Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Repute Infosystems ARMember (CVE-2024-30222)
    Severidad: ALTA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de deserialización de datos no confiables en Repute Infosystems ARMember. Este problema afecta a ARMember: desde n/a hasta 4.0.26.
  • Vulnerabilidad en Repute Infosystems ARMember (CVE-2024-30223)
    Severidad: CRÍTICA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de deserialización de datos no confiables en Repute Infosystems ARMember. Este problema afecta a ARMember: desde n/a hasta 4.0.26.
  • Vulnerabilidad en Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21002)
    Severidad: BAJA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JavaFX). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u401; Oracle GraalVM Enterprise Edition: 20.3.13 y 21.3.9. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con inicio de sesión en la infraestructura donde se ejecuta Oracle Java SE, Oracle GraalVM Enterprise Edition comprometa Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en espacio aislado o subprogramas de Java en espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, normalmente en servidores, que cargan y ejecutan sólo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.1 Puntaje base 2.5 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N).
  • Vulnerabilidad en Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21004)
    Severidad: BAJA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JavaFX). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u401; Oracle GraalVM Enterprise Edition: 20.3.13 y 21.3.9. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con inicio de sesión en la infraestructura donde se ejecuta Oracle Java SE, Oracle GraalVM Enterprise Edition comprometa Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en espacio aislado o subprogramas de Java en espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, normalmente en servidores, que cargan y ejecutan sólo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.1 Puntaje base 2.5 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N).
  • Vulnerabilidad en Oracle BI Publisher de Oracle Analytics (CVE-2024-21084)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: Service Gateway). Las versiones compatibles que se ven afectadas son 7.0.0.0.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle BI Publisher. Si bien la vulnerabilidad está en Oracle BI Publisher, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle BI Publisher. CVSS 3.1 Puntaje base 5.8 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N).
  • Vulnerabilidad en Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (CVE-2024-21091)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad en el producto Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (componente: Importación de datos). La versión compatible afectada es la 6.2.4.2. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle Agile Product Lifecycle Management for Process. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process. CVSS 3.1 Puntaje base 6.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en Repute Infosystems ARMember (CVE-2023-51356)
    Severidad: ALTA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de gestión de privilegios incorrecta en Repute Infosystems ARMember permite la escalada de privilegios. Este problema afecta a ARMember: desde n/a hasta 4.0.10.
  • Vulnerabilidad en NETGEAR ProSAFE (CVE-2024-5246)
    Severidad: ALTA
    Fecha de publicación: 23/05/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de ejecución remota de código Tomcat del sistema de gestión de red NETGEAR ProSAFE. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de NETGEAR ProSAFE Network Management System. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el instalador del producto. El problema se debe al uso de una versión vulnerable de Apache Tomcat. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-22868.
  • Vulnerabilidad en Mitel MiContact Center Business (CVE-2024-35283)
    Severidad: MEDIA
    Fecha de publicación: 29/05/2024
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad en el componente Ignite de Mitel MiContact Center Business hasta la versión 10.0.0.4 podría permitir que un atacante no autenticado lleve a cabo un ataque de cross-site scripting (XSS) almacenado debido a una validación de entrada insuficiente.
  • Vulnerabilidad en Mitel MiContact Center Business (CVE-2024-35284)
    Severidad: MEDIA
    Fecha de publicación: 29/05/2024
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad en el componente de chat heredado de Mitel MiContact Center Business hasta la versión 10.0.0.4 podría permitir que un atacante no autenticado lleve a cabo un ataque de cross-site scripting (XSS) reflejado debido a una validación de entrada insuficiente.
  • Vulnerabilidad en Silverpeas (CVE-2024-36042)
    Severidad: CRÍTICA
    Fecha de publicación: 03/06/2024
    Fecha de última actualización: 29/05/2025
    Silverpeas anterior a 6.3.5 permite omitir la autenticación omitiendo el campo Contraseña en AuthenticationServlet, lo que a menudo proporciona a un usuario no autenticado acceso de superadministrador.
