Tenda AC8, AC10 y AC18 16.03.10.20. Este problema afecta a una funcionalidad desconocida del archivo /goform/telnet del componente HTTP Request Handler. La manipulación conduce a la inyección de comandos. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
Vulnerabilidad en MITRE (CVE-2024-51139)
Severidad: CRÍTICA
Fecha de publicación: 27/02/2025
Fecha de última actualización: 28/05/2025
Vulnerabilidad de desbordamiento de búfer en Vigor2620/LTE200 3.9.8.9 y anteriores y Vigor2860/2925 3.9.8 y anteriores y Vigor2862/2926 3.9.9.5 y anteriores y Vigor2133/2762/2832 3.9.9 y anteriores y Vigor165/166 4.2.7 y anteriores y Vigor2135/2765/2766 4.4.5.1 y anteriores y Vigor2865/2866/2927 4.4.5.3 y anteriores y Vigor2962/3910 4.3.2.8/4.4.3.1 y anteriores y Vigor3912 4.3.6.1 y anteriores permite a un atacante remoto ejecutar código arbitrario a través de la gestión del analizador CGI de "Content-Length". encabezado de solicitudes HTTP POST.
Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.3 (CVE-2025-2050)
Severidad: MEDIA
Fecha de publicación: 07/03/2025
Fecha de última actualización: 28/05/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul User Registration & Login and User Management System 3.3. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /login.php. La manipulación del argumento email conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Zucchetti Ad Hoc Infinity 2.4 (CVE-2024-51320)
Severidad: MEDIA
Fecha de publicación: 11/03/2025
Fecha de última actualización: 28/05/2025
La vulnerabilidad de cross site scripting en Zucchetti Ad Hoc Infinity 2.4 permite que un atacante autenticado logre la ejecución remota de código a través de los componentes /servlet/gsdm_fsave_htmltmp y /servlet/gsdm_btlk_openfile.
Vulnerabilidad en Zucchetti Ad Hoc Infinity 2.4 (CVE-2024-51321)
Severidad: ALTA
Fecha de publicación: 11/03/2025
Fecha de última actualización: 28/05/2025
En Zucchetti Ad Hoc Infinity 2.4, una verificación incorrecta del parámetro m_cURL permite a un atacante redirigir a la víctima a un sitio web controlado por el atacante después de la autenticación.
Vulnerabilidad en DigitalDruid HotelDruid v.3.0.7 (CVE-2025-25747)
Severidad: MEDIA
Fecha de publicación: 11/03/2025
Fecha de última actualización: 28/05/2025
La vulnerabilidad de cross site scripting en DigitalDruid HotelDruid v.3.0.7 permite a un atacante ejecutar código arbitrario y obtener información confidencial a través del parámetro ripristina_backup en el endpoint crea_backup.php
Vulnerabilidad en SourceCodester Online Food Ordering System 2.0 (CVE-2025-2387)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en SourceCodester Online Food Ordering System 2.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/ajax.php?action=add_to_cart. La manipulación del argumento pid provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Blood Bank Management System 1.0 (CVE-2025-2389)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en code-projects Blood Bank Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/add_city.php. La manipulación provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Blood Bank Management System 1.0 (CVE-2025-2391)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects Blood Bank Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /admin/admin_login.php del componente Página de Inicio de Sesión de Administrador. La manipulación provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Online Class and Exam Scheduling System 1.0 (CVE-2025-2392)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Online Class and Exam Scheduling System 1.0. Este problema afecta a un procesamiento desconocido del archivo /pages/activate.php. La manipulación del argumento id provoca una inyección SQL. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Gutentor de WordPress (CVE-2025-1986)
Severidad: MEDIA
Fecha de publicación: 01/04/2025
Fecha de última actualización: 28/05/2025
El complemento Gutentor de WordPress anterior a la versión 3.4.7 no depura ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL.
