Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en los parámetros ascs y desc del archivo /api/blade-log/api/list en una cláusula ORDER BY en la implementación DAO/DTO en SpringBlade (CVE-2020-16165)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2020
    Fecha de última actualización: 03/06/2025
    La implementación DAO/DTO en SpringBlade versiones hasta 2.7.1, permite una inyección de SQL en una cláusula ORDER BY. Esto está relacionado con los parámetros ascs y desc del archivo /api/blade-log/api/list
  • Vulnerabilidad en TP-LINK (CVE-2024-21773)
    Severidad: ALTA
    Fecha de publicación: 11/01/2024
    Fecha de última actualización: 03/06/2025
    Múltiples productos TP-LINK permiten que un atacante no autenticado adyacente a la red con acceso al producto ejecute comandos arbitrarios del sistema operativo. Los productos/versiones afectados son los siguientes: Versiones de firmware Archer AX3000 anteriores a "Archer AX3000(JP)_V1_1.1.2 Build 20231115", Versiones de firmware Archer AX5400 anteriores a "Archer AX5400(JP)_V1_1.1.2 Build 20231115", Versiones de firmware Deco X50 anteriores a "Deco X50(JP)_V1_1.4.1 Build 20231122" y versiones de firmware Deco XE200 anteriores a "Deco XE200(JP)_V1_1.2.5 Build 20231120".
  • Vulnerabilidad en Wallos 0.9 (CVE-2024-22776)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2024
    Fecha de última actualización: 03/06/2025
    Wallos 0.9 es vulnerable a Cross Site Scripting (XSS) en todos los campos de entrada basados en texto sin la validación adecuada, excluyendo aquellos que requieren formatos específicos como campos de fecha.
  • Vulnerabilidad en Kofax Power (CVE-2024-27335)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de ejecución remota de código de lectura fuera de los límites en el análisis de archivos PDF PNG de Kofax Power. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos PNG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-22018.
  • Vulnerabilidad en Kofax Power (CVE-2024-27336)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF PNG de Kofax Power. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22022.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27337)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de análisis de archivos TIF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos TIF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer en la región stack de la memoria de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22033.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27338)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Respuesta de la aplicación Kofax Power PDF Vulnerabilidad de ejecución remota de código de lectura fuera de los límites. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en la implementación del método app.response. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22588.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27339)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22925.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27340)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer de almacenamiento dinámico de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22926.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27341)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer de almacenamiento dinámico de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22927.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27342)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22928.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27343)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22929.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27344)
    Severidad: ALTA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Kofax Power PDF Análisis de archivos PDF Corrupción de la memoria Vulnerabilidad de ejecución remota de código. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22931.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27345)
    Severidad: BAJA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22932.
  • Vulnerabilidad en Kofax Power PDF (CVE-2024-27346)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos PDF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22934.
  • Vulnerabilidad en FFmpeg (CVE-2024-31581)
    Severidad: CRÍTICA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 03/06/2025
    Se descubrió que la versión n6.1 de FFmpeg contenía una validación incorrecta de la vulnerabilidad del índice de matriz en libavcodec/cbs_h266_syntax_template.c. Esta vulnerabilidad permite a los atacantes provocar un comportamiento indefinido dentro de la aplicación.
  • Vulnerabilidad en FFmpeg (CVE-2024-31582)
    Severidad: ALTA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 03/06/2025
    Se descubrió que la versión n6.1 de FFmpeg contenía una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico en la función draw_block_rectangle de libavfilter/vf_codecview.c. Esta vulnerabilidad permite a los atacantes provocar un comportamiento indefinido o una denegación de servicio (DoS) mediante entradas manipuladas.
  • Vulnerabilidad en FFmpeg (CVE-2024-31585)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 03/06/2025
    Se descubrió que FFmpeg versión n5.1 a n6.1 contenía una vulnerabilidad de error uno por uno en libavfilter/avf_showspectrum.c. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una entrada manipulada.
  • Vulnerabilidad en Webid v1.2.1 (CVE-2024-32166)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Webid v1.2.1 sufre una vulnerabilidad de referencia de objeto directo inseguro (IDOR): control de acceso roto, que permite a los atacantes comprar ahora una subasta que está suspendida (escalada de privilegios horizontal).
  • Vulnerabilidad en Ffmpeg v.n6.1-3-g466799d4f5 (CVE-2023-49501)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de desbordamiento de búfer en Ffmpeg v.n6.1-3-g466799d4f5 permite a un atacante local ejecutar código arbitrario a través de la función config_eq_output en el componente libavfilter/asrc_afirsrc.c:495:30.
  • Vulnerabilidad en Ffmpeg v.n6.1-3-g466799d4f5 (CVE-2023-49502)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de desbordamiento de búfer en Ffmpeg v.n6.1-3-g466799d4f5 permite a un atacante local ejecutar código arbitrario a través de la función ff_bwdif_filter_intra_c en el componente libavfilter/bwdifdsp.c:125:5.
  • Vulnerabilidad en Ffmpeg v.n6.1-3-g466799d4f5 (CVE-2023-50007)
    Severidad: MEDIA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de desbordamiento de búfer en Ffmpeg v.n6.1-3-g466799d4f5 permite a un atacante local ejecutar código arbitrario a través de la función av_samples_set_silence en el componente libavutil/samplefmt.c:260:9.
  • Vulnerabilidad en Ffmpeg v.n6.1-3-g466799d4f5 (CVE-2023-50008)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de desbordamiento de búfer en Ffmpeg v.n6.1-3-g466799d4f5 permite a un atacante local ejecutar código arbitrario a través de la función av_malloc en el componente libavutil/mem.c:105:9.
  • Vulnerabilidad en Ffmpeg v.n6.1-3-g466799d4f5 (CVE-2023-50009)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de desbordamiento de búfer en Ffmpeg v.n6.1-3-g466799d4f5 permite a un atacante local ejecutar código arbitrario a través de la función ff_gaussian_blur_8 en el componente libavfilter/edge_template.c:116:5.
  • Vulnerabilidad en Ffmpeg v.n6.1-3-g466799d4f5 (CVE-2023-50010)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de desbordamiento de búfer en Ffmpeg v.n6.1-3-g466799d4f5 permite a un atacante local ejecutar código arbitrario a través de la función set_encoder_id en el componente /fftools/ffmpeg_enc.c.
