Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Greenshift de WordPress (CVE-2022-4653)
Severidad: MEDIA
Fecha de publicación: 16/01/2023
Fecha de última actualización: 10/06/2025
El complemento Greenshift de WordPress anterior a 4.8.9 no valida ni escapa a uno de sus atributos de código corto, lo que podría permitir a los usuarios con un rol tan bajo como colaborador realizar un ataque de cross-site scripting almacenado.
Vulnerabilidad en Plugin Online Booking & Scheduling Calendar de vcita (CVE-2023-39992)
Severidad: ALTA
Fecha de publicación: 04/09/2023
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado no autenticado en el plugin vCita.Com Online Booking & Scheduling Calendar para WordPress de vcita en versiones anteriores e incluyendo la 4.3.2.
Vulnerabilidad en Tenda Ac19 (CVE-2023-38823)
Severidad: CRÍTICA
Fecha de publicación: 20/11/2023
Fecha de última actualización: 10/06/2025
Vulnerabilidad de desbordamiento del búfer en Tenda Ac19 v.1.0, AC18, AC9 v.1.0, AC6 v.2.0 y v.1.0 permite a un atacante remoto ejecutar código arbitrario a través de la función formSetCfm en bin/httpd.
Vulnerabilidad en El complemento Greenshift – animation and page builder blocks para WordPress (CVE-2023-6636)
Severidad: ALTA
Fecha de publicación: 11/01/2024
Fecha de última actualización: 10/06/2025
El complemento Greenshift – animation and page builder blocks para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función 'gspb_save_files' en versiones hasta la 7.6.2 incluida. Esto hace posible que atacantes autenticados con capacidades de nivel de administrador o superior carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Vulnerabilidad en mz-automation libiec61850 v.1.5.3 (CVE-2024-26529)
Severidad: ALTA
Fecha de publicación: 13/03/2024
Fecha de última actualización: 10/06/2025
Un problema en mz-automation libiec61850 v.1.5.3 y anteriores permite que un atacante remoto provoque una denegación de servicio (DoS) a través de la función mmsServer_handleDeleteNamedVariableListRequest de src/mms/iso_mms/server/mms_named_variable_list_service.c.
Vulnerabilidad en PrestaShop (CVE-2024-28391)
Severidad: CRÍTICA
Fecha de publicación: 14/03/2024
Fecha de última actualización: 10/06/2025
Vulnerabilidad de inyección SQL en el módulo Quickproducttable de los módulos FME para PrestaShop v.1.2.1 y anteriores, permite a un atacante remoto escalar privilegios y obtener información a través de los métodos readCsv(), displayAjaxProductChangeAttr, displayAjaxProductAddToCart, getSearchProducts y displayAjaxProductSku.
Vulnerabilidad en Greek Universities Network Open eClass (CVE-2024-26503)
Severidad: CRÍTICA
Fecha de publicación: 14/03/2024
Fecha de última actualización: 10/06/2025
Vulnerabilidad de carga de archivos sin restricciones en la red de universidades griegas Open eClass v.3.15 y anteriores permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo manipulado al endpoint certbadge.php.
Vulnerabilidad en Clmg (CVE-2024-26540)
Severidad: ALTA
Fecha de publicación: 15/03/2024
Fecha de última actualización: 10/06/2025
Se puede producir un desbordamiento de búfer de almacenamiento dinámico en Clmg anterior a 3.3.3 a través de un archivo manipulado en cimg_library::CImg::_load_analyze.
Vulnerabilidad en Spring Framework (CVE-2024-22259)
Severidad: ALTA
Fecha de publicación: 16/03/2024
Fecha de última actualización: 10/06/2025
Las aplicaciones que utilizan UriComponentsBuilder en Spring Framework para analizar una URL proporcionada externamente (por ejemplo, a través de un parámetro de consulta) Y realizan comprobaciones de validación en el host de la URL analizada pueden ser vulnerables a una redirección abierta https://cwe.mitre.org/data/ definiciones/601.html o a un ataque SSRF si la URL se utiliza después de pasar las comprobaciones de validación. Esto es lo mismo que CVE-2024-22243 https://spring.io/security/cve-2024-22243, pero con entradas diferentes.
Vulnerabilidad en Linksys E1000 v.2.1.03 (CVE-2024-28283)
Severidad: MEDIA
Fecha de publicación: 19/03/2024
Fecha de última actualización: 10/06/2025
Existe una vulnerabilidad de desbordamiento del búfer basada en pila en la función pc_change_act en la versión de firmware del enrutador Linksys E1000 v.2.1.03 y anteriores, lo que lleva a la ejecución remota de código.
Vulnerabilidad en crmeb_java (CVE-2024-24110)
Severidad: MEDIA
Fecha de publicación: 21/03/2024
Fecha de última actualización: 10/06/2025
La vulnerabilidad de inyección SQL en crmeb_java anterior a v1.3.4 permite a los atacantes ejecutar comandos SQL arbitrarios a través de una solicitud GET manipulada al componente /api/front/spread/people.