Vulnerabilidad en WonderCMS 3.5.0 (CVE-2025-3123)
Severidad: MEDIA
Fecha de publicación: 02/04/2025
Fecha de última actualización: 28/05/2025
Una vulnerabilidad, que se clasificó como crítica, se ha encontrado en WonderCMS 3.5.0. Afectado por este problema, se encuentra la función InstallUpDateModuleaction de la instalación de instalación/complemento del tema del componente. La manipulación conduce a una carga sin restricciones. El ataque puede ser lanzado de forma remota. Se ha hecho público el exploit y puede que sea utilizado. La verdadera existencia de esta vulnerabilidad todavía se duda en este momento. El proveedor explica que "[la] filosofía siempre ha sido, administrador [...] responsable de no instalar temas/complementos de fuentes no confiables".
Vulnerabilidad en PyTorch 2.6.0 (CVE-2025-3136)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 28/05/2025
Se ha encontrado una vulnerabilidad clasificada como problemática en PyTorch 2.6.0. Este problema afecta a la función torch.cuda.memory.caching_allocator_delete del archivo c10/cuda/CUDACachingAllocator.cpp. La manipulación provoca corrupción de memoria. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-3160)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad en Open Asset Import Library Assimp 5.4.3, clasificada como problemática. Esta vulnerabilidad afecta a la función Assimp::SceneCombiner::AddNodeHashes del archivo code/Common/SceneCombiner.cpp del componente File Handler. La manipulación provoca lecturas fuera de los límites. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado. El parche se identifica como a0993658f40d8e13ff5823990c30b43c82a5daf0. Se recomienda aplicar un parche para solucionar este problema.
Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-3196)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en Open Asset Import Library Assimp 5.4.3. La función Assimp::MD2Importer::InternReadFile en la librería code/AssetLib/MD2/MD2Loader.cpp del componente Malformed File Handler se ve afectada. La manipulación del argumento Name provoca un desbordamiento del búfer en la pila. El ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado. Se recomienda actualizar el componente afectado.
Vulnerabilidad en code-projects Patient Record Management System 1.0 (CVE-2025-3209)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en code-projects Patient Record Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /add_patient.php. La manipulación del argumento itr_no provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-3236)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en Tenda FH1202 1.2.0.14(408). Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /goform/VirSerDMZ del componente Interfaz de Administración Web. La manipulación genera controles de acceso inadecuados. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-3237)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en Tenda FH1202 1.2.0.14(408). Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /goform/wrlwpsset. La manipulación genera controles de acceso inadecuados. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en TOTOLINK A6000R 1.0.1-B20201211.2000 (CVE-2025-3249)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en TOTOLINK A6000R 1.0.1-B20201211.2000. Esta vulnerabilidad afecta la función apcli_cancel_wps del archivo /usr/lib/lua/luci/controller/mtkwifi.lua. La manipulación provoca la inyección de comandos. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en AutoGPT (CVE-2025-31494)
Severidad: BAJA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 28/05/2025
AutoGPT es una plataforma que permite a los usuarios crear, implementar y gestionar agentes continuos de inteligencia artificial que automatizan flujos de trabajo complejos. La API WebSocket de la plataforma AutoGPT transmitía actualizaciones de ejecución de nodos a los suscriptores según graph_id+graph_version. Además, no existía ninguna comprobación que impidiera a los usuarios suscribirse con graph_id+graph_version de otro usuario. Como resultado, las actualizaciones de ejecución de nodos de la ejecución gráfica de un usuario podían ser recibidas por otro usuario dentro de la misma instancia. Esta vulnerabilidad no se produce entre diferentes instancias ni entre usuarios y no usuarios de la plataforma. Las instancias de un solo usuario no se ven afectadas. En instancias privadas con una lista blanca de usuarios, el impacto se ve limitado por el hecho de que todos los posibles destinatarios no deseados de estas actualizaciones de ejecución de nodos deben haber sido admitidos por el administrador. Esta vulnerabilidad se corrigió en la versión 0.6.1.