  • Vulnerabilidad en Pytorch (CVE-2024-31584)
    Severidad: MEDIA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 03/06/2025
    Pytorch anterior a v2.2.0 tiene una vulnerabilidad de lectura fuera de los límites a través del componente torch/csrc/jit/mobile/flatbuffer_loader.cpp.
  • Vulnerabilidad en Jpress v.5.1.0 (CVE-2024-32358)
    Severidad: ALTA
    Fecha de publicación: 25/04/2024
    Fecha de última actualización: 03/06/2025
    Un problema en Jpress v.5.1.0 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para la función del módulo de complemento personalizado.
  • Vulnerabilidad en Wallos (CVE-2024-29320)
    Severidad: ALTA
    Fecha de publicación: 30/04/2024
    Fecha de última actualización: 03/06/2025
    Wallos anterior a 1.15.3 es vulnerable a la inyección SQL a través de la categoría y los parámetros de pago en /subscriptions/get.php.
  • Vulnerabilidad en SpringBlade 3.7.1 (CVE-2024-33332)
    Severidad: ALTA
    Fecha de publicación: 30/04/2024
    Fecha de última actualización: 03/06/2025
    Un problema descubierto en SpringBlade 3.7.1 permite a los atacantes obtener información confidencial a través de una solicitud GET manipulada a api/blade-system/tenant.
  • Vulnerabilidad en NASA AIT-Core v2.5.2 (CVE-2024-35056)
    Severidad: CRÍTICA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 03/06/2025
    Se descubrió que NASA AIT-Core v2.5.2 contiene múltiples vulnerabilidades de inyección SQL a través de las funciones query_packets e insert.
  • Vulnerabilidad en NASA AIT-Core v2.5.2 (CVE-2024-35057)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 03/06/2025
    Un problema en NASA AIT-Core v2.5.2 permite a atacantes ejecutar código arbitrario a través de un paquete manipulado.
  • Vulnerabilidad en NASA AIT-Core v2.5.2 (CVE-2024-35058)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 03/06/2025
    Un problema en la función de espera de API de NASA AIT-Core v2.5.2 permite a los atacantes ejecutar código arbitrario proporcionando una cadena manipulada.
  • Vulnerabilidad en Pickle Python de NASA AIT-Core v2.5.2 (CVE-2024-35059)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 03/06/2025
    Un problema en la librería Pickle Python de NASA AIT-Core v2.5.2 permite a los atacantes ejecutar comandos arbitrarios.
  • Vulnerabilidad en YAML Python de NASA AIT-Core v2.5.2 (CVE-2024-35060)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 03/06/2025
    Un problema en la librería YAML Python de NASA AIT-Core v2.5.2 permite a los atacantes ejecutar comandos arbitrarios proporcionando un archivo YAML manipulado.
  • Vulnerabilidad en NASA AIT-Core v2.5.2 (CVE-2024-35061)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 03/06/2025
    Se descubrió que NASA AIT-Core v2.5.2 utiliza canales no cifrados para intercambiar datos a través de la red, lo que permite a los atacantes ejecutar un ataque man in the middle.
  • Vulnerabilidad en Aten PE6208 (CVE-2023-43842)
    Severidad: ALTA
    Fecha de publicación: 28/05/2024
    Fecha de última actualización: 03/06/2025
    El control de acceso incorrecto en la función de administración de cuentas de la interfaz web en Aten PE6208 2.3.228 y 2.4.232 permite a los usuarios autenticados remotamente alterar las credenciales de las cuentas de usuario y administrador mediante una solicitud HTTP POST.
  • Vulnerabilidad en Aten PE6208 (CVE-2023-43843)
    Severidad: ALTA
    Fecha de publicación: 28/05/2024
    Fecha de última actualización: 03/06/2025
    El control de acceso incorrecto en la función de administración de cuentas de la interfaz web en Aten PE6208 2.3.228 y 2.4.232 permite a los usuarios autenticados remotamente leer las contraseñas de las cuentas de usuario y administrador a través de una solicitud HTTP GET.
  • Vulnerabilidad en FFmpeg 7.0 (CVE-2024-32228)
    Severidad: MEDIA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg 7.0 es vulnerable al desbordamiento del búfer. Hay un SEGV en libavcodec/hevcdec.c:2947:22 en hevc_frame_end.
  • Vulnerabilidad en FFmpeg 7.0 (CVE-2024-32229)
    Severidad: ALTA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg 7.0 contiene un desbordamiento del búfer de montón en libavfilter/vf_tiltandshift.c:189:5 en copy_column.
  • Vulnerabilidad en DrayTek Vigor (CVE-2024-43027)
    Severidad: ALTA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 03/06/2025
    Se descubrió que DrayTek Vigor 3900 anterior a v1.5.1.5_Beta, DrayTek Vigor 2960 anterior a v1.5.1.5_Beta y DrayTek Vigor 300B anterior a v1.5.1.5_Beta contenían una vulnerabilidad de inyección de comandos a través del parámetro de acción en cgi-bin/mainfunction.cgi.
  • Vulnerabilidad en JPress (CVE-2024-43033)
    Severidad: ALTA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 03/06/2025
    JPress hasta 5.1.1 en Windows tiene una vulnerabilidad de carga de archivos arbitrarios que podría causar la ejecución de código arbitrario a través de ::$DATA a AttachmentController, como un archivo .jsp::$DATA a io.jpress.web.commons.controller.AttachmentController# subir. NOTA: esto no está relacionado con el vector de ataque de CVE-2024-32358.
  • Vulnerabilidad en DrayTek Vigor3910 (CVE-2024-41592)
    Severidad: ALTA
    Fecha de publicación: 03/10/2024
    Fecha de última actualización: 03/06/2025
    Los dispositivos DrayTek Vigor3910 hasta 4.3.2.6 tienen un desbordamiento basado en pila al procesar parámetros de cadena de consulta porque GetCGI maneja incorrectamente los caracteres ampersand extraños y los pares clave-valor largos.
  • Vulnerabilidad en Tiki (CVE-2024-51506)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 03/06/2025
    Tiki hasta la versión 27.0 permite a los usuarios que tienen ciertos permisos insertar un payload XSS almacenado "Crear una página Wiki" en la descripción.