Vulnerabilidad en FUDforum v3.1.3 (CVE-2024-30951)
Severidad: MEDIA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 10/06/2025
Se descubrió que FUDforum v3.1.3 contenía una vulnerabilidad de cross site scripting (XSS) reflejada a través del parámetro chpos en /adm/admsmiley.php.
Vulnerabilidad en FUDforum v3.1.3 (CVE-2024-30950)
Severidad: BAJA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 10/06/2025
Una vulnerabilidad de cross site scripting (XSS) almacenadas en FUDforum v3.1.3 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el campo de declaraciones SQL en /adm/admsql.php.
Vulnerabilidad en Veritas NetBackup (CVE-2024-33672)
Severidad: ALTA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 10/06/2025
Se descubrió un problema en Veritas NetBackup antes de la versión 10.4. El agente multiproceso utilizado en NetBackup se puede aprovechar para realizar la eliminación arbitraria de archivos protegidos.
Vulnerabilidad en MM-email2image de WordPress (CVE-2024-3076)
Severidad: BAJA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 10/06/2025
El complemento MM-email2image de WordPress hasta la versión 0.2.5 no tiene verificación CSRF en algunos lugares y le falta desinfección y escape, lo que podría permitir a los atacantes hacer que el administrador registrado agregue payload XSS Almacenado a través de un ataque CSRF.
Vulnerabilidad en Online Booking & Scheduling Calendar for WordPress by vcita para WordPress (CVE-2024-5859)
Severidad: MEDIA
Fecha de publicación: 21/06/2024
Fecha de última actualización: 10/06/2025
El complemento Online Booking & Scheduling Calendar for WordPress by vcita para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'd' en todas las versiones hasta la 4.4.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Vulnerabilidad en Online Booking & Scheduling Calendar for WordPress by vcita para WordPress (CVE-2024-5791)
Severidad: ALTA
Fecha de publicación: 22/06/2024
Fecha de última actualización: 10/06/2025
El complemento Online Booking & Scheduling Calendar for WordPress by vcita para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'wp_id' en todas las versiones hasta la 4.4.2 incluida debido a la falta de controles de autorización en la función ProcessAction, así como como una higienización insuficiente de los insumos y fugas de productos. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios que se ejecutarán cada vez que un usuario acceda a un panel de administración de wp.
Vulnerabilidad en OpenVPN (CVE-2024-28882)
Severidad: MEDIA
Fecha de publicación: 08/07/2024
Fecha de última actualización: 10/06/2025
OpenVPN 2.6.10 y versiones anteriores en una función de servidor aceptan múltiples notificaciones de salida de clientes autenticados que extenderán la validez de una sesión de cierre
Vulnerabilidad en Social Media Widget para WordPress (CVE-2024-0974)
Severidad: MEDIA
Fecha de publicación: 12/07/2024
Fecha de última actualización: 10/06/2025
El complemento Social Media Widget para WordPress anterior a 4.0.9 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en configuración multisitio).
Vulnerabilidad en shortcodes-ultimate-pro de WordPress (CVE-2024-4217)
Severidad: MEDIA
Fecha de publicación: 13/07/2024
Fecha de última actualización: 10/06/2025
El complemento shortcodes-ultimate-pro de WordPress anterior a 7.1.5 no escapa adecuadamente a algunas de las configuraciones de sus códigos cortos, lo que hace posible que los atacantes con una cuenta de Contributor realicen ataques XSS almacenados.
Vulnerabilidad en Online Booking & Scheduling Calendar para WordPress de vcita (CVE-2024-37262)
Severidad: ALTA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 10/06/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en vCita.Com Online Booking & Scheduling Calendar para WordPress de vcita permite el XSS reflejado. Este problema afecta el Online Booking & Scheduling Calendar para WordPress de vcita: de n/a hasta 4.4.2.
Vulnerabilidad en complemento de WordPress Zephyr Project Manager (CVE-2024-6536)
Severidad: MEDIA
Fecha de publicación: 30/07/2024
Fecha de última actualización: 10/06/2025
El complemento de WordPress Zephyr Project Manager anterior a 3.3.99 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como editores y administradores, realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en configuración multisitio)
Vulnerabilidad en complemento SpiderContacts de WordPress (CVE-2024-6272)
Severidad: MEDIA
Fecha de publicación: 31/07/2024
Fecha de última actualización: 10/06/2025
El complemento SpiderContacts de WordPress hasta la versión 1.1.7 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross-Site Scripting reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
Vulnerabilidad en complemento HTML Forms de WordPress (CVE-2024-6412)
Severidad: MEDIA
Fecha de publicación: 31/07/2024
Fecha de última actualización: 10/06/2025
El complemento HTML Forms de WordPress anterior a la versión 1.3.34 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en complemento Floating Notification Bar, Sticky Menu on Scroll, Announcement Banner, and Sticky Header for Any de WordPress (CVE-2024-4090)
Severidad: MEDIA
Fecha de publicación: 01/08/2024
Fecha de última actualización: 10/06/2025
El complemento Floating Notification Bar, Sticky Menu on Scroll, Announcement Banner, and Sticky Header for Any de WordPress anterior a 2.7.2 no sanitiza ni escapan a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting. incluso cuando unfiltered_html no está permitido
Vulnerabilidad en Wpsoul Greenshift – animation and page builder blocks (CVE-2024-44005)
Severidad: MEDIA
Fecha de publicación: 18/09/2024
Fecha de última actualización: 10/06/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') vulnerabilidad en Wpsoul Greenshift – animation and page builder blocks permite XSS almacenado. Este problema afecta a Greenshift – animation and page builder blocks: desde n/a hasta 9.3.7.
