Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en libcurl (CVE-2025-4947)
    Severidad: MEDIA
    Fecha de publicación: 28/05/2025
    Fecha de última actualización: 26/06/2025
    libcurl omite accidentalmente la verificación del certificado para conexiones QUIC al conectarse a un host especificado como dirección IP en la URL. Por lo tanto, no detecta impostores ni ataques de intermediario.
  • Vulnerabilidad en SourceCodester Client Database Management System 1.0 (CVE-2025-6160)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 26/06/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Client Database Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /user_customer_create_order.php. La manipulación del argumento user_id provoca una inyección SQL. El ataque podría ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Simple Food Ordering System 1.0 (CVE-2025-6161)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Simple Food Ordering System 1.0. La vulnerabilidad afecta a una función desconocida del archivo /editproduct.php. La manipulación del argumento "photo" permite la subida sin restricciones. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Ivory Search para WordPress (CVE-2025-5209)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 26/06/2025
    El complemento Ivory Search para WordPress anterior a la versión 5.5.10 no desinfecta ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de cross site scripting incluso cuando unfiltered_html no está permitido.
  • Vulnerabilidad en Webkul QloApps 1.6.1 (CVE-2025-6173)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 26/06/2025
    Se encontró una vulnerabilidad clasificada como crítica en Webkul QloApps 1.6.1. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/ajax_products_list.php. La manipulación del argumento packItself provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. El proveedor confirma la existencia de esta falla, pero la considera un problema menor debido a los requisitos de privilegios de administrador. Aun así, se planea una solución para una próxima versión.
  • Vulnerabilidad en EfroTech Time Trax v.1.0 (CVE-2025-46157)
    Severidad: CRÍTICA
    Fecha de publicación: 18/06/2025
    Fecha de última actualización: 26/06/2025
    Un problema en EfroTech Time Trax v.1.0 permite que un atacante remoto ejecute código arbitrario a través de la función de adjuntar archivos en el formulario de solicitud de licencia.
  • Vulnerabilidad en D-Link DPH-400S/SE VoIP Phone v1.01 (CVE-2025-45784)
    Severidad: CRÍTICA
    Fecha de publicación: 18/06/2025
    Fecha de última actualización: 26/06/2025
    D-Link DPH-400S/SE VoIP Phone v1.01 contiene variables de aprovisionamiento codificadas, como PROVIS_USER_PASSWORD, que pueden exponer credenciales de usuario confidenciales. Un atacante con acceso a la imagen del firmware puede extraer estas credenciales mediante herramientas de análisis estático como cadenas o xxd, lo que podría provocar acceso no autorizado a funciones del dispositivo o cuentas de usuario. Esta vulnerabilidad se debe al almacenamiento inseguro de información confidencial en el binario del firmware.
  • Vulnerabilidad en pbootCMS (CVE-2025-46109)
    Severidad: ALTA
    Fecha de publicación: 18/06/2025
    Fecha de última actualización: 26/06/2025
    La vulnerabilidad de inyección SQL en pbootCMS v.3.2.5 y v.3.2.10 permite que un atacante remoto obtenga información confidencial mediante una solicitud GET manipulada.