Vulnerabilidad en PyTorch (CVE-2025-32434)
Severidad: CRÍTICA
Fecha de publicación: 18/04/2025
Fecha de última actualización: 28/05/2025
PyTorch es un paquete de Python que proporciona computación tensorial con una potente aceleración de GPU y redes neuronales profundas basadas en un sistema de autogradación basado en cinta. En la versión 2.5.1 y anteriores, existía una vulnerabilidad de ejecución remota de comandos (RCE) en PyTorch al cargar un modelo usando torch.load con weights_only=True. Este problema se ha corregido en la versión 2.6.0.
Vulnerabilidad en PHPGurukul Men Salon Management System 1.0 (CVE-2025-3796)
Severidad: MEDIA
Fecha de publicación: 18/04/2025
Fecha de última actualización: 28/05/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Men Salon Management System 1.0. Esta afecta a una parte desconocida del archivo /admin/contact-us.php. La manipulación del argumento pagetitle/pagedes/email/mobnumber/timing provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en croogo v.3.0.2 (CVE-2024-29643)
Severidad: CRÍTICA
Fecha de publicación: 18/04/2025
Fecha de última actualización: 28/05/2025
Un problema en croogo v.3.0.2 permite a un atacante realizar una inyección de encabezado de host a través del componente feed.rss.
Vulnerabilidad en WP-Syntax para WordPress (CVE-2024-13926)
Severidad: ALTA
Fecha de publicación: 19/04/2025
Fecha de última actualización: 28/05/2025
El complemento WP-Syntax para WordPress hasta la versión 1.2 no gestiona adecuadamente la entrada, lo que permite que un atacante cree una publicación que contenga una gran cantidad de etiquetas, explotando así un problema de retroceso catastrófico en el procesamiento de expresiones regulares para provocar un DoS.
Vulnerabilidad en VirtueMart (CVE-2025-25228)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 28/05/2025
Una inyección SQL en el componente VirtueMart 1.0.0 - 4.4.7 para Joomla permite a atacantes autenticados (administrador) ejecutar comandos SQL arbitrarios en el área de administración de productos en el backend.
Vulnerabilidad en open-webui v0.5.16 (CVE-2025-29446)
Severidad: BAJA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 28/05/2025
open-webui v0.5.16 es vulnerable a SSRF en routers/ollama.py en la función verify_connection.
Vulnerabilidad en laskBlog v2.6.1 (CVE-2025-28103)
Severidad: MEDIA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 28/05/2025
El control de acceso incorrecto en laskBlog v2.6.1 permite a los atacantes eliminar arbitrariamente cuentas de usuario a través de una solicitud manipulada específicamente para ello.
Vulnerabilidad en laskBlog v2.6.1 (CVE-2025-28104)
Severidad: CRÍTICA
Fecha de publicación: 21/04/2025
Fecha de última actualización: 28/05/2025
El control de acceso incorrecto en laskBlog v2.6.1 permite a los atacantes acceder a todos los nombres de usuario a través de una entrada manipulada específicamente para ello.
Vulnerabilidad en Codeastro Bus Ticket Booking System v1.0 (CVE-2025-25777)
Severidad: ALTA
Fecha de publicación: 24/04/2025
Fecha de última actualización: 28/05/2025
La Referencia Directa a Objetos (IDOR) insegura en Codeastro Bus Ticket Booking System v1.0 permite el acceso no autorizado a los perfiles de usuario. Al manipular el ID de usuario en la URL, un atacante puede acceder al perfil de otro usuario sin la debida autenticación ni verificación de autorización.
Vulnerabilidad en TOTOLINK N150RT 3.4.0-B20190525 (CVE-2025-3996)
Severidad: MEDIA
Fecha de publicación: 28/04/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en TOTOLINK N150RT 3.4.0-B20190525. Se ha clasificado como problemática. Este problema afecta a una funcionalidad desconocida del archivo /home.htm del componente MAC Filtering Page. La manipulación del argumento "Comentario" provoca ataques de cross site scripting. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Netgear JWNR2000v2 1.0.0.11 (CVE-2025-4114)
Severidad: ALTA
Fecha de publicación: 30/04/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en Netgear JWNR2000v2 1.0.0.11. La función check_language_file está afectada. La manipulación del argumento host provoca un desbordamiento del búfer. Es posible ejecutar el ataque de forma remota. Se contactó con el proveedor con antelación para informarle sobre esta vulnerabilidad, pero no respondió.