Vulnerabilidad en OpenVPN (CVE-2024-5594)
Severidad: CRÍTICA
Fecha de publicación: 06/01/2025
Fecha de última actualización: 10/06/2025
OpenVPN anterior a 2.6.11 no desinfecta adecuadamente los mensajes PUSH_REPLY, lo cual los atacantes pueden usar para inyectar datos arbitrarios inesperados en ejecutables o complementos de terceros.
Vulnerabilidad en OpenVPN Connect (CVE-2024-8474)
Severidad: ALTA
Fecha de publicación: 06/01/2025
Fecha de última actualización: 10/06/2025
OpenVPN Connect anterior a la versión 3.5.0 puede contener la clave privada en texto plano del perfil de configuración que se registra en el registro de la aplicación, que un actor no autorizado puede usar para descifrar el tráfico VPN.
Vulnerabilidad en OpenVPN ovpn-dco (CVE-2024-5198)
Severidad: BAJA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 10/06/2025
OpenVPN ovpn-dco para Windows versión 1.1.1 permite que un atacante local sin privilegios envíe mensajes de control de E/S con datos no válidos al controlador, lo que genera una desreferencia de puntero NULL que provoca la detención del sistema.
Vulnerabilidad en Drupal oEmbed Providers (CVE-2025-47702)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal oEmbed Providers permite Cross-Site Scripting (XSS). Este problema afecta a los proveedores oEmbed: desde la versión 0.0.0 hasta la 2.2.2.
Vulnerabilidad en Drupal COOKiES Consent Management (CVE-2025-47703)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal COOKiES Consent Management permite Cross-Site Scripting (XSS). Este problema afecta a COOKiES Consent Management: desde la versión 0.0.0 hasta la 1.2.14.
Vulnerabilidad en Drupal Klaro Cookie & Consent Management (CVE-2025-47704)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal Klaro Cookie & Consent Management permite Cross-Site Scripting (XSS). Este problema afecta a Klaro Cookie & Consent Management: desde la versión 0.0.0 hasta la 3.0.5.
Vulnerabilidad en Drupal IFrame Remove Filter (CVE-2025-47705)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal IFrame Remove Filter permite Cross-Site Scripting (XSS). Este problema afecta a IFrame Remove Filter: desde la versión 0.0.0 hasta la 2.0.5.
Vulnerabilidad en Drupal Enterprise MFA - TFA para Drupal (CVE-2025-47706)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
Vulnerabilidad de omisión de autenticación por captura y repetición en Drupal Enterprise MFA - TFA para Drupal permite servicios remotos con credenciales robadas. Este problema afecta a Enterprise MFA - TFA para Drupal: desde la versión 0.0.0 hasta la 4.7.0 y desde la versión 5.0.0 hasta la 5.2.0.
Vulnerabilidad en Drupal Enterprise MFA - TFA para Drupal (CVE-2025-47707)
Severidad: ALTA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
Vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en Drupal Enterprise MFA - TFA para Drupal permite la omisión de autenticación. Este problema afecta a Enterprise MFA - TFA para Drupal: desde la versión 0.0.0 hasta la 4.7.0 y desde la versión 5.0.0 hasta la 5.2.0.
Vulnerabilidad en Drupal Enterprise MFA - TFA para Drupal (CVE-2025-47708)
Severidad: ALTA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Drupal Enterprise MFA - TFA para Drupal permite Cross-Site Request Forgery. Este problema afecta a Enterprise MFA - TFA para Drupal: desde la versión 0.0.0 hasta la 4.7.0, desde la versión 5.0.0 hasta la 5.2.0.
Vulnerabilidad en Drupal Enterprise MFA - TFA para Drupal (CVE-2025-47709)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
Vulnerabilidad de autorización faltante en Drupal Enterprise MFA - TFA para Drupal permite la navegación forzada. Este problema afecta a Enterprise MFA - TFA para Drupal: desde la versión 0.0.0 hasta la 4.7.0 y desde la versión 5.0.0 hasta la 5.2.0.
Vulnerabilidad en Drupal Enterprise MFA - TFA para Drupal (CVE-2025-47710)
Severidad: ALTA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 10/06/2025
Vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en Drupal Enterprise MFA - TFA para Drupal permite la omisión de autenticación. Este problema afecta a Enterprise MFA - TFA para Drupal: desde la versión 0.0.0 hasta la 4.7.0 y desde la versión 5.0.0 hasta la 5.2.0.
