Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en PHPJabbers Event Booking Calendar v4.0 (CVE-2023-51295)
Severidad: MEDIA
Fecha de publicación: 08/05/2025
Fecha de última actualización: 16/06/2025
PHPJabbers Event Booking Calendar v4.0 es vulnerable a la inyección de HTML múltiple en los parámetros "nombre, plugin_sms_api_key, plugin_sms_country_code, título, plugin_sms_api_key, título".
-
Vulnerabilidad en PHPJabbers Cleaning Business Software v1.0 (CVE-2023-51328)
Severidad: MEDIA
Fecha de publicación: 08/05/2025
Fecha de última actualización: 16/06/2025
PHPJabbers Cleaning Business Software v1.0 es vulnerable a Cross-Site Scripting (XSS) múltiple almacenado en los parámetros "c_name, name".
-
Vulnerabilidad en phpList 3.6.3 (CVE-2025-28073)
Severidad: MEDIA
Fecha de publicación: 08/05/2025
Fecha de última actualización: 16/06/2025
phpList 3.6.3 es vulnerable a ataques de Cross-Site Scripting (XSS) reflejado a través del endpoint /lists/dl.php. Un atacante puede inyectar código JavaScript arbitrario manipulando el parámetro id, que está depurado incorrectamente.
-
Vulnerabilidad en phpList 3.6.3 (CVE-2025-28074)
Severidad: MEDIA
Fecha de publicación: 08/05/2025
Fecha de última actualización: 16/06/2025
Las versiones anteriores a phpList 3.6.3 son vulnerables a ataques de cross site scripting (XSS) debido a una depuración incorrecta de la entrada en lt.php. Esta vulnerabilidad se puede explotar cuando la aplicación hace referencia dinámicamente a rutas internas y procesa entradas no confiables sin escapar, lo que permite a un atacante inyectar JavaScript malicioso.
-
Vulnerabilidad en libpspp-core.a en GNU PSPP (CVE-2025-47816)
Severidad: BAJA
Fecha de publicación: 10/05/2025
Fecha de última actualización: 16/06/2025
libpspp-core.a en GNU PSPP hasta 2.0.1 permite a los atacantes provocar una lectura fuera de los límites de spvxml-helpers.c spvxml_parse_attributes, relacionada con contenido adicional al final de un documento.
-
Vulnerabilidad en kkFileView 4.4.0 (CVE-2025-4538)
Severidad: MEDIA
Fecha de publicación: 11/05/2025
Fecha de última actualización: 16/06/2025
Se encontró una vulnerabilidad en kkFileView 4.4.0. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo /fileUpload. La manipulación del argumento File permite una carga sin restricciones. Es posible iniciar el ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en EngineerCMS (CVE-2025-44831)
Severidad: CRÍTICA
Fecha de publicación: 13/05/2025
Fecha de última actualización: 16/06/2025
EngineerCMS v1.02 a v2.0.5 tiene una vulnerabilidad de inyección SQL en la interfaz /project/addproject.
-
Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-45859)
Severidad: MEDIA
Fecha de publicación: 13/05/2025
Fecha de última actualización: 16/06/2025
Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene un desbordamiento de búfer a través del parámetro bandstr en la interfaz formMapDelDevice.
-
Vulnerabilidad en parse_string en cJSON (CVE-2023-53154)
Severidad: BAJA
Fecha de publicación: 23/05/2025
Fecha de última actualización: 16/06/2025
parse_string en cJSON anterior a 1.7.18 tiene una sobrelectura de búfer basada en montón a través de {"1":1, sin nueva línea final si se llama a cJSON_ParseWithLength.
-
Vulnerabilidad en FLIR AX8 (CVE-2025-5126)
Severidad: ALTA
Fecha de publicación: 24/05/2025
Fecha de última actualización: 16/06/2025
Se detectó una vulnerabilidad crítica en FLIR AX8 hasta la versión 1.46.16. Esta vulnerabilidad afecta a la función setDataTime del archivo \usr\www\application\models\settingsregional.php. La manipulación del argumento "year/month/day/hour/minute" provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en FLIR AX8 (CVE-2025-5127)
Severidad: MEDIA
Fecha de publicación: 24/05/2025
Fecha de última actualización: 16/06/2025
Se ha detectado una vulnerabilidad clasificada como problemática en FLIR AX8 hasta la versión 1.46.16. Este problema afecta a un procesamiento desconocido del archivo /prod.php. La manipulación del argumento cmd provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en Tmall Demo (CVE-2025-5130)
Severidad: MEDIA
Fecha de publicación: 24/05/2025
Fecha de última actualización: 16/06/2025
Se encontró una vulnerabilidad en Tmall Demo hasta la versión 20250505. Se ha clasificado como crítica. Afecta la función "uploadProductImage" del archivo tmall/admin/uploadProductImage. La manipulación del argumento "File" permite la carga sin restricciones. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza el enfoque de lanzamiento continuo para garantizar una entrega continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las actualizadas. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en Tmall Demo (CVE-2025-5132)
Severidad: MEDIA
Fecha de publicación: 24/05/2025
Fecha de última actualización: 16/06/2025
Se encontró una vulnerabilidad en Tmall Demo hasta la versión 20250505. Se ha clasificado como problemática. Este problema afecta a un procesamiento desconocido del archivo tmall/admin/account/logout. La manipulación provoca una Cross-Site Request Forgery. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto no utiliza control de versiones. Por ello, no hay información disponible sobre las versiones afectadas y no afectadas. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en RSBlog! (CVE-2025-27754)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 16/06/2025
Se descubrió una vulnerabilidad XSS almacenado en el componente RSBlog! 1.11.6 - 1.14.4 para Joomla. Esta vulnerabilidad permite a usuarios autenticados inyectar JavaScript malicioso en el recurso del complemento. La aplicación almacena el payload inyectado y lo ejecuta posteriormente cuando otros usuarios visualizan el contenido afectado.