Vulnerabilidad en D-Link DIR-816 A2V1.1.0B05 (CVE-2025-44835)
Severidad: MEDIA
Fecha de publicación: 01/05/2025
Fecha de última actualización: 28/05/2025
Se descubrió que D-Link DIR-816 A2V1.1.0B05 contenía una inyección de comando en iptablesWebsFilterRun, que permite a atacantes remotos ejecutar comandos arbitrarios a través del shell.
Vulnerabilidad en DataEase (CVE-2025-46566)
Severidad: MEDIA
Fecha de publicación: 01/05/2025
Fecha de última actualización: 28/05/2025
DataEase es una herramienta de inteligencia empresarial (BI) de código abierto alternativa a Tableau. Antes de la versión 2.10.9, los usuarios autenticados podían completar RCE mediante el enlace JDBC del backend. Este problema se ha corregido en la versión 2.10.9.
Vulnerabilidad en code-projects Patient Record Management System 1.0 (CVE-2025-4197)
Severidad: MEDIA
Fecha de publicación: 02/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en code-projects Patient Record Management System 1.0. Se ve afectada una función desconocida del archivo /edit_xpatient.php. La manipulación del argumento lastname provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en SureForms para WordPress (CVE-2025-3513)
Severidad: BAJA
Fecha de publicación: 02/05/2025
Fecha de última actualización: 28/05/2025
El complemento SureForms para WordPress anterior a la versión 1.4.4 no depura ni escapa de algunas de sus configuraciones de formulario, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en SureForms para WordPress (CVE-2025-3514)
Severidad: BAJA
Fecha de publicación: 02/05/2025
Fecha de última actualización: 28/05/2025
El complemento SureForms para WordPress anterior a la versión 1.4.4 no depura ni escapa de algunas de sus configuraciones de formulario, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en code-projects Nero Social Networking Site 1.0 (CVE-2025-4250)
Severidad: MEDIA
Fecha de publicación: 04/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en code-projects Nero Social Networking Site 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /index.php. La manipulación del argumento fname/lname/login/password2/cpassword/address/cnumber/email/gender/propic/month provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGURUKUL Vehicle Parking Management System v1.13 (CVE-2025-45885)
Severidad: CRÍTICA
Fecha de publicación: 09/05/2025
Fecha de última actualización: 28/05/2025
PHPGURUKUL Vehicle Parking Management System v1.13 es vulnerable a la inyección SQL en el archivo /vpms/users/login.php. Los atacantes pueden inyectar código malicioso desde el parámetro 'emailcont' y usarlo directamente en consultas SQL.
Vulnerabilidad en LyLme Spage 2.1 (CVE-2025-4543)
Severidad: MEDIA
Fecha de publicación: 11/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en LyLme Spage 2.1. Esta afecta a una parte desconocida del archivo lylme_spage/blob/master/admin/ajax_link.php. La manipulación del argumento sort provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en iOS y iPadOS (CVE-2025-31214)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 28/05/2025
Este problema se solucionó mejorando la gestión del estado. Este problema se solucionó en iOS 18.5 y iPadOS 18.5. Un atacante con una posición privilegiada en la red podría interceptar el tráfico de red.
Vulnerabilidad en watchOS, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y Safari (CVE-2025-31215)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 28/05/2025
El problema se solucionó mejorando las comprobaciones. Este problema está corregido en watchOS 11.5, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado del proceso.
Vulnerabilidad en SourceCodester Best Employee Management System V1.0 (CVE-2025-44184)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 28/05/2025
SourceCodester Best Employee Management System V1.0 es vulnerable a Cross Site Scripting (XSS) en /admin/profile.php a través de los parámetros website_image, fname, lname, contact, username y address.
