Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en code-projects Online Shoe Store 1.0 (CVE-2025-6342)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Online Shoe Store 1.0. Este problema afecta a un procesamiento desconocido del archivo /admin/admin_football.php. La manipulación del argumento pid provoca una inyección SQL. El ataque podría ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Shoe Store 1.0 (CVE-2025-6343)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Online Shoe Store 1.0. Se ve afectada una función desconocida del archivo /admin/admin_product.php. La manipulación del argumento pid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Shoe Store 1.0 (CVE-2025-6344)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha encontrado una vulnerabilidad en code-projects Online Shoe Store 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /contactus.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en CloudClassroom-PHP Project v1.0 (CVE-2025-46179)
    Severidad: CRÍTICA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se descubrió una vulnerabilidad de inyección SQL en el archivo askquery.php de CloudClassroom-PHP Project v1.0. El parámetro squeryx acepta entradas no depuradas, que se pasan directamente a las consultas SQL del backend.
  • Vulnerabilidad en SourceCodester My Food Recipe 1.0 (CVE-2025-6345)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad en SourceCodester My Food Recipe 1.0 y se clasificó como problemática. Este problema afecta a la función addRecipeModal del archivo /endpoint/add-recipe.php del componente Add Recipe Page. La manipulación del argumento Name provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Advance Charity Management System 1.0 (CVE-2025-6346)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad en SourceCodester Advance Charity Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /members/fundDetails.php. La manipulación del argumento m06 provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en HotelDruid 3.0.7 (CVE-2025-44203)
    Severidad: ALTA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    En HotelDruid 3.0.7, un atacante no autenticado puede explotar mensajes de error SQL detallados en creadb.php antes de pulsar el botón "Crear base de datos". Al enviar solicitudes POST mal formadas a este endpoint, el atacante puede obtener el nombre de usuario, el hash de la contraseña y la sal del administrador. En algunos casos, el ataque resulta en una denegación de servicio (DoS), impidiendo que el administrador inicie sesión incluso con las credenciales correctas.
  • Vulnerabilidad en novel plus (CVE-2025-45890)
    Severidad: CRÍTICA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    La vulnerabilidad de Directory Traversal en novel plus anterior a v.5.1.0 permite que un atacante remoto ejecute código arbitrario a través del parámetro filePath
  • Vulnerabilidad en itsourcecode Employee Record Management System 1.0 (CVE-2025-6351)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad en itsourcecode Employee Record Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /editprofile.php. La manipulación del argumento emp1name provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Automated Voting System 1.0 (CVE-2025-6352)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en code-projects Automated Voting System 1.0. Se ve afectada una función desconocida del archivo /vote.php del componente Backend. La manipulación genera una solicitud directa. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Shoe Store 1.0 (CVE-2025-6354)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Online Shoe Store 1.0. Este problema afecta a una funcionalidad desconocida del archivo /function/customer_signup.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque podría ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Online Hotel Reservation System 1.0 (CVE-2025-6355)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad en SourceCodester Online Hotel Reservation System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/execeditroom.php. La manipulación del argumento `userid` provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6356)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad en code-projects Simple Pizza Ordering System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /addmem.php. La manipulación provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6357)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad en code-projects Simple Pizza Ordering System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /paymentportal.php. La manipulación del argumento "person" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6358)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad en code-projects Simple Pizza Ordering System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /saveorder.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6359)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad en code-projects Simple Pizza Ordering System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /cashconfirm.php. La manipulación del argumento transactioncode provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6360)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Simple Pizza Ordering System 1.0. Esta afecta a una parte desconocida del archivo /portal.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6361)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Simple Pizza Ordering System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /adds.php. La manipulación del argumento "userid" provoca una inyección SQL. El ataque puede ejecutarse en remoto.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6362)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Simple Pizza Ordering System 1.0. Este problema afecta a un procesamiento desconocido del archivo /editpro.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto.
  • Vulnerabilidad en code-projects Simple Pizza Ordering System 1.0 (CVE-2025-6364)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad en code-projects Simple Pizza Ordering System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /adduser-exec.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto.
  • Vulnerabilidad en NCR Terminal Handler v1.5.1 (CVE-2023-47297)
    Severidad: CRÍTICA
    Fecha de publicación: 23/06/2025
    Fecha de última actualización: 26/06/2025
    Una vulnerabilidad de manipulación de configuración en NCR Terminal Handler v1.5.1 permite a los atacantes ejecutar comandos arbitrarios, incluida la edición de configuraciones de auditoría de seguridad del sistema.
  • Vulnerabilidad en NCR Terminal Handler 1.5.1 (CVE-2023-47298)
    Severidad: MEDIA
    Fecha de publicación: 23/06/2025
    Fecha de última actualización: 26/06/2025
    Un problema en NCR Terminal Handler 1.5.1 permite que un atacante autenticado con privilegios de bajo nivel consulte el endpoint de la API SOAP para obtener información sobre todos los usuarios de la aplicación, incluidos sus nombres de usuario, roles, grupos de seguridad y estados de cuenta.
  • Vulnerabilidad en HDF5 (CVE-2025-6516)
    Severidad: MEDIA
    Fecha de publicación: 23/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad en HDF5 hasta la versión 1.14.6, clasificada como crítica. Esta vulnerabilidad afecta a la función H5F_addr_decode_len del archivo /hdf5/src/H5Fint.c. La manipulación provoca un desbordamiento del búfer en el montón. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.