Vulnerabilidad en MailPoet para WordPress (CVE-2024-12743)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento MailPoet para WordPress anterior a la versión 5.5.2 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en buddyboss-platform de WordPress (CVE-2024-12767)
Severidad: ALTA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento de buddyboss-platform de WordPress anterior a la versión 2.7.60 carece de controles de acceso adecuados y permite que un usuario que haya iniciado sesión vea comentarios en publicaciones privadas.
Vulnerabilidad en WP ULike para WordPress (CVE-2024-12770)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento WP ULike para WordPress anterior a la versión 4.7.6 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en IP Based Login de WordPress (CVE-2024-12800)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento IP Based Login de WordPress anterior a la versión 2.4.1 no depura los valores al importarlos, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress (CVE-2024-12808)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress anterior a 1.13.4 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir que usuarios con altos privilegios como el administrador realicen ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress (CVE-2024-12812)
Severidad: ALTA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress anterior a la versión 1.13.4 tiene un problema en el que los empleados pueden manipular parámetros para acceder a los datos de los empleados despedidos.
Vulnerabilidad en AWeber para WordPress (CVE-2024-13313)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento AWeber para WordPress hasta la versión 7.3.20 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Ditty para WordPress (CVE-2024-13357)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento Ditty para WordPress anterior a la versión 3.1.52 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el autor realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en HD Quiz para WordPress (CVE-2024-13383)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento HD Quiz para WordPress anterior a la versión 2.0.0 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en VikBooking Hotel Booking Engine & PMS para WordPress (CVE-2024-13616)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento VikBooking Hotel Booking Engine & PMS para WordPress anterior a la versión 1.7.2 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en LifterLMS para WordPress (CVE-2024-13619)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento LifterLMS para WordPress anterior a la versión 8.0.1 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
Vulnerabilidad en GDPR Framework By Data443 de WordPress (CVE-2024-13621)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento GDPR Framework By Data443 de WordPress anterior a la versión 2.2.0 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en MemberSpace para WordPress (CVE-2024-13727)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento MemberSpace para WordPress anterior a la versión 2.1.14 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting Reflejado que solo se puede usar contra usuarios no autenticados.
Vulnerabilidad en 360 Product Rotation de WordPress (CVE-2024-13823)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento 360 Product Rotation de WordPress hasta la versión 1.5.8 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting Reflejado que solo se puede usar contra usuarios no autenticados.
Vulnerabilidad en Badgearoo para WordPress (CVE-2024-13828)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento Badgearoo para WordPress hasta la versión 1.0.14 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
Vulnerabilidad en Save as Image Plugin by Pdfcrowd para WordPress (CVE-2024-3062)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento Save as Image Plugin by Pdfcrowd para WordPress anterior a la versión 3.2.2 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Advanced Cron Manager de WordPress (CVE-2024-4004)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento Advanced Cron Manager de WordPress anterior a la versión 2.5.7 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en CM Tooltip Glossary de WordPress (CVE-2024-5026)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 10/06/2025
El complemento CM Tooltip Glossary de WordPress anterior a la versión 4.3.4 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Yandex Browser Lite (CVE-2021-25254)
Severidad: ALTA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 10/06/2025
Yandex Browser Lite para Android anterior a 21.1.0 permite a atacantes remotos falsificar la barra de direcciones.
Vulnerabilidad en Yandex Browser Lite (CVE-2021-25255)
Severidad: ALTA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 10/06/2025
Yandex Browser Lite para Android anterior a la versión 21.1.0 permite a atacantes remotos provocar una denegación de servicio.
Vulnerabilidad en Yandex Browser (CVE-2021-25262)
Severidad: MEDIA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 10/06/2025
Yandex Browser para Android anterior a la versión 21.3.0 permite a atacantes remotos realizar ataques de homógrafos IDN.
Vulnerabilidad en Drupal Single Content Sync (CVE-2025-48009)
Severidad: BAJA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 10/06/2025
La vulnerabilidad de autorización faltante en Drupal Single Content Sync permite el uso indebido de la funcionalidad. Este problema afecta a Single Content Sync: desde la versión 0.0.0 hasta la 1.4.12.
Vulnerabilidad en Drupal One Time Password (CVE-2025-48010)
Severidad: MEDIA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 10/06/2025
La vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en Drupal One Time Password permite omitir la funcionalidad. Este problema afecta a One Time Password: desde la versión 0.0.0 hasta la 1.3.0.
Vulnerabilidad en Drupal One Time Password (CVE-2025-48011)
Severidad: MEDIA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 10/06/2025
La vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en Drupal One Time Password permite omitir la funcionalidad. Este problema afecta a One Time Password: desde la versión 0.0.0 hasta la 1.3.0.
Vulnerabilidad en Drupal One Time Password (CVE-2025-48012)
Severidad: MEDIA
Fecha de publicación: 21/05/2025
Fecha de última actualización: 10/06/2025
La vulnerabilidad de omisión de autenticación por captura y repetición en Drupal One Time Password permite servicios remotos con credenciales robadas. Este problema afecta a One Time Password: desde la versión 0.0.0 hasta la 1.3.0.