  • Vulnerabilidad en Tiki (CVE-2024-51507)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 03/06/2025
    Tiki hasta la versión 27.0 permite a los usuarios que tienen ciertos permisos insertar un payload XSS almacenado "Crear/Editar Wiki Externo" en el Nombre.
  • Vulnerabilidad en Tiki (CVE-2024-51508)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 03/06/2025
    Tiki hasta la versión 27.0 permite a los usuarios que tienen ciertos permisos insertar un payload XSS almacenado "Crear/Editar Wiki Externo" en el Índice.
  • Vulnerabilidad en Tiki (CVE-2024-51509)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 03/06/2025
    Tiki hasta la versión 27.0 permite a los usuarios que tienen ciertos permisos insertar un payload XSS almacenado en "Módulos" (también conocido como tiki-admin_modules.php) en el Nombre.
  • Vulnerabilidad en TCPDF 6.7.5 (CVE-2024-51058)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 03/06/2025
    Se ha descubierto una vulnerabilidad de inclusión de archivos locales (LFI) en TCPDF 6.7.5. Esta vulnerabilidad permite a un usuario leer archivos arbitrarios del sistema de archivos del servidor a través de la etiqueta src , lo que podría exponer información confidencial.
  • Vulnerabilidad en FFmpeg 6.1.1 (CVE-2024-35369)
    Severidad: MEDIA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    En la versión n6.1.1 de FFmpeg, específicamente dentro del módulo avcodec/speexdec.c, existe una vulnerabilidad de seguridad potencial debido a una validación insuficiente de ciertos parámetros al analizar los datos adicionales del códec Speex. Esta vulnerabilidad podría generar condiciones de desbordamiento de números enteros, lo que podría generar un comportamiento indefinido o fallos durante el proceso de decodificación.
  • Vulnerabilidad en FFmpeg n6.1.1 (CVE-2024-36618)
    Severidad: MEDIA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg n6.1.1 tiene una vulnerabilidad en el demuxer AVI de la librería libavformat que permite un desbordamiento de enteros, lo que potencialmente resulta en una condición de denegación de servicio (DoS).
  • Vulnerabilidad en FFmpeg 6.1.1 (CVE-2024-36619)
    Severidad: MEDIA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg n6.1.1 tiene una vulnerabilidad en el decodificador WAVARC de la librería libavcodec que permite un desbordamiento de enteros al manejar ciertos tipos de bloques, lo que lleva a una condición de denegación de servicio (DoS).
  • Vulnerabilidad en FFmpeg n7.0 (CVE-2024-36615)
    Severidad: MEDIA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg n7.0 tiene una vulnerabilidad de condición ejecución en el decodificador VP9. Esto podría provocar una ejecución de datos si se exportaran parámetros de codificación de video, ya que los datos secundarios se adjuntarían en el hilo del decodificador mientras se leían en el hilo de salida.
  • Vulnerabilidad en FFmpeg n6.1.1 (CVE-2024-36616)
    Severidad: MEDIA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    Un desbordamiento de entero en el componente /libavformat/westwood_vqa.c de FFmpeg n6.1.1 permite a atacantes provocar una denegación de servicio en la aplicación a través de un archivo VQA manipulado.
  • Vulnerabilidad en FFmpeg n6.1.1 (CVE-2024-35366)
    Severidad: CRÍTICA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg n6.1.1 es un desbordamiento de enteros. La vulnerabilidad existe en la función parse_options de sbgdec.c dentro del módulo libavformat. Al analizar ciertas opciones, el software no valida adecuadamente la entrada. Esto permite que se acepten valores de duración negativos sin una verificación de los límites adecuada.
  • Vulnerabilidad en FFmpeg n6.1.1 (CVE-2024-35367)
    Severidad: CRÍTICA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg n6.1.1 tiene una lectura fuera de los límites a través de libavcodec/ppc/vp8dsp_altivec.c, static const vec_s8 h_subpel_filters_outer
  • Vulnerabilidad en FFmpeg n7.0 (CVE-2024-35368)
    Severidad: CRÍTICA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 03/06/2025
    FFmpeg n7.0 se ve afectado por una doble liberación a través de la función rkmpp_retrieve_framework dentro de libavcodec/rkmppdec.c.
  • Vulnerabilidad en FFmpeg n6.1.1 (CVE-2024-35365)
    Severidad: ALTA
    Fecha de publicación: 03/01/2025
    Fecha de última actualización: 03/06/2025
    La versión n6.1.1 de FFmpeg tiene una vulnerabilidad de doble liberación en el componente fftools/ffmpeg_mux_init.c de FFmpeg, específicamente dentro de la función new_stream_audio.
  • Vulnerabilidad en FFmpeg n6.1.1 (CVE-2024-36613)
    Severidad: MEDIA
    Fecha de publicación: 03/01/2025
    Fecha de última actualización: 03/06/2025
    FFmpeg n6.1.1 tiene una vulnerabilidad en el demuxer DXA de la librería libavformat que permite un desbordamiento de enteros, lo que potencialmente puede resultar en una condición de denegación de servicio (DoS) u otro comportamiento indefinido.
  • Vulnerabilidad en MITRE (CVE-2024-41334)
    Severidad: ALTA
    Fecha de publicación: 27/02/2025
    Fecha de última actualización: 03/06/2025
    Se descubrió que los dispositivos Draytek Vigor 165/166 anteriores a la v4.2.6, Vigor 2620/LTE200 anteriores a la v3.9.8.8, Vigor 2860/2925 anteriores a la v3.9.7, Vigor 2862/2926 anteriores a la v3.9.9.4, Vigor 2133/2762/2832 anteriores a la v3.9.8, Vigor 2135/2765/2766 anteriores a la v4.4.5.1, Vigor 2865/2866/2927 anteriores a la v4.4.5.3, Vigor 2962/3910 anteriores a la v4.3.2.7, Vigor 3912 anteriores a la v4.3.5.2 y Vigor 2925 hasta la v3.9.6 no utilizaban la verificación de certificados, lo que permitía a los atacantes cargar módulos APPE manipulados desde servidores no oficiales, lo que lleva a la ejecución de código arbitrario.