Vulnerabilidad en PHPGurukul Cyber Cafe Management System 1.0 (CVE-2025-4695)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en PHPGurukul Cyber Cafe Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /add-users.php. La manipulación del argumento uadd provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Phpgurukul Vehicle Record Management System v1.0 (CVE-2025-44180)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Phpgurukul Vehicle Record Management System v1.0 es vulnerable a Cross-Site Scripting (XSS) en /edit-brand.php?bid={brandId}.
Vulnerabilidad en Phpgurukul Vehicle Record Management System v1.0 (CVE-2025-44183)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Phpgurukul Vehicle Record Management System v1.0 es vulnerable a Cross Site Scripting (XSS) en /admin/profile.php a través de los parámetros de nombre, correo electrónico y móvil.
Vulnerabilidad en PHPGurukul Directory Management System 2.0 (CVE-2025-4698)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en PHPGurukul Directory Management System 2.0. Esta afecta a una parte desconocida del archivo /admin/forget-password.php. La manipulación del argumento "email" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0 (CVE-2025-4699)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Apartment Visitors Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /admin/visitors-form.php. La manipulación del argumento "Category" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Phpgurukul Vehicle Record Management System v1.0 (CVE-2025-44181)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Phpgurukul Vehicle Record Management System v1.0 es vulnerable a Cross-Site Scripting (XSS) en /admin/add-brand.php a través del parámetro de nombre de marca.
Vulnerabilidad en Phpgurukul Vehicle Record Management System v1.0 (CVE-2025-44182)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Phpgurukul Vehicle Record Management System v1.0 es vulnerable a ataques de Cross-Site Scripting (XSS) mediante el nombre del vehículo, el número de modelo, el número de registro, el subtipo del vehículo, el número de chasis y el número de motor en el componente /admin/edit-vehicle.php. Esto permite a los atacantes ejecutar código arbitrario.
Vulnerabilidad en SourceCodester Best Employee Management System V1.0 (CVE-2025-44185)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
SourceCodester Best Employee Management System V1.0 es vulnerable a Cross Site Request Forgery (CSRF) en /admin/change_pass.php a través del parámetro de contraseña.
Vulnerabilidad en PHPGurukul Cyber Cafe Management System 1.0 (CVE-2025-4696)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en PHPGurukul Cyber Cafe Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /search.php. La manipulación del argumento "searchdata" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Directory Management System 2.0 (CVE-2025-4697)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en PHPGurukul Directory Management System 2.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/edit-directory.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Vehicle Parking Management System 1.13 (CVE-2025-4702)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Vehicle Parking Management System 1.13. Se ve afectada una función desconocida del archivo /admin/add-category.php. La manipulación del argumento catename provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Vehicle Parking Management System 1.13 (CVE-2025-4703)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Vehicle Parking Management System 1.13, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/admin-profile.php. La manipulación del argumento contactnumber provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Vehicle Parking Management System 1.13 (CVE-2025-4704)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en PHPGurukul Vehicle Parking Management System 1.13, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/edit-category.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en projectworlds Online Examination System 1.0 (CVE-2025-4706)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en projectworlds Online Examination System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /Procedure3b_yearwiseVisit.php. La manipulación del argumento Visit_year provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4707)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /pages/transaction_add.php. La manipulación del argumento prod_name provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4708)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en Campcodes Sales and Inventory System 1.0. Se ve afectada una función desconocida del archivo /pages/sales_add.php. La manipulación del argumento "discount" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Vehicle Parking Management System 1.13 (CVE-2025-4705)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en PHPGurukul Vehicle Parking Management System 1.13. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/view-incomingvehicle-detail.php. La manipulación del argumento viewid provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4709)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad crítica en Campcodes Sales and Inventory System 1.0. Esta vulnerabilidad afecta una funcionalidad desconocida del archivo /pages/transaction_del.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4710)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en Campcodes Sales and Inventory System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /pages/transaction.php. La manipulación del argumento cid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en illi Link Party! de WordPress (CVE-2023-7228)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento illi Link Party! de WordPress, hasta la versión 1.0, no depura ni escapa algunos parámetros, lo que podría permitir que visitantes no autenticados realicen ataques de Cross-Site Scripting.