Vulnerabilidad en PHPGurukul Small CRM 3.0 (CVE-2025-5226)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Small CRM 3.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/change-password.php. La manipulación del argumento oldpass provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en PHPGurukul Small CRM 3.0 (CVE-2025-5227)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Small CRM 3.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/manage-tickets.php. La manipulación del argumento aremark provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en PHPGurukul Online Nurse Hiring System 1.0 (CVE-2025-5230)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Online Nurse Hiring System 1.0. Esta afecta a una parte desconocida del archivo /admin/bwdates-report-details.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Company Visitor Management System 1.0 (CVE-2025-5231)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Company Visitor Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /forgot-password.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Student Study Center Management System 1.0 (CVE-2025-5232)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Student Study Center Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /admin/report.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Company Visitor Management System 1.0 (CVE-2025-5248)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Company Visitor Management System 1.0. La vulnerabilidad afecta a una función desconocida del archivo /bwdates-reports-details.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul News Portal Project 4.1 (CVE-2025-5250)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul News Portal Project 4.1, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/edit-category.php. La manipulación del argumento "Category" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul News Portal Project 4.1 (CVE-2025-5251)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul News Portal Project 4.1. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/edit-subcategory.php. La manipulación del argumento "Category" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Online Exam Mastering System 1.0 (CVE-2025-46173)
Severidad: MEDIA
Fecha de publicación: 27/05/2025
Fecha de última actualización: 10/06/2025
code-projects Online Exam Mastering System 1.0 es vulnerable a Cross-Site Scripting (XSS) a través del campo de nombre en el formulario de comentarios.
Vulnerabilidad en SourceCodester Client Database Management System 1.0 (CVE-2025-5299)
Severidad: MEDIA
Fecha de publicación: 28/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en SourceCodester Client Database Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /user_order_customer_update.php. La manipulación del argumento uploaded_file_cancelled permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en FreeScout (CVE-2025-48471)
Severidad: ALTA
Fecha de publicación: 29/05/2025
Fecha de última actualización: 10/06/2025
FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.179, la aplicación no verificaba o verificaba de forma insuficiente los archivos subidos. Esto permite que se carguen archivos con las extensiones phtml y phar, lo que puede provocar la ejecución remota de código si se utiliza el servidor web Apache. Este problema se ha corregido en la versión 1.8.179.
Vulnerabilidad en FreeScout (CVE-2025-48472)
Severidad: MEDIA
Fecha de publicación: 29/05/2025
Fecha de última actualización: 10/06/2025
FreeScout es un servicio de asistencia gratuito y autoalojado, con buzón compartido. Antes de la versión 1.8.179, no se verificaba que el usuario deshabilitara las notificaciones del buzón al que ya tenía acceso. Además, el código implementa explícitamente la funcionalidad de que, si el usuario no tiene acceso al buzón, tras deshabilitar (habilitar) las notificaciones de este, podrá acceder a él. Este problema se ha corregido en la versión 1.8.179.
Vulnerabilidad en chshcms mccms 2.7 (CVE-2025-5327)
Severidad: MEDIA
Fecha de publicación: 29/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en chshcms mccms 2.7. Se ha clasificado como crítica. Afecta el índice de función del archivo sys/apps/controllers/api/Gf.php. La manipulación del argumento "pic" provoca server-side request forgery. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Vulnerabilidad en chshcms mccms 2.7 (CVE-2025-5328)
Severidad: MEDIA
Fecha de publicación: 29/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en chshcms mccms 2.7. Se ha declarado crítica. Esta vulnerabilidad afecta a la función restore_del del archivo /sys/apps/controllers/admin/Backups.php. La manipulación del argumento dirs provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Vulnerabilidad en PHPGurukul/Campcodes Cyber Cafe Management System 1.0 (CVE-2025-5358)
Severidad: MEDIA
Fecha de publicación: 30/05/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul/Campcodes Cyber Cafe Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /bwdates-reports-details.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Online Hospital Management System 1.0 (CVE-2025-5359)
Severidad: MEDIA
Fecha de publicación: 30/05/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en Campcodes Online Hospital Management System 1.0. Esta afecta a una parte desconocida del archivo /appointment-history.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Linksys (CVE-2025-5443)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en los Linksys RE6500, RE6250, RE6300, RE6350, RE7000 y RE9000 (versión 1.0.013.001/1.0.04.001/1.0.04.002/1.1.05.003/1.2.07.001). La función wirelessAdvancedHidden del archivo /goform/wirelessAdvancedHidden se ve afectada. La manipulación del argumento ExtChSelector/24GSelector/5GSelector provoca la inyección de comandos del sistema operativo. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Vulnerabilidad en Linksys (CVE-2025-5444)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad en Linksys RE6500, RE6250, RE6300, RE6350, RE7000 y RE9000 (1.0.013.001/1.0.04.001/1.0.04.002/1.1.05.003/1.2.07.001), clasificada como crítica. Esta vulnerabilidad afecta a la función RP_UpgradeFWByBBS del archivo /goform/RP_UpgradeFWByBBS. La manipulación del argumento type/ch/ssidhex/security/extch/pwd/mode/ip/nm/gw provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Vulnerabilidad en Linksys (CVE-2025-5445)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en Linksys RE6500, RE6250, RE6300, RE6350, RE7000 y RE9000 1.0.013.001/1.0.04.001/1.0.04.002/1.1.05.003/1.2.07.001, clasificada como crítica. Este problema afecta a la función RP_checkFWByBBS del archivo /goform/RP_checkFWByBBS. La manipulación del argumento type/ch/ssidhex/security/extch/pwd/mode/ip/nm/gw provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Vulnerabilidad en Unisoc (CVE-2025-31710)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 10/06/2025
En el servicio en modo ingeniero, existe una posible inyección de comandos debido a una validación de entrada incorrecta. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales.