  • Vulnerabilidad en Events Calendar de WordPres (CVE-2024-4180)
    Severidad: CRÍTICA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 29/05/2025
    El complemento Events Calendar de WordPres anterior a 6.4.0.1 no sanitiza adecuadamente el contenido enviado por el usuario al representar algunas vistas a través de AJAX.
  • Vulnerabilidad en Essential Real Estate para WordPress (CVE-2024-4273)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 29/05/2025
    El complemento Essential Real Estate para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto 'ere_property_map' del complemento en todas las versiones hasta la 4.4.2 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Essential Real Estate para WordPress (CVE-2024-4274)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 29/05/2025
    El complemento Essential Real Estate para WordPress es vulnerable a la pérdida no autorizada de datos debido a una validación insuficiente de la función remove_property_attachment_ajax() en todas las versiones hasta la 4.4.2 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, eliminen archivos adjuntos arbitrarios.
  • Vulnerabilidad en gVectors Team wpDiscuz (CVE-2023-46310)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 29/05/2025
    Neutralización inadecuada de etiquetas HTML relacionadas con scripts en una vulnerabilidad de página web (XSS básico) en gVectors Team wpDiscuz permite la inyección de código. Este problema afecta a wpDiscuz: desde n/a hasta 7.6.10.
  • Vulnerabilidad en Repute Infosystems ARMember (CVE-2023-47837)
    Severidad: ALTA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de gestión de privilegios inadecuada en Repute Infosystems ARMember permite la escalada de privilegios. Este problema afecta a ARMember: desde n/a hasta 4.0.10.
  • Vulnerabilidad en Rate my Post – WP Rating System (CVE-2023-51667)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de omisión de autenticación mediante falsificación en FeedbackWP Rate my Post – WP Rating System permite acceder a la funcionalidad no restringida adecuadamente por las ACL. Este problema afecta a Rate my Post – WP Rating System: desde n/a hasta 3.4.2.
  • Vulnerabilidad en Olive Themes Olive One Click Demo Import (CVE-2024-32715)
    Severidad: MEDIA
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de autorización faltante en Olive Themes Olive One Click Demo Import. Este problema afecta a Olive One Click Demo Import: desde n/a hasta 1.1.1.
  • Vulnerabilidad en Trend Micro Apex One (CVE-2024-36302)
    Severidad: ALTA
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de validación de origen en el agente de seguridad Trend Micro Apex One podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Tenga en cuenta: un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad. Esta vulnerabilidad es similar, pero no idéntica, a CVE-2024-36303.
  • Vulnerabilidad en D-Link DAP-1650 v.1.03 (CVE-2024-40505)
    Severidad: CRÍTICA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 29/05/2025
    **NO COMPATIBLE CUANDO ESTÁ ASIGNADO** La vulnerabilidad de Directory Traversal en el firmware D-Link DAP-1650 v.1.03 permite a un atacante local escalar privilegios a través del componente hedwig.cgi.
  • Vulnerabilidad en complemento de WordPress Email Encoder (CVE-2024-4483)
    Severidad: MEDIA
    Fecha de publicación: 29/07/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress Email Encoder anterior a 2.2.2 no escapa el parámetro WP_Email_Encoder_Bundle_options[protection_text] antes de devolverlo a un atributo en una página de administración, lo que genera Cross Site Scripting almacenado
  • Vulnerabilidad en complemento de WordPress Ultimate Blocks (CVE-2024-6362)
    Severidad: MEDIA
    Fecha de publicación: 29/07/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress Ultimate Blocks anterior a 3.2.0 no valida ni escapa algunos de sus atributos de bloque posteriores a la cuadrícula antes de devolverlos a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross Site Scripting almacenado
  • Vulnerabilidad en complemento de WordPress Send email only on Reply to My Comment (CVE-2024-6223)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress Send email only on Reply to My Comment hasta la versión 1.0.6 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en complemento de WordPress Send email only on Reply to My Comment (CVE-2024-6224)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress Send email only on Reply to My Comment hasta la versión 1.0.6 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes hacer que el administrador conectado agregue payloads de XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en complemento de WordPress WpStickyBar (CVE-2024-6226)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress WpStickyBar hasta la versión 2.1.0 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en complemento de WordPress WooCommerce Customers Manager (CVE-2024-1747)
    Severidad: MEDIA
    Fecha de publicación: 01/08/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress WooCommerce Customers Manager anterior a 30.2 no tiene autorización ni CSRF en varias acciones AJAX, lo que permite a cualquier usuario autenticado, como un suscriptor, llamarlos y actualizar/eliminar/crear metadatos del cliente, lo que también genera Cross Site Scripting almacenado debido a la falta de escape de dichos valores de metadatos.