Vulnerabilidad en Prisna GWT para WordPress (CVE-2024-12679)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Prisna GWT para WordPress anterior a la versión 1.4.14 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Prisna GWT para WordPress (CVE-2024-12680)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Prisna GWT para WordPress anterior a la versión 1.4.14 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Icegram Engage para WordPress (CVE-2024-13482)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Icegram Engage para WordPress anterior a la versión 3.1.32 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Icegram Engage para WordPress (CVE-2024-13486)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Icegram Engage para WordPress anterior a la versión 3.1.32 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Z-Downloads para WordPress (CVE-2024-8673)
Severidad: CRÍTICA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Z-Downloads para WordPress anterior a la versión 1.11.7 no valida correctamente los archivos cargados, lo que permite cargar SVG que contienen JavaScript malicioso.
Vulnerabilidad en Z-Downloads de WordPress (CVE-2024-8699)
Severidad: ALTA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Z-Downloads de WordPress anterior a la versión 1.11.5 no valida correctamente los archivos cargados, lo que permite que usuarios con privilegios elevados, como el administrador, carguen archivos arbitrarios en el servidor incluso cuando no deberían tener permiso para hacerlo (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Z-Downloads para WordPress (CVE-2024-8703)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Z-Downloads para WordPress anterior a la versión 1.11.6 no depura ni escapa algunos parámetros al mostrarlos en la página, lo que podría permitir a visitantes no autenticados realizar ataques de Cross-Site Scripting al acceder a URL compartidas.
Vulnerabilidad en EKC Tournament Manager de WordPress (CVE-2024-9709)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento EKC Tournament Manager de WordPress anterior a la versión 2.2.2 no tiene la verificación CSRF activada al actualizar sus configuraciones, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión las cambie mediante un ataque CSRF.
Vulnerabilidad en EKC Tournament Manager de WordPress (CVE-2024-9711)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento EKC Tournament Manager de WordPress anterior a la versión 2.2.2 no tiene la verificación CSRF activada al actualizar sus configuraciones, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión las cambie mediante un ataque CSRF.
Vulnerabilidad en EKC Tournament Manager de WordPress (CVE-2024-9765)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento EKC Tournament Manager de WordPress anterior a la versión 2.2.2 permite que un administrador que haya iniciado sesión descargue archivos del sistema fuera del directorio de WordPress
Vulnerabilidad en Spiritual Gifts Survey de WordPress (CVE-2025-0687)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Spiritual Gifts Survey (and optional S.H.A.P.E survey) de WordPress hasta la versión 0.9.10 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que solo se puede usar contra usuarios no autenticados.
Vulnerabilidad en Spiritual Gifts Survey de WordPress (CVE-2025-0688)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
El complemento Spiritual Gifts Survey (and optional S.H.A.P.E survey) de WordPress hasta la versión 0.9.10 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que solo se puede usar contra usuarios no autenticados.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4718)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /pages/customer_add.php. La manipulación del argumento last provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4719)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /pages/cash_transaction.php. La manipulación del argumento cid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4735)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /pages/product.php. La manipulación del argumento "Picture" permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en projectworlds Hospital Database Management System 1.0 (CVE-2025-4739)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en projectworlds Hospital Database Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /medicines_info.php. La manipulación del argumento Med_ID provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4741)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /pages/purchase_add.