  • Vulnerabilidad en MITRE (CVE-2024-41338)
    Severidad: ALTA
    Fecha de publicación: 27/02/2025
    Fecha de última actualización: 03/06/2025
    Una desreferencia de puntero NULL en los dispositivos Draytek Vigor 165/166 anteriores a v4.2.6, Vigor 2620/LTE200 anteriores a v3.9.8.8, Vigor 2860/2925 anteriores a v3.9.7, Vigor 2862/2926 anteriores a v3.9.9.4, Vigor 2133/2762/2832 anteriores a v3.9.8, Vigor 2135/2765/2766 anteriores a v4.4.5.1, Vigor 2865/2866/2927 anteriores a v4.4.5.3, Vigor 2962/3910 anteriores a v4.3.2.7, Vigor 3912 anteriores a v4.3.5.2 y Vigor 2925 hasta v3.9.6 permite a los atacantes provocar una denegación de servicio (DoS) a través de una solicitud DHCP manipulada específicamente.
  • Vulnerabilidad en MITRE (CVE-2024-41339)
    Severidad: ALTA
    Fecha de publicación: 27/02/2025
    Fecha de última actualización: 03/06/2025
    Un problema en el endpoint CGI utilizado para cargar configuraciones en dispositivos Draytek Vigor 165/166 anterior a v4.2.6, Vigor 2620/LTE200 anterior a v3.9.8.8, Vigor 2860/2925 anterior a v3.9.7, Vigor 2862/2926 anterior a v3.9.9.4, Vigor 2133/2762/2832 anterior a v3.9.8, Vigor 2135/2765/2766 anterior a v4.4.5.1, Vigor 2865/2866/2927 anterior a v4.4.5.3, Vigor 2962/3910 anterior a v4.3.2.7, Vigor 3912 anterior a v4.3.5.2 y Vigor 2925 hasta v3.9.6 permite a los atacantes cargar un módulo de kernel manipulado específicamente, lo que permite la ejecución de código arbitrario.
  • Vulnerabilidad en MITRE (CVE-2024-41340)
    Severidad: ALTA
    Fecha de publicación: 27/02/2025
    Fecha de última actualización: 03/06/2025
    Un problema en los dispositivos Draytek Vigor 165/166 anteriores a la v4.2.6, Vigor 2620/LTE200 anteriores a la v3.9.8.8, Vigor 2860/2925 anteriores a la v3.9.7, Vigor 2862/2926 anteriores a la v3.9.9.4, Vigor 2133/2762/2832 anteriores a la v3.9.8, Vigor 2135/2765/2766 anteriores a la v4.4.5.1, Vigor 2865/2866/2927 anteriores a la v4.4.5.3, Vigor 2962/3910 anteriores a la v4.3.2.7, Vigor 3912 anteriores a la v4.3.5.2 y Vigor 2925 hasta la v3.9.6 permite a los atacantes cargar aplicaciones manipuladas por ellos. Módulos de cumplimiento que conducen a la ejecución de código arbitrario.
  • Vulnerabilidad en Wallos (CVE-2024-55371)
    Severidad: CRÍTICA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 03/06/2025
    Wallos <= 2.38.2 presenta una vulnerabilidad de carga de archivos en la función de restauración de copias de seguridad. Esta vulnerabilidad permite a los usuarios autenticados restaurar copias de seguridad subiendo un archivo ZIP. El contenido del archivo ZIP se extrae en el servidor. Esta funcionalidad permite a un atacante autenticado (no es necesario ser administrador) subir archivos maliciosos al servidor. Una vez instalado un shell web, el atacante puede ejecutar comandos arbitrarios.
  • Vulnerabilidad en Wallos (CVE-2024-55372)
    Severidad: CRÍTICA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 03/06/2025
    Wallos <=2.38.2 presenta una vulnerabilidad de carga de archivos en la función de restauración de la base de datos, que permite a usuarios no autenticados restaurar la base de datos cargando un archivo ZIP. El contenido del archivo ZIP se extrae en el servidor. Esta funcionalidad permite a un atacante no autenticado cargar archivos maliciosos al servidor. Una vez instalado un shell web, el atacante puede ejecutar comandos arbitrarios.
  • Vulnerabilidad en Grokability Snipe-IT (CVE-2025-47226)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 03/06/2025
    Grokability Snipe-IT anterior a 8.1.0 tiene una autorización incorrecta para acceder a la información de los activos.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4746)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /pages/purchase_delete.php. La manipulación del argumento pr_id provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4749)
    Severidad: ALTA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad crítica en D-Link DI-7003GV2 24.04.18D1 R(68125). Esta vulnerabilidad afecta a la función sub_4983B0 del archivo /H5/backup.asp?opt=reset del componente Factory Reset Handler. La manipulación provoca una denegación de servicio. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Snyk (CVE-2025-4759)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 03/06/2025
    Las versiones del paquete lockfile-lint-api anteriores a 5.9.2 son vulnerables a Orden de comportamiento incorrecto: validación temprana a través del atributo resuelto de la validación de URL del paquete, que se puede omitir extendiendo el nombre del paquete, lo que permite que un atacante instale otros paquetes npm distintos al deseado.
  • Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4750)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en D-Link DI-7003GV2 24.04.18D1 R(68125). Este problema afecta a un procesamiento desconocido del archivo /H5/get_version.data del componente Configuration Handler. La manipulación provoca la divulgación de información. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4752)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) y se ha clasificado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /install_base.data. La manipulación da lugar a la divulgación de información. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4753)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) y se clasificó como problemática. Este problema afecta a una funcionalidad desconocida del archivo /login.data. La manipulación da lugar a la divulgación de información. El ataque puede ejecutarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4755)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125). Se ha clasificado como crítica. Afecta a la función sub_497DE4 del archivo /H5/netconfig.asp. La manipulación provoca una autenticación incorrecta. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en D-Link DCS-932L 2.18.01 (CVE-2025-4841)
    Severidad: ALTA
    Fecha de publicación: 17/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en D-Link DCS-932L 2.18.01, clasificada como crítica. Este problema afecta a la función sub_404780 del archivo /bin/gpio. La manipulación del argumento CameraName provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en FW-WGS-804HPT v1.305b241111 (CVE-2025-44892)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2025
    Fecha de última actualización: 03/06/2025
    Se descubrió que FW-WGS-804HPT v1.305b241111 contiene un desbordamiento de pila a través del parámetro ownekey en la función web_rmon_alarm_post_rmon_alarm.