  • Vulnerabilidad en complemento de WordPress WooCommerce Customers Manager (CVE-2024-2843)
    Severidad: MEDIA
    Fecha de publicación: 01/08/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress WooCommerce Customers Manager anterior a 30.1 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios administradores registrados eliminen usuarios mediante ataques CSRF.
  • Vulnerabilidad en complemento de WordPress WooCommerce Customers Manager (CVE-2024-3983)
    Severidad: ALTA
    Fecha de publicación: 01/08/2024
    Fecha de última actualización: 29/05/2025
    El complemento de WordPress WooCommerce Customers Manager anterior a la versión 30.1 no tiene comprobaciones CSRF en algunas acciones masivas, lo que podría permitir a los atacantes hacer que los administradores que han iniciado sesión realicen acciones no deseadas, como eliminar clientes mediante ataques CSRF.
  • Vulnerabilidad en VONETS VAP11G-300 v3.3.23.6.9 (CVE-2024-46328)
    Severidad: ALTA
    Fecha de publicación: 26/09/2024
    Fecha de última actualización: 29/05/2025
    Se descubrió que VONETS VAP11G-300 v3.3.23.6.9 contenía credenciales codificadas para varias cuentas privilegiadas diferentes, incluida la raíz.
  • Vulnerabilidad en VONETS VAP11G-300 v3.3.23.6.9 (CVE-2024-46329)
    Severidad: ALTA
    Fecha de publicación: 26/09/2024
    Fecha de última actualización: 29/05/2025
    Se descubrió que VONETS VAP11G-300 v3.3.23.6.9 contenía una vulnerabilidad de inyección de comandos a través del objeto SystemCommand.
  • Vulnerabilidad en Awesome Support Team (CVE-2023-48324)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de autorización faltante en Awesome Support Team permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Awesome Support: desde n/a hasta 6.1.4.
  • Vulnerabilidad en Awesome Support Team (CVE-2023-49757)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de autorización faltante en Awesome Support Team permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Awesome Support: desde n/a hasta 6.1.10.
  • Vulnerabilidad en Awesome Support Team Awesome Support (CVE-2023-49857)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de autorización faltante en Awesome Support Team Awesome Support permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Awesome Support: desde n/a hasta 6.1.7.
  • Vulnerabilidad en gVectors Team wpDiscuz (CVE-2023-45760)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de autorización faltante en gVectors Team wpDiscuz permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a wpDiscuz: desde n/a hasta 7.6.3.
  • Vulnerabilidad en gVectors Team wpDiscuz (CVE-2023-46309)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de autorización faltante en gVectors Team wpDiscuz permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a wpDiscuz: desde n/a hasta 7.6.10.
  • Vulnerabilidad en OA System (CVE-2025-29686)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en OA System anterior a v2025.01.01 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro de título en /inform/InformManageController.java.
  • Vulnerabilidad en OA System (CVE-2025-29688)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en OA System anterior a v2025.01.01 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro de título en /daymanager/daymanageabilitycontroller.java.