Vulnerabilidad en Unisoc (CVE-2025-31711)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 10/06/2025
En el servicio cplog, existe la posibilidad de un fallo del sistema debido a la desreferencia de un puntero nulo. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales.
Vulnerabilidad en Unisoc (CVE-2025-31712)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 10/06/2025
En el servicio cplog, existe la posibilidad de una escritura fuera de los límites debido a una verificación de los límites incompleta. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales.
Vulnerabilidad en PHPGurukul Daily Expense Tracker System 1.1 (CVE-2025-5546)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Daily Expense Tracker System 1.1. Esta vulnerabilidad afecta al código desconocido del archivo /expense-reports-detailed.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Rail Pass Management System 1.0 (CVE-2025-5553)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad crítica en PHPGurukul Rail Pass Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /download-pass.php. La manipulación del argumento "searchdata" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Rail Pass Management System 1.0 (CVE-2025-5554)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en PHPGurukul Rail Pass Management System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /admin/pass-bwdates-reports-details.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Teacher Subject Allocation Management System 1.0 (CVE-2025-5556)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Teacher Subject Allocation Management System 1.0. Esta afecta a una parte desconocida del archivo /admin/edit-teacher-info.php. La manipulación del argumento editid provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Teacher Subject Allocation Management System 1.0 (CVE-2025-5557)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Teacher Subject Allocation Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/edit-course.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Teacher Subject Allocation Management System 1.0 (CVE-2025-5558)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Teacher Subject Allocation Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/changeimage.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0 (CVE-2025-5560)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /index.php. La manipulación del argumento "searchdata" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0 (CVE-2025-5561)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/view-pass-detail.php. La manipulación del argumento viewid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0 (CVE-2025-5562)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Curfew e-Pass Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/edit-category-detail.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Notice Board System 1.0 (CVE-2025-5566)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en PHPGurukul Notice Board System 1.0. Esta afecta a una parte desconocida del archivo /search-notice.php. La manipulación del argumento "searchdata" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Dairy Farm Shop Management System 1.3 (CVE-2025-5574)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en PHPGurukul Dairy Farm Shop Management System 1.3. Esta afecta a una parte desconocida del archivo /add-company.php. La manipulación del argumento "companyname" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Hospital Management System 4.0 (CVE-2025-5584)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Hospital Management System 4.0. Se ha clasificado como problemática. Se ve afectada una función desconocida del archivo /doctor/edit-patient.php?editid=2 del componente POST Parameter Handler. La manipulación del argumento "patname" provoca ataques de cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Hospital Management System 1.0 (CVE-2025-5602)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en Campcodes Hospital Management System 1.0. La función afectada es desconocida en el archivo /admin/registration.php. La manipulación del argumento full_name provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Hospital Management System 1.0 (CVE-2025-5603)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad en Campcodes Hospital Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /registration.php. La manipulación del argumento full_name/username provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en TOTOLINK EX1200T 4.1.2cu.5232_B20210713 (CVE-2025-5600)
Severidad: CRÍTICA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en TOTOLINK EX1200T 4.1.2cu.5232_B20210713. Este problema afecta a la función setLanguageCfg del archivo /cgi-bin/cstecgi.cgi. La manipulación del argumento LangType provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Hospital Management System 1.0 (CVE-2025-5604)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en Campcodes Hospital Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /user-login.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Tenda AC18 15.03.05.05 (CVE-2025-5606)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en Tenda AC18 15.03.05.05. Se ha declarado crítica. Esta vulnerabilidad afecta a la función formSetIptv del archivo /goform/SetIPTVCfg. La manipulación de la lista de argumentos provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en FreshRSS (CVE-2025-31134)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
FreshRSS es un agregador de feeds RSS autoalojado. Antes de la versión 1.26.2, un atacante podía obtener información adicional sobre el servidor comprobando la existencia de ciertos directorios. Por ejemplo, un atacante podía comprobar si había versiones anteriores de PHP instaladas o si había algún software instalado en el servidor y potencialmente usar esa información para atacarlo. La versión 1.26.2 incluye un parche para este problema.
Vulnerabilidad en FreshRSS (CVE-2025-31136)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
FreshRSS es un agregador de feeds RSS autoalojado. Antes de la versión 1.26.2, era posible ejecutar JavaScript arbitrario en la página de feeds. Esto ocurre al combinar un problema de Cross-Site Scripting (XSS) que ocurre en `f.php` al descargar faviconos SVG de un feed controlado por un atacante que contiene etiquetas `
Vulnerabilidad en Unifiedtransform v2.0 (CVE-2025-46203)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Un problema en Unifiedtransform v2.0 permite que un atacante remoto escale privilegios a través del endpoint /students/edit/{id}.