  • Vulnerabilidad en FW-WGS-804HPT v1.305b241111 (CVE-2025-44895)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2025
    Fecha de última actualización: 03/06/2025
    Se descubrió que FW-WGS-804HPT v1.305b241111 contiene un desbordamiento de pila a través del parámetro ipv4Aclkey en la función web_acl_ipv4BasedAceAdd.
  • Vulnerabilidad en Blizzard Battle.net v2.40.0.15267 (CVE-2025-27997)
    Severidad: ALTA
    Fecha de publicación: 21/05/2025
    Fecha de última actualización: 03/06/2025
    Un problema en Blizzard Battle.net v2.40.0.15267 permite a los atacantes escalar privilegios colocando un script de shell o un ejecutable en el directorio C:\ProgramData.
  • Vulnerabilidad en D-Link DI-8100 16.07.26A1 (CVE-2025-44083)
    Severidad: CRÍTICA
    Fecha de publicación: 21/05/2025
    Fecha de última actualización: 03/06/2025
    Un problema en D-Link DI-8100 16.07.26A1 permite que un atacante remoto omita la autenticación de inicio de sesión del administrador
  • Vulnerabilidad en Infoblox NETMRI (CVE-2024-54188)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2025
    Fecha de última actualización: 03/06/2025
    Infoblox NETMRI anterior a 7.6.1 tiene una vulnerabilidad que permite a usuarios autenticados remotamente leer archivos arbitrarios con acceso root.
  • Vulnerabilidad en Infoblox NETMRI (CVE-2025-32813)
    Severidad: ALTA
    Fecha de publicación: 22/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó un problema en Infoblox NETMRI anterior a la versión 7.6.1. Puede producirse una inyección remota de comandos no autenticados.
  • Vulnerabilidad en PHPGURUKUL Medical Card Generation System (CVE-2024-51099)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 03/06/2025
    Una vulnerabilidad de cross-site scripting (XSS) reflejado en el componente mcgs/download-medical-cards.php de PHPGURUKUL Medical Card Generation System que utiliza PHP y MySQL v1.0 permite a los atacantes ejecutar código arbitrario en el contexto del navegador de un usuario mediante la inyección de un payload manipulado en el parámetro searchdata.
  • Vulnerabilidad en PHPGURUKUL Student Management System (CVE-2024-51103)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 03/06/2025
    Se descubrió que PHPGURUKUL Student Management System que utiliza PHP y MySQL v1 contenía múltiples vulnerabilidades de inyección SQL en /studentrecordms/password-recovery.php a través de los parámetros emailid e id.
  • Vulnerabilidad en PHPGURUKUL Student Management System (CVE-2024-51102)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 03/06/2025
    Se descubrió que PHPGURUKUL Student Management System que utiliza PHP y MySQL v1 contenía múltiples vulnerabilidades de inyección SQL en /studentrecordms/login.php a través de los parámetros de nombre de usuario y contraseña.
  • Vulnerabilidad en Telnet en D-Link DIR-605L (CVE-2025-46176)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 03/06/2025
    Las credenciales codificadas en el servicio Telnet en D-Link DIR-605L v2.13B01 y DIR-816L v2.06B01 permiten a los atacantes ejecutar comandos arbitrarios de forma remota a través del análisis de firmware.
  • Vulnerabilidad en Tmall Demo (CVE-2025-5131)
    Severidad: MEDIA
    Fecha de publicación: 24/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad en Tmall Demo hasta la versión 20250505. Se ha declarado crítica. Esta vulnerabilidad afecta la función uploadCategoryImage del archivo tmall/admin/uploadCategoryImage. La manipulación del argumento File permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza un sistema de entrega continua con versiones continuas. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de versiones actualizadas. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Tmall Demo (CVE-2025-5133)
    Severidad: MEDIA
    Fecha de publicación: 24/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en Tmall Demo hasta la fecha 20250505. Se trata de una función desconocida del componente "Search Box". La manipulación provoca cross-site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza una versión continua para garantizar una distribución continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de actualizaciones. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Tmall Demo (CVE-2025-5134)
    Severidad: MEDIA
    Fecha de publicación: 24/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad clasificada como problemática en Tmall Demo hasta el 20250505. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente "Buy Item Page". La manipulación del argumento "Detailed Address" provoca cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza el enfoque de versiones continuas para garantizar una entrega continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las actualizaciones. Otros parámetros también podrían verse afectados. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Tmall Demo (CVE-2025-5135)
    Severidad: MEDIA
    Fecha de publicación: 24/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en Tmall Demo hasta la versión 20250505. Este problema afecta a una funcionalidad desconocida del archivo /tmall/admin/ del componente Product Details Page. La manipulación del argumento "Product Name/Product Title" provoca cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza un sistema de entrega continua con versiones continuas. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de versiones actualizadas. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en PhonePe App 25.03.21.0 (CVE-2025-5154)
    Severidad: MEDIA
    Fecha de publicación: 25/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad clasificada como problemática en PhonePe App 25.03.21.0 para Android. Se ve afectada una función desconocida del archivo /data/data/com.phonepe.app/databases/ del componente SQLite Database. La manipulación provoca el almacenamiento de texto plano en un archivo o en el disco. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en qianfox FoxCMS 1.2.5 (CVE-2025-5155)
    Severidad: MEDIA
    Fecha de publicación: 25/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad en qianfox FoxCMS 1.2.5, clasificada como crítica. Esta vulnerabilidad afecta a la función batchCope del archivo app/admin/controller/Article.php. La manipulación de los identificadores de los argumentos provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en H3C GR-5400AX (CVE-2025-5156)
    Severidad: ALTA
    Fecha de publicación: 25/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en H3C GR-5400AX hasta la versión 100R008, clasificada como crítica. Este problema afecta a la función EditWlanMacList del archivo /routing/goform/aspForm. La manipulación del argumento param provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en H3C SecCenter SMP-E1114P02 (CVE-2025-5157)