  • Vulnerabilidad en OA System (CVE-2025-29689)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en OA System anterior a v2025.01.01 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro de contraseña en /mail/MailController.java.
  • Vulnerabilidad en OA System (CVE-2025-29690)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en OA System anterior a v2025.01.01 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro outtype en /address/AddrController.java.
  • Vulnerabilidad en OA System (CVE-2025-29691)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 29/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en OA System anterior a v2025.01.01 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro userName en /login/LoginsController.java.
  • Vulnerabilidad en WPFactory Free Shipping Bar: Amount Left for Free Shipping for WooCommerce (CVE-2025-48253)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPFactory Free Shipping Bar: Amount Left for Free Shipping for WooCommerce permite XSS almacenado. Este problema afecta a la barra de envío gratuito de WooCommerce desde n/d hasta la versión 2.4.6.
  • Vulnerabilidad en WPFactory Change Add to Cart Button Text for WooCommerce (CVE-2025-48254)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPFactory Change Add to Cart Button Text for WooCommerce permite XSS almacenado. Este problema afecta a Cart Button Text for WooCommerce: desde n/d hasta la versión 2.2.2.
  • Vulnerabilidad en videowhisper Broadcast Live Video – Live Streaming : WebRTC, HLS, RTSP, RTMP (CVE-2025-48255)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en videowhisper Broadcast Live Video – Live Streaming : WebRTC, HLS, RTSP, RTMP permite Cross-Site Request Forgery. Este problema afecta a Transmisión de video en vivo (WebRTC, HLS, RTSP, RTMP) desde n/d hasta la versión 6.2.4.
  • Vulnerabilidad en Xylus Themes Import Social Events (CVE-2025-48256)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Xylus Themes Import Social Events permite XSS almacenado. Este problema afecta a la importación de eventos sociales desde n/d hasta la versión 1.8.5.
  • Vulnerabilidad en Chimpstudio FoodBakery (CVE-2025-32927)
    Severidad: CRÍTICA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de deserialización de datos no confiables en Chimpstudio FoodBakery permite la inyección de objetos. Este problema afecta a FoodBakery: desde n/a hasta 3.3.
  • Vulnerabilidad en ThemeGoods Altair (CVE-2025-32928)
    Severidad: CRÍTICA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de deserialización de datos no confiables en ThemeGoods Altair permite la inyección de objetos. Este problema afecta a Altair: desde n/a hasta 5.2.2.
  • Vulnerabilidad en ThemeGoods Grand Restaurant WordPress (CVE-2025-39348)
    Severidad: CRÍTICA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de deserialización de datos no confiables en ThemeGoods Grand Restaurant WordPress permite la inyección de objetos. Este problema afecta a Grand Restaurant WordPress: desde n/a hasta 7.0.
  • Vulnerabilidad en Potenzaglobalsolutions CiyaShop (CVE-2025-39349)
    Severidad: CRÍTICA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 29/05/2025
    La vulnerabilidad de deserialización de datos no confiables en Potenzaglobalsolutions CiyaShop permite la inyección de objetos. Este problema afecta a CiyaShop: desde n/a hasta 4.18.0.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-5268)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2025
    Fecha de última actualización: 30/05/2025
    Errores de seguridad de memoria presentes en Firefox 138, Thunderbird 138, Firefox ESR 128.10 y Thunderbird 128.10. Algunos de estos errores mostraron evidencia de corrupción de memoria y presumimos que, con suficiente esfuerzo, algunos de ellos podrían haberse explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox < 139 y Firefox ESR < 128.11.
  • Vulnerabilidad en Firefox ESR (CVE-2025-5269)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2025
    Fecha de última actualización: 30/05/2025
    Error de seguridad de memoria presente en Firefox ESR 128.10 y Thunderbird 128.10. Este error mostró evidencia de corrupción de memoria y presumimos que, con suficiente esfuerzo, podría haberse explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox ESR < 128.11.