Vulnerabilidad en Unifiedtransform v2.0 (CVE-2025-46204)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Un problema en Unifiedtransform v2.0 permite que un atacante remoto escale privilegios a través del endpoint /course/edit/{id}.
Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-5614)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /search-report-result.php. La manipulación del argumento "serachdata" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-5615)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /details.php. La manipulación del argumento requestid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects/anirbandutta9 Content Management System and News-Buzz 1.0 (CVE-2025-5631)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en code-projects/anirbandutta9 Content Management System and News-Buzz 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /publicposts.php. La manipulación del argumento "post" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects/anirbandutta9 Content Management System and News-Buzz 1.0 (CVE-2025-5632)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en code-projects/anirbandutta9 Content Management System and News-Buzz 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/users.php. La manipulación del argumento change_to_admin provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects/anirbandutta9 Content Management System and News-Buzz 1.0 (CVE-2025-5633)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en code-projects/anirbandutta9 Content Management System and News-Buzz 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/users.php. La manipulación del argumento "delete" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-5649)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en SourceCodester Student Result Management System 1.0. Esta afecta a una parte desconocida del archivo /admin/core/new_user del componente Register Interface. La manipulación genera controles de acceso inadecuados. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en 1000projects Online Notice Board 1.0 (CVE-2025-5650)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en 1000projects Online Notice Board 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /register.php. La manipulación del argumento fname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en code-projects Traffic Offense Reporting System 1.0 (CVE-2025-5651)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad clasificada como problemática en code-projects Traffic Offense Reporting System 1.0. Este problema afecta a un procesamiento desconocido del archivo saveuser.php. La manipulación del argumento user_id/username/email/name/position provoca ataques de Cross Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Complaint Management System 2.0 (CVE-2025-5653)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Complaint Management System 2.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/between-date-userreport.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Complaint Management System 2.0 (CVE-2025-5654)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Complaint Management System 2.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/edit-state.php. La manipulación de la descripción del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Complaint Management System 2.0 (CVE-2025-5655)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Complaint Management System 2.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/edit-subcategory.php. La manipulación del argumento "subcategory" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Complaint Management System 2.0 (CVE-2025-5656)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Complaint Management System 2.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/edit-category.php. La manipulación de la descripción del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Complaint Management System 2.0 (CVE-2025-5657)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Complaint Management System 2.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/manage-users.php. La manipulación del argumento uid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Complaint Management System 2.0 (CVE-2025-5658)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en PHPGurukul Complaint Management System 2.0. Se ve afectada una función desconocida del archivo /admin/updatecomplaint.php. La manipulación del argumento "Status" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Traffic Offense Reporting System 1.0 (CVE-2025-5661)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como problemática en code-projects Traffic Offense Reporting System 1.0. Esta afecta a una parte desconocida del archivo /save-settings.php del componente Setting Handler. La manipulación del argumento "site_name" provoca ataques de Cross Site Scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Tenda CH22 1.0.0.1 (CVE-2025-5685)
Severidad: ALTA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en Tenda CH22 1.0.0.1. Esta afecta a la función formNatlimit del archivo /goform/Natlimit. La manipulación de la página de argumentos provoca un desbordamiento del búfer en la pila. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0. (CVE-2025-5693)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /bwdates-report-result.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-5694)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /search-report-result.php. La manipulación del argumento serachdata provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-5704)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en code-projects Real Estate Property Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /Admin/User.php. La manipulación del argumento txtUserName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-5705)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en code-projects Real Estate Property Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /Admin/Property.php. La manipulación del argumento cmbCat provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-5706)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /new-user-testing.php. La manipulación del estado del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0 (CVE-2025-5707)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Human Metapneumovirus Testing Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /registered-user-testing.php. La manipulación del argumento testtype provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-5708)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en code-projects Real Estate Property Management System 1.0. Esta afecta a una parte desconocida del archivo /Admin/NewsReport.php. La manipulación del argumento txtFrom provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-5709)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects Real Estate Property Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /Admin/InsertCategory.php. La manipulación del argumento txtCategoryName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-5710)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Real Estate Property Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /Admin/InsertState.php. La manipulación del argumento txtStateName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-5711)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects Real Estate Property Management System 1.0. Se ve afectada una función desconocida del archivo /Admin/InsertCity.php. La manipulación del argumento cmbState provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Open Source Clinic Management System 1.0 (CVE-2025-5712)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad en SourceCodester Open Source Clinic Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /appointment.php. La manipulación del argumento "patient" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Open Source Clinic Management System 1.0 (CVE-2025-5716)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en SourceCodester Open Source Clinic Management System 1.0. Se ve afectada una función desconocida del archivo /login.