    Severidad: MEDIA
    Fecha de publicación: 25/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en H3C SecCenter SMP-E1114P02 hasta el 13/05/2025. Se ha clasificado como crítica. Afecta a la función fileContent del archivo /cfgFile/fileContent. La manipulación del argumento filePath provoca path traversal. Es posible iniciar el ataque de forma remota. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en H3C SecCenter SMP-E1114P02 (CVE-2025-5158)
    Severidad: MEDIA
    Fecha de publicación: 25/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en H3C SecCenter SMP-E1114P02 hasta el 13/05/2025. Se ha declarado problemática. Esta vulnerabilidad afecta a la función "downloadSoftware" del archivo /cfgFile/downloadSoftware. La manipulación del argumento "filename" provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Canon Inc. (CVE-2025-2146)
    Severidad: CRÍTICA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Desbordamiento de búfer en el procesamiento de autenticación de servicio web de impresoras multifunción y láser de pequeña oficina(*) que puede permitir que un atacante en el segmento de red provoque que el producto afectado no responda o ejecute código arbitrario. *: Firmware v05.07 y anteriores de Satera MF656Cdw/Satera MF654Cdw/Satera MF551dw/Satera MF457dw vendidos en Japón. Firmware v05.07 y anteriores de la imagen en color imageCLASS MF656Cdw/imageCLASS MF654Cdw/imageCLASS MF653Cdw/imageCLASS MF652Cdw/imageCLASS LBP633Cdw/imageCLASS LBP632Cdw/imageCLASS MF455dw/imageCLASS MF453dw/imageCLASS MF452dw/imageCLASS MF451dw/imageCLASS LBP237dw/imageCLASS LBP236dw/imageCLASS X MF1238 II/imageCLASS X MF1643i II/imageCLASS X MF1643iF II/imageCLASS X LBP1238 II vendido en EE. UU. Firmware v05.07 y anteriores de i-SENSYS MF657Cdw/i-SENSYS MF655Cdw/i-SENSYS MF651Cdw/i-SENSYS LBP633Cdw/i-SENSYS LBP631Cdw/i-SENSYS MF553dw/i-SENSYS MF552dw/i-SENSYS MF455dw/i-SENSYS MF453dw/i-SENSYS LBP236dw/i-SENSYS LBP233dw/imageRUNNER 1643iF II/imageRUNNER 1643i II/i-SENSYS X 1238iF II/i-SENSYS X 1238i II/i-SENSYS X 1238P II/i-SENSYS X 1238Pr II vendido en Europa.
  • Vulnerabilidad en H3C SecCenter SMP-E1114P02 (CVE-2025-5159)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en H3C SecCenter SMP-E1114P02 hasta el 13/05/2025. Se ha clasificado como problemática. Este problema afecta la función de descarga del archivo /cfgFile/1/download. La manipulación del argumento "Name" provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en H3C SecCenter SMP-E1114P02 (CVE-2025-5160)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en H3C SecCenter SMP-E1114P02 hasta el 13/05/2025. La función de descarga del archivo /packetCaptureStrategy/download se ve afectada. La manipulación del argumento "Name" provoca un path traversal. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en H3C SecCenter SMP-E1114P02 (CVE-2025-5161)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad clasificada como problemática en H3C SecCenter SMP-E1114P02 hasta el 13/05/2025. Esta vulnerabilidad afecta a la función "operationDailyOut" del archivo /safeEvent/download. La manipulación del argumento "filename" provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en H3C SecCenter SMP-E1114P02 (CVE-2025-5162)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad, clasificada como crítica, en H3C SecCenter SMP-E1114P02 hasta el 13/05/2025. Este problema afecta a una funcionalidad desconocida del archivo /safeEvent/importFile/. La manipulación del argumento logGeneralFile/logGeneralFile_2 permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en yangshare ???? warehouseManager ?????? 1.0 (CVE-2025-5163)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad clasificada como problemática en yangshare ???? warehouseManager ?????? 1.0. Esta afecta a una parte desconocida. La manipulación genera controles de acceso inadecuados. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en PerfreeBlog 4.0.11 (CVE-2025-5164)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha encontrado una vulnerabilidad en PerfreeBlog 4.0.11, clasificada como problemática. Esta vulnerabilidad afecta a la función JwtUtil del componente JWT Handler. La manipulación implica el uso de una clave criptográfica predefinida. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-5165)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en Open Asset Import Library Assimp 5.4.3, clasificada como problemática. Este problema afecta a la función MDCImporter::ValidateSurfaceHeader del archivo assimp/code/AssetLib/MDC/MDCLoader.cpp. La manipulación del argumento pcSurface2 provoca una lectura fuera de los límites. Es obligatorio realizar ataques locales. Se ha hecho público el exploit y puede que sea utilizado. El proyecto decidió recopilar todos los errores de Fuzzer en una incidencia principal para abordarlos en el futuro.
  • Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-5166)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en Open Asset Import Library Assimp 5.4.3. Se ha clasificado como problemática. La función MDCImporter::InternReadFile del archivo assimp/code/AssetLib/MDC/MDCLoader.cpp del componente MDC File Parser se ve afectada. La manipulación del argumento pcVerts provoca una lectura fuera de los límites. Es posible lanzar el ataque en el host local. Se ha hecho público el exploit y puede que sea utilizado. El proyecto decidió recopilar todos los errores de Fuzzer en una publicación principal para abordarlos en el futuro.
  • Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-5167)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en Open Asset Import Library Assimp 5.4.3. Se ha declarado problemática. Esta vulnerabilidad afecta a la función LWOImporter::GetS0 de la biblioteca assimp/code/AssetLib/LWO/LWOLoader.h. La manipulación del argumento "out" provoca una lectura fuera de los límites. El ataque debe abordarse localmente. El exploit se ha hecho público y puede utilizarse. El proyecto decidió recopilar todos los errores de Fuzzer en una incidencia principal para abordarlos en el futuro.
  • Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-5168)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en Open Asset Import Library Assimp 5.4.3. Se ha clasificado como problemática. Este problema afecta a la función MDLImporter::ImportUVCoordinate_3DGS_MDL345 del archivo assimp/code/AssetLib/MDL/MDLLoader.cpp. La manipulación del argumento iIndex provoca una lectura fuera de los límites. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado. El proyecto decidió recopilar todos los errores de Fuzzer en una publicación principal para abordarlos en el futuro.