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Employee Record System 1.0 (CVE-2025-4743)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects Employee Record System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /dashboard/getData.php. La manipulación de las palabras clave del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Employee Record System 1.0 (CVE-2025-4744)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad clasificada como problemática en code-projects Employee Record System 1.0. Este problema afecta a una funcionalidad desconocida del archivo dashboard\edit_employee.php. La manipulación del argumento "employed_id/first_name/middle_name/last_name" provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Employee Record System 1.0 (CVE-2025-4745)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como problemática en code-projects Employee Record System 1.0. Esta afecta a una parte desconocida del archivo current_employees.php. La manipulación del argumento "employed_id/first_name/middle_name/last_name" provoca ataques de cross-site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester/oretnom23 Stock Management System 1.0 (CVE-2025-4806)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester/oretnom23 Stock Management System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /admin/?page=back_order/view_bo. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Student Clearance System 1.0 (CVE-2025-4807)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como problemática en SourceCodester Online Student Clearance System 1.0. Esta afecta a una parte desconocida. La manipulación permite la exposición de información a través de listados de directorios. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4814)
Severidad: MEDIA
Fecha de publicación: 17/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /pages/supplier_add.php. La manipulación del argumento "Name" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en MultiVendorX – WooCommerce Multivendor Marketplace Solutions para WordPress (CVE-2025-4101)
Severidad: MEDIA
Fecha de publicación: 17/05/2025
Fecha de última actualización: 28/05/2025
El complemento MultiVendorX – WooCommerce Multivendor Marketplace Solutions para WordPress es vulnerable a la pérdida no autorizada de datos debido a una comprobación de capacidad mal configurada en la función "delete_fpm_product" en todas las versiones hasta la 4.2.22 incluida. Esto permite a atacantes autenticados, con acceso de Colaborador o superior, eliminar entradas, páginas, archivos adjuntos y productos arbitrarios. La vulnerabilidad se corrigió parcialmente en la versión 4.2.22.
Vulnerabilidad en LibreNMS (CVE-2025-47931)
Severidad: BAJA
Fecha de publicación: 17/05/2025
Fecha de última actualización: 28/05/2025
LibreNMS es un software de monitorización de red basado en PHP/MySQL/SNMP. LibreNMS v25.4.0 y versiones anteriores presenta una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el parámetro `group name` del formato `http://localhost/poller/groups`. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en páginas web visitadas por otros usuarios. LibreNMS v25.5.0 incluye un parche para solucionar este problema.
Vulnerabilidad en Projectworlds Life Insurance Management System 1.0 (CVE-2025-4836)
Severidad: MEDIA
Fecha de publicación: 17/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en Projectworlds Life Insurance Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /deleteAgent.php. La manipulación del argumento `agent_id` provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en projectworlds Student Project Allocation System 1.0 (CVE-2025-4837)
Severidad: MEDIA
Fecha de publicación: 17/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en projectworlds Student Project Allocation System 1.0. Esta afecta a una parte desconocida del archivo /make_group_sql.php. La manipulación del argumento mem1/mem2/mem3 provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Firefox y Firefox ESR (CVE-2025-4918)
Severidad: ALTA
Fecha de publicación: 17/05/2025
Fecha de última actualización: 28/05/2025
Un atacante logró realizar una lectura o escritura fuera de los límites en un objeto "Promise" de JavaScript. Esta vulnerabilidad afecta a Firefox (versión anterior a 138.0.4), Firefox ESR (versión anterior a 128.10.1) y Firefox ESR (versión anterior a 115.23.1).
Vulnerabilidad en Firefox y Firefox ESR (CVE-2025-4919)
Severidad: ALTA
Fecha de publicación: 17/05/2025
Fecha de última actualización: 28/05/2025
Un atacante logró realizar una lectura o escritura fuera de los límites en un objeto JavaScript al confundir el tamaño del índice de la matriz. Esta vulnerabilidad afecta a Firefox (versión anterior a 138.0.4), Firefox ESR (versión anterior a 128.10.1) y Firefox ESR (versión anterior a 115.23.1).