-
Vulnerabilidad en TOTOLINK EX1200T (CVE-2025-5907)
Severidad: ALTA
Fecha de publicación: 10/06/2025
Fecha de última actualización: 16/06/2025
Se detectó una vulnerabilidad crítica en TOTOLINK EX1200T hasta la versión 4.1.2cu.5232_B20210713. Esta vulnerabilidad afecta al código desconocido del archivo /boafrm/formFilter del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en TOTOLINK EX1200T (CVE-2025-5908)
Severidad: ALTA
Fecha de publicación: 10/06/2025
Fecha de última actualización: 16/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en TOTOLINK EX1200T hasta la versión 4.1.2cu.5232_B20210713. Este problema afecta a un procesamiento desconocido del archivo /boafrm/formIpQoS del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en TOTOLINK EX1200T (CVE-2025-5909)
Severidad: ALTA
Fecha de publicación: 10/06/2025
Fecha de última actualización: 16/06/2025
Se encontró una vulnerabilidad clasificada como crítica en TOTOLINK EX1200T hasta la versión 4.1.2cu.5232_B20210713. Se ve afectada una función desconocida del archivo /boafrm/formReflashClientTbl del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en TOTOLINK EX1200T (CVE-2025-5910)
Severidad: ALTA
Fecha de publicación: 10/06/2025
Fecha de última actualización: 16/06/2025
Se ha detectado una vulnerabilidad en TOTOLINK EX1200T hasta la versión 4.1.2cu.5232_B20210713, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /boafrm/formWsc del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en TOTOLINK EX1200T (CVE-2025-5911)
Severidad: ALTA
Fecha de publicación: 10/06/2025
Fecha de última actualización: 16/06/2025
Se encontró una vulnerabilidad en TOTOLINK EX1200T hasta la versión 4.1.2cu.5232_B20210713, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /boafrm/formDMZ del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en D-Link DIR-632 FW103B08 (CVE-2025-5912)
Severidad: ALTA
Fecha de publicación: 10/06/2025
Fecha de última actualización: 16/06/2025
Se encontró una vulnerabilidad en D-Link DIR-632 FW103B08. Se ha declarado crítica. Esta vulnerabilidad afecta a la función do_file del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer en la pila. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
-
Vulnerabilidad en PHPGurukul Vehicle Record Management System 1.0 (CVE-2025-5913)
Severidad: MEDIA
Fecha de publicación: 10/06/2025
Fecha de última actualización: 16/06/2025
Se encontró una vulnerabilidad en PHPGurukul Vehicle Record Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/search-vehicle.php. La manipulación del argumento searchinputdata provoca una inyección SQL. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en Firefox (CVE-2025-49709)
Severidad: CRÍTICA
Fecha de publicación: 11/06/2025
Fecha de última actualización: 16/06/2025
Ciertas operaciones de canvas podrían haber provocado corrupción de memoria. Esta vulnerabilidad afecta a Firefox anterior a la versión 139.0.4.
-
Vulnerabilidad en Firefox (CVE-2025-49710)
Severidad: CRÍTICA
Fecha de publicación: 11/06/2025
Fecha de última actualización: 16/06/2025
Se produjo un desbordamiento de entero en `OrderedHashTable` utilizado por el motor JavaScript. Esta vulnerabilidad afecta a Firefox < 139.0.4.
-
Vulnerabilidad en Drupal Commerce Eurobank (CVE-2025-48445)
Severidad: ALTA
Fecha de publicación: 11/06/2025
Fecha de última actualización: 16/06/2025
La vulnerabilidad de autorización incorrecta en Drupal Commerce Eurobank (Redirect) permite el uso indebido de la funcionalidad. Este problema afecta a Commerce Eurobank (Redirect): desde 0.0.0 antes de 2.1.1.
-
Vulnerabilidad en Drupal Commerce Alphabank Redirect (CVE-2025-48446)
Severidad: ALTA
Fecha de publicación: 11/06/2025
Fecha de última actualización: 16/06/2025
La vulnerabilidad de autorización incorrecta en Drupal Commerce Alphabank Redirect permite el uso indebido de la funcionalidad. Este problema afecta a Commerce Alphabank Redirect: desde 0.0.0 antes de 1.0.3.