  • Vulnerabilidad en Open Asset Import Library Assimp 5.4.3 (CVE-2025-5169)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en Open Asset Import Library Assimp 5.4.3. Esta afecta a la función MDLImporter::InternReadFile_3DGS_MDL345 del archivo assimp/code/AssetLib/MDL/MDLLoader.cpp. La manipulación provoca lecturas fuera de los límites. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado. El proyecto decidió recopilar todos los errores de Fuzzer en una incidencia principal para abordarlos en el futuro.
  • Vulnerabilidad en llisoft MTA Maita Training System 4.5 (CVE-2025-5170)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en llisoft MTA Maita Training System 4.5. Esta vulnerabilidad afecta a la función AdminShitiListRequestVo del archivo com\llisoft\controller\admin\shiti\AdminShitiController.java. La manipulación del argumento stTypeIds provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en llisoft MTA Maita Training System 4.5 (CVE-2025-5171)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en llisoft MTA Maita Training System 4.5. Este problema afecta a la función this.fileService.download del archivo com\llisoft\controller\OpenController.java. La manipulación del argumento url permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Econtrata (CVE-2025-5172)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en Econtrata hasta el 16/05/2025. Se ve afectada una función desconocida del archivo /valida. La manipulación del argumento "usuario" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Mailform Pro CGI (CVE-2025-41441)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Mailform Pro CGI anterior a la versión 4.3.4 genera mensajes de error con información confidencial, lo que podría permitir que un atacante remoto no autenticado obtenga códigos de cupón. Esta vulnerabilidad solo afecta a los productos que utilizan la función de cupones.
  • Vulnerabilidad en HumanSignal label-studio-ml-backend (CVE-2025-5173)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad en HumanSignal label-studio-ml-backend hasta 9fb7f4aa186612806af2becfb621f6ed8d9fdbaf, clasificada como problemática. Esta vulnerabilidad afecta la función de carga del archivo label-studio-ml-backend/label_studio_ml/examples/yolo/utils/neural_nets.py del componente PT File Handler. La manipulación de la ruta de argumentos provoca la deserialización. Un ataque debe abordarse localmente. Este producto utiliza el enfoque de lanzamiento continuo para garantizar una entrega continua. Por lo tanto, no se dispone de información sobre las versiones afectadas ni sobre las actualizadas.
  • Vulnerabilidad en erdogant pypickle (CVE-2025-5174)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en erdogant pypickle hasta la versión 1.1.5, clasificada como problemática. Este problema afecta la carga de funciones del archivo pypickle/pypickle.py. La manipulación provoca la deserialización. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 2.0.0 puede solucionar este problema. El parche se identifica como 14b4cae704a0bb4eb6723e238f25382d847a1917. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en erdogant pypickle (CVE-2025-5175)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en erdogant pypickle hasta la versión 1.1.5. Se ha clasificado como crítica. Afecta la función "Save" del archivo pypickle/pypickle.py. La manipulación provoca una autorización indebida. Es necesario realizar un ataque local. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 2.0.0 puede solucionar este problema. El parche se llama 14b4cae704a0bb4eb6723e238f25382d847a1917. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Realce Tecnologia Queue Ticket Kiosk (CVE-2025-5176)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad en Realce Tecnologia Queue Ticket Kiosk hasta la versión 20250517. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /adm/index.php del componente Admin Login Page. La manipulación del argumento "Usuário" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se contactó al proveedor con antelación para informarle sobre esta vulnerabilidad, pero no respondió.
  • Vulnerabilidad en Realce Tecnologia Queue Ticket Kiosk (CVE-2025-5177)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en Realce Tecnologia Queue Ticket Kiosk hasta la versión 20250517. Se ha clasificado como problemática. Este problema afecta a un procesamiento desconocido del archivo /adm/index.php del componenteAdmin Login Page. La manipulación del argumento "Usuário" provoca cross site scripting. El ataque puede ejecutarse en remoto. Se contactó al proveedor con antelación para informarle sobre esta revelación, pero no respondió.
  • Vulnerabilidad en Realce Tecnologia Queue Ticket Kiosk (CVE-2025-5178)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad crítica en Realce Tecnologia Queue Ticket Kiosk hasta la versión 20250517. Se ve afectada una función desconocida del archivo /adm/ajax.php del componente Image File Handler. La manipulación del argumento files[] permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Realce Tecnologia Queue Ticket Kiosk (CVE-2025-5179)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad clasificada como problemática en Realce Tecnologia Queue Ticket Kiosk hasta la versión 20250517. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /adm/index.php del componente Cadastro de Administrador Page. La manipulación del argumento "Name/Usuário" provoca cross site scripting. El ataque puede ejecutarse en remoto. Se contactó al proveedor con antelación para informarle sobre esta vulnerabilidad, pero no respondió.