Vulnerabilidad en itsourcecode Restaurant Management System 1.0 (CVE-2025-4869)
Severidad: MEDIA
Fecha de publicación: 18/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en itsourcecode Restaurant Management System 1.0. Esta afecta a una parte desconocida del archivo /admin/member_update.php. La manipulación del argumento "menu" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en itsourcecode Restaurant Management System 1.0 (CVE-2025-4884)
Severidad: MEDIA
Fecha de publicación: 18/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en itsourcecode Restaurant Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/assign_save.php. La manipulación del argumento "team" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en itsourcecode Sales and Inventory System 1.0 (CVE-2025-4885)
Severidad: MEDIA
Fecha de publicación: 18/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en itsourcecode Sales and Inventory System 1.0. Se ve afectada una función desconocida del archivo /pages/product_add.php. La manipulación del argumento serial provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en code-projects Pharmacy Management System 1.0 (CVE-2025-4888)
Severidad: MEDIA
Fecha de publicación: 18/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects Pharmacy Management System 1.0. Esta afecta a la función medicineType::take_order del componente "Add Order Details". La manipulación provoca un desbordamiento del búfer. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Tourism Management System 1.0 (CVE-2025-4889)
Severidad: MEDIA
Fecha de publicación: 18/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad en code-projects Tourism Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a la función AddUser del componente Registro de Usuarios. La manipulación del argumento nombre de usuario/contraseña provoca un desbordamiento del búfer. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Police Station Management System 1.0 (CVE-2025-4892)
Severidad: MEDIA
Fecha de publicación: 18/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en code-projects Police Station Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a la función criminal::remove del archivo source.cpp del componente Delete Record. La manipulación del argumento "No" provoca un desbordamiento del búfer en la pila. El ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Client Database Management System 1.0 (CVE-2025-4909)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Client Database Management System 1.0. Esta vulnerabilidad afecta a código desconocido. La manipulación provoca la exposición de información a través de listados de directorios. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Client Database Management System 1.0 (CVE-2025-4923)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Client Database Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /user_delivery_update.php. La manipulación del argumento uploaded_file_cancelled permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en projectworlds Online Lawyer Management System 1.0 (CVE-2025-4931)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
Se detectó una vulnerabilidad crítica en projectworlds Online Lawyer Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /user_registation.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.3 (CVE-2025-4934)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.3, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /edit-profile.php. La manipulación del argumento "Contact" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Stock Management System 1.0 (CVE-2025-4935)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
Se encontró una vulnerabilidad en SourceCodester Stock Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /php_action/changePassword.php. La manipulación del argumento user_id provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24183)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Ventura 13.7.3, macOS Sequoia 15.3 y macOS Sonoma 14.7.3. Un usuario local puede modificar partes protegidas del sistema de archivos.
Vulnerabilidad en visionOS, iOS, iPadOS, macOS Sequoia, watchOSy tvOS (CVE-2025-24184)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en visionOS 2.3, iOS 18.3 y iPadOS 18.3, iPadOS 17.7.4, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Una aplicación podría provocar el cierre inesperado del sistema.
Vulnerabilidad en Safari, visionOS, iOS, iPadOS, macOS Sequoia, watchOS y tvOS (CVE-2025-24189)
Severidad: ALTA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
El problema se solucionó mejorando las comprobaciones. Este problema está corregido en Safari 18.3, visionOS 2.3, iOS 18.3 y iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. El procesamiento de contenido web malintencionado puede provocar daños en la memoria.
Vulnerabilidad en iOS y iPadOS (CVE-2025-31185)
Severidad: BAJA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en iOS 18.3 y iPadOS 18.3. Las fotos del Álbum de Fotos Ocultas se pueden ver sin autenticación.
Vulnerabilidad en visionOS, iOS, iPadOS, macOS Sequoia, watchOS y tvOS (CVE-2025-31262)
Severidad: MEDIA
Fecha de publicación: 19/05/2025
Fecha de última actualización: 28/05/2025
Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en visionOS 2.3, iOS 18.3 y iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Una aplicación podría modificar partes protegidas del sistema de archivos.
Vulnerabilidad en Campcodes Online Shopping Portal 1.0 (CVE-2025-5032)
Severidad: MEDIA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 28/05/2025
Se ha detectado una vulnerabilidad crítica en Campcodes Online Shopping Portal 1.0. Se trata de una función desconocida del archivo /admin/edit-category.php. La manipulación del argumento "Category" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.