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-5721)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como problemática en SourceCodester Student Result Management System 1.0. Esta vulnerabilidad afecta a una parte desconocida del archivo /script/academic/core/update_profile del componente Profile Setting Page Esta manipulación provoca ataques de Cross Site Scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-5722)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad en SourceCodester Student Result Management System 1.0, clasificada como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /script/academic/terms del componente Add Academic Term. La manipulación del argumento Academic Term provoca Cross Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-5723)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en SourceCodester Student Result Management System 1.0, clasificada como problemática. Este problema afecta a un procesamiento desconocido del archivo /script/academic/classes del componente Página de Clases. La manipulación del argumento Class Name provoca Cross Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-5724)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en SourceCodester Student Result Management System 1.0. Se ha clasificado como problemática. Se ve afectada una función desconocida del archivo /script/academic/subjects del componente Subjects Page. La manipulación del argumento Subject provoca Cross Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-5725)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en SourceCodester Student Result Management System 1.0. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /script/academic/grading-system del componente Grading System Page. La manipulación del argumento Remark provoca Cross Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Open Source Clinic Management System 1.0 (CVE-2025-5728)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad crítica en SourceCodester Open Source Clinic Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /manage_website.php. La manipulación del argumento website_image permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Traffic Offense Reporting System 1.0 (CVE-2025-5732)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como problemática en code-projects Traffic Offense Reporting System 1.0. Esta afecta a una parte desconocida. La manipulación provoca cross-site request forgery. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Open Source Clinic Management System 1.0 (CVE-2025-5755)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en SourceCodester Open Source Clinic Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /email_config.php. La manipulación del argumento "email" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Open Source Clinic Management System 1.0 (CVE-2025-5758)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad crítica en SourceCodester Open Source Clinic Management System 1.0. Esta afecta a una parte desconocida del archivo /doctor.php. La manipulación del argumento doctorname provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en PHPGurukul Local Services Search Engine Management System 2.1 (CVE-2025-5759)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Local Services Search Engine Management System 2.1. Esta vulnerabilidad afecta al código desconocido del archivo /admin/edit-person-detail.php?editid=2. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul BP Monitoring Management System 1.0 (CVE-2025-5761)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en PHPGurukul BP Monitoring Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /edit-family-member.php. La manipulación del argumento "memberage" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en code-projects Patient Record Management System 1.0 (CVE-2025-5762)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects Patient Record Management System 1.0. Se ve afectada una función desconocida del archivo view_hematology.php. La manipulación del argumento itr_no provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Tenda CP3 11.10.00.2311090948 (CVE-2025-5763)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad en Tenda CP3 11.10.00.2311090948, clasificada como crítica. Esta vulnerabilidad afecta a la función sub_F3C8C del archivo apollo. La manipulación provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Employee Record Management System 1.3 (CVE-2025-5782)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en PHPGurukul Employee Record Management System 1.3. Este problema afecta a una funcionalidad desconocida del archivo /resetpassword.php. La manipulación del argumento newpassword provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Employee Record Management System 1.3 (CVE-2025-5783)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Employee Record Management System 1.3. Esta afecta a una parte desconocida del archivo /editmyexp.php. La manipulación del argumento emp3workduration provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Employee Record Management System 1.3 (CVE-2025-5784)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Employee Record Management System 1.3, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /myexp.php. La manipulación del argumento emp3ctc provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en TOTOLINK X15 1.0.0-B20230714.1105 (CVE-2025-5785)
Severidad: ALTA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en TOTOLINK X15 1.0.0-B20230714.1105, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /boafrm/formWirelessTbl del componente HTTP POST Request Handler. La manipulación del argumento submit-url provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en TOTOLINK X15 1.0.0-B20230714.1105 (CVE-2025-5786)
Severidad: ALTA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en TOTOLINK X15 1.0.0-B20230714.1105. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /boafrm/formDMZ del componente HTTP POST Request Handler. La manipulación del argumento submit-url provoca un desbordamiento del búfer. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Employee Record Management System 1.3 (CVE-2025-5838)
Severidad: MEDIA
Fecha de publicación: 07/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Employee Record Management System 1.3. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/adminprofile.php. La manipulación del argumento AdminName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Client Database Management System 1.0 (CVE-2025-5840)
Severidad: MEDIA
Fecha de publicación: 07/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Client Database Management System 1.0. Esta afecta a una parte desconocida del archivo /user_update_customer_order.php. La manipulación del argumento uploaded_file permite la carga sin restricciones. Es posible iniciar el ataque de forma remota.
Vulnerabilidad en PHPGurukul BP Monitoring Management System 1.0 (CVE-2025-5856)
Severidad: MEDIA
Fecha de publicación: 09/06/2025
Fecha de última actualización: 10/06/2025
Se ha encontrado una vulnerabilidad en PHPGurukul BP Monitoring Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /registration.php. La manipulación del argumento emailid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Nipah Virus Testing Management System 1.0 (CVE-2025-5858)
Severidad: MEDIA
Fecha de publicación: 09/06/2025
Fecha de última actualización: 10/06/2025
Se encontró una vulnerabilidad en PHPGurukul Nipah Virus Testing Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /patient-report.php. La manipulación del argumento "searchdata" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.