  • Vulnerabilidad en Wondershare Filmora 14.5.16 (CVE-2025-5180)
    Severidad: ALTA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Wondershare Filmora 14.5.16. Este problema afecta a una funcionalidad desconocida en la librería CRYPTBASE.dll del archivo NFWCHK.exe del instalador de componentes. Esta manipulación genera una ruta de búsqueda incontrolada. Es necesario realizar un ataque local. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Summer Pearl Group Vacation Rental Management Platform (CVE-2025-5181)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad clasificada como problemática en Summer Pearl Group Vacation Rental Management Platform (hasta la versión 1.0.1). Esta afecta a una parte desconocida del archivo /spgpm/updateListing. La manipulación del argumento spgLsTitle provoca ataques de cross site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 1.0.2 puede solucionar este problema. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Summer Pearl Group Vacation Rental Management Platform (CVE-2025-5182)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad en Summer Pearl Group Vacation Rental Management Platform (hasta la versión 1.0.1), clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del componente Listing Handler. La manipulación permite la omisión de la autorización. El ataque puede ejecutarse en remoto. Actualizar a la versión 1.0.2 puede solucionar este problema. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Summer Pearl Group Vacation Rental Management Platform (CVE-2025-5183)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad en Summer Pearl Group Vacation Rental Management Platform (hasta la versión 1.0.1) y se clasificó como problemática. Este problema afecta a un procesamiento desconocido del componente "Header Handler". La manipulación del argumento "Host" provoca una redirección abierta. El ataque puede ejecutarse en remoto. Actualizar a la versión 1.0.2 puede solucionar este problema. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Summer Pearl Group Vacation Rental Management Platform (CVE-2025-5184)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 03/06/2025
    Se detectó una vulnerabilidad en Summer Pearl Group Vacation Rental Management Platform (versión anterior a la 1.0.1). Se ha clasificado como problemática. Se ve afectada una función desconocida del componente HTTP Response Header Handler. La manipulación provoca la divulgación de información. Es posible lanzar el ataque de forma remota. Actualizar a la versión 1.0.2 puede solucionar este problema. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Apache InLong (CVE-2025-27522)
    Severidad: MEDIA
    Fecha de publicación: 28/05/2025
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de deserialización de datos no confiables en Apache InLong. Este problema afecta a Apache InLong desde la versión 1.13.0 hasta la 2.1.0. Esta vulnerabilidad es una evasión de minería secundaria para CVE-2024-26579. Se recomienda a los usuarios actualizar a la versión 2.2.0 de Apache InLong o seleccionar cuidadosamente [1] para solucionarlo. [1] https://github.com/apache/inlong/pull/11732
  • Vulnerabilidad en Apache InLong (CVE-2025-27526)
    Severidad: MEDIA
    Fecha de publicación: 28/05/2025
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de deserialización de datos no confiables en Apache InLong. Este problema afecta a Apache InLong desde la versión 1.13.0 hasta la 2.1.0. Esta vulnerabilidad puede provocar la omisión de la URLEncdoe y la tecla de retroceso de JDBC. Se recomienda a los usuarios actualizar a la versión 2.2.0 de Apache InLong o seleccionar la opción deseada [1] para solucionarlo. [1] https://github.com/apache/inlong/pull/11747
  • Vulnerabilidad en Apache InLong (CVE-2025-27528)
    Severidad: CRÍTICA
    Fecha de publicación: 28/05/2025
    Fecha de última actualización: 03/06/2025
    Vulnerabilidad de deserialización de datos no confiables en Apache InLong. Este problema afecta a Apache InLong desde la versión 1.13.0 hasta la 2.1.0. Esta vulnerabilidad permite a los atacantes eludir los mecanismos de seguridad de InLong JDBC y permite la lectura arbitraria de archivos. Se recomienda a los usuarios actualizar a la versión 2.2.0 de Apache InLong o seleccionar cuidadosamente [1] para solucionarlo. [1] https://github.com/apache/inlong/pull/11747
  • Vulnerabilidad en Tenda W18E (CVE-2025-45343)
    Severidad: CRÍTICA
    Fecha de publicación: 28/05/2025
    Fecha de última actualización: 03/06/2025
    Un problema en Tenda W18E v.2.0 v.16.01.0.11 permite a un atacante ejecutar código arbitrario a través de la funcionalidad de edición del módulo de cuenta en la ruta goform/setmodules.
  • Vulnerabilidad en Open Network Foundation ONOS v2.7.0 (CVE-2023-41591)
    Severidad: CRÍTICA
    Fecha de publicación: 29/05/2025
    Fecha de última actualización: 03/06/2025
    Un problema en Open Network Foundation ONOS v2.7.0 permite a los atacantes crear direcciones IP/MAC falsas y potencialmente ejecutar un ataque intermediario en las comunicaciones entre hosts falsos y reales.
  • Vulnerabilidad en Open Network Foundation ONOS v2.7.0 (CVE-2024-53423)
    Severidad: MEDIA
    Fecha de publicación: 29/05/2025
    Fecha de última actualización: 03/06/2025
    Un problema en Open Network Foundation ONOS v2.7.0 permite a los atacantes provocar una denegación de servicio (DoS) mediante el suministro de paquetes manipulados.
  • Vulnerabilidad en hdf5 v1.14.6 (CVE-2025-44904)
    Severidad: ALTA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 03/06/2025
    Se descubrió que hdf5 v1.14.6 contiene un desbordamiento de búfer de montón a través de la función H5VM_memcpyvv.
  • Vulnerabilidad en hdf5 v1.14.6 (CVE-2025-44905)
    Severidad: ALTA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 03/06/2025
    Se descubrió que hdf5 v1.14.6 contiene un desbordamiento de búfer de montón a través de la función H5Z__filter_scaleoffset.
  • Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5360)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en Campcodes Online Hospital Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /book-appointment.php. La manipulación del argumento "doctor" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5361)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Campcodes Online Hospital Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /contact.php. La manipulación del argumento fullname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5362)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en Campcodes Online Hospital Management System 1.0. La función afectada es desconocida en el archivo /admin/doctor-specilization.php. La manipulación del argumento "doctorsspecilization" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5363)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha detectado una vulnerabilidad en Campcodes Online Hospital Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /doctor/index.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5364)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en Campcodes Online Hospital Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /doctor/add-patient.php. La manipulación del argumento patname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5365)
    Severidad: MEDIA
    Fecha de publicación: 31/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en Campcodes Online Hospital Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/patient-search.php. La manipulación del argumento "searchdata" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Shopping Portal Project 1.0 (CVE-2025-5367)
    Severidad: MEDIA
    Fecha de publicación: 31/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en PHPGurukul Online Shopping Portal Project 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /category.php. La manipulación del argumento "Product" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Daily Expense Tracker System 1.1 (CVE-2025-5368)
    Severidad: MEDIA
    Fecha de publicación: 31/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en PHPGurukul Daily Expense Tracker System 1.1. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /expense-yearwise-reports-detailed.php. La manipulación del argumento "todate" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Birth Certificate System 2.0 (CVE-2025-5373)
    Severidad: MEDIA
    Fecha de publicación: 31/05/2025
    Fecha de última actualización: 03/06/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Online Birth Certificate System 2.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/users-applications.php. La manipulación del argumento `userid` provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Birth Certificate System 2.0 (CVE-2025-5374)
    Severidad: MEDIA
    Fecha de publicación: 31/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en PHPGurukul Online Birth Certificate System 2.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/all-applications.php. La manipulación del argumento "del" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul HPGurukul Online Birth Certificate System 2.0 (CVE-2025-5375)
    Severidad: MEDIA
    Fecha de publicación: 31/05/2025
    Fecha de última actualización: 03/06/2025
    Se encontró una vulnerabilidad en PHPGurukul HPGurukul Online Birth Certificate System 2.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/registered-users.php. La manipulación del argumento "del" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.