Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en GS Plugins GS Pins for Pinterest de WordPress (CVE-2024-30192)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 01/07/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ("cross-site Scripting") en GS Plugins GS Pins for Pinterest permite XSS almacenado. Este problema afecta a GS Pins para Pinterest: desde n/a hasta 1.8.2.
  • Vulnerabilidad en Samsung Exynos (CVE-2024-32502)
    Severidad: ALTA
    Fecha de publicación: 07/06/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en el procesador móvil y en el procesador portátil Samsung Exynos 850, Exynos 1080, Exynos 2100, Exynos 1280, Exynos 1380, Exynos 1330, Exynos W920, Exynos W930. El procesador móvil carece de una verificación adecuada del recuento de referencias, lo que puede provocar una vulnerabilidad UAF (Use-After-Free).
  • Vulnerabilidad en 14Finger v1.1 (CVE-2024-37767)
    Severidad: ALTA
    Fecha de publicación: 05/07/2024
    Fecha de última actualización: 01/07/2025
    Los permisos inseguros en el componente /api/admin/user de 14Finger v1.1 permiten a los atacantes acceder a toda la información del usuario a través de una solicitud GET manipulada.
  • Vulnerabilidad en 14Finger v1.1 (CVE-2024-37770)
    Severidad: CRÍTICA
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió que 14Finger v1.1 contenía una vulnerabilidad de ejecución remota de comandos (RCE) en la función de huellas dactilares. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante un payload manipulado.
  • Vulnerabilidad en Samsung Exynos (CVE-2024-25073)
    Severidad: MEDIA
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en los procesadores móviles, procesadores automotrices y módems Samsung Semiconductor Exynos 9820, Exynos 9825, Exynos 980, Exynos 990, Exynos 850, Exynos 1080, Exynos 2100, Exynos 2200, Exynos 1280, Exynos 1380, Exynos 1330, Exynos 9110, Exynos W920, Exynos W930, Exynos Modem 5123, Exynos Modem 5300. El software de banda base no verifica correctamente un puntero especificado por el CC (módulo de control de llamadas), lo que puede provocar una denegación de servicio (desreferencia de puntero no confiable).
  • Vulnerabilidad en Samsung Exynos (CVE-2024-25074)
    Severidad: MEDIA
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en los procesadores móviles, procesadores automotrices y módems Samsung Semiconductor Exynos 9820, Exynos 9825, Exynos 980, Exynos 990, Exynos 850, Exynos 1080, Exynos 2100, Exynos 2200, Exynos 1280, Exynos 1380, Exynos 1330, Exynos 9110, Exynos W920, Exynos W930, Exynos Modem 5123, Exynos Modem 5300. El software de banda base no verifica correctamente un puntero especificado por el SM (módulo de administración de sesiones), lo que puede provocar una denegación de servicio (desreferencia de puntero no confiable).
  • Vulnerabilidad en Samsung (CVE-2024-45185)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en el procesador móvil Samsung, el procesador portátil y el módem Exynos 9820, 9825, 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, módem 5123, módem 5300. Hay una escritura fuera de los límites debido a un desbordamiento de almacenamiento dinámico en el protocolo GPRS.
  • Vulnerabilidad en radarorg radare2 v.5.8.8 (CVE-2024-29645)
    Severidad: ALTA
    Fecha de publicación: 02/12/2024
    Fecha de última actualización: 01/07/2025
    La vulnerabilidad de desbordamiento de búfer en radarorg radare2 v.5.8.8 permite a un atacante ejecutar código arbitrario a través de la función parse_die.
  • Vulnerabilidad en Samsung Exynos (CVE-2024-39343)
    Severidad: ALTA
    Fecha de publicación: 02/12/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en los procesadores móviles y portátiles Samsung Exynos 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, módem 5123 y módem 5300. El software de banda base no verifica correctamente la longitud especificada por el módulo MM (gestión de movilidad), lo que puede provocar una denegación de servicio.
  • Vulnerabilidad en Samsung Exynos (CVE-2024-39890)
    Severidad: ALTA
    Fecha de publicación: 02/12/2024
    Fecha de última actualización: 01/07/2025
    Se ha descubierto un problema en los procesadores móviles, los procesadores portátiles y los módems Samsung Exynos 9820, 9825, 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, los módems 5123 y 5300. El software de banda base no comprueba correctamente la longitud especificada por el CC (control de llamadas). Esto puede provocar una escritura fuera de los límites.
  • Vulnerabilidad en Artifex Software mupdf v1.24.9 (CVE-2024-46657)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió que Artifex Software mupdf v1.24.9 contenía una falla de segmentación a través del componente /tools/pdfextract.c. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) a través de un archivo PDF manipulado a medida.
  • Vulnerabilidad en Silicon Labs (SiLabs) Z-Wave (CVE-2024-50920)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Los permisos inseguros en Silicon Labs (SiLabs) Z-Wave Series 700 y 800 v7.21.1 permiten a los atacantes crear un nodo falso mediante el suministro de paquetes manipulados.
  • Vulnerabilidad en Silicon Labs (SiLabs) Z-Wave (CVE-2024-50921)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Los permisos inseguros en Silicon Labs (SiLabs) Z-Wave Series 700 y 800 v7.21.1 permiten a los atacantes provocar una denegación de servicio (DoS) mediante el envío repetido de paquetes manipulados al controlador.
  • Vulnerabilidad en Silicon Labs (SiLabs) Z-Wave Series (CVE-2024-50924)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Los permisos inseguros en Silicon Labs (SiLabs) Z-Wave Series 700 y 800 v7.21.1 permiten a los atacantes interrumpir las comunicaciones entre el controlador y el dispositivo en sí mediante el envío repetido de paquetes manipulados al controlador.
  • Vulnerabilidad en Silicon Labs (SiLabs) Z-Wave (CVE-2024-50928)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Los permisos inseguros en Silicon Labs (SiLabs) Z-Wave Series 700 y 800 v7.21.1 permiten a los atacantes cambiar el intervalo de activación de los dispositivos finales en la memoria del controlador, interrumpiendo las comunicaciones del dispositivo con el controlador.
  • Vulnerabilidad en Silicon Labs (SiLabs) Z-Wave (CVE-2024-50929)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Los permisos inseguros en Silicon Labs (SiLabs) Z-Wave Series 700 y 800 v7.21.1 permiten a los atacantes cambiar arbitrariamente el tipo de dispositivo en la memoria del controlador, lo que lleva a una denegación de servicio (DoS).
  • Vulnerabilidad en Silicon Labs Z-Wave Series 500 v6.84.0 (CVE-2024-50930)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Un problema en Silicon Labs Z-Wave Series 500 v6.84.0 permite a los atacantes ejecutar código arbitrario.
  • Vulnerabilidad en Silicon Labs Z-Wave Series 500 v6.84.0 (CVE-2024-50931)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 01/07/2025
    Se descubrió que Silicon Labs Z-Wave Series 500 v6.84.0 contenía permisos inseguros.
  • Vulnerabilidad en Tenda (CVE-2025-0566)
    Severidad: ALTA
    Fecha de publicación: 19/01/2025
    Fecha de última actualización: 01/07/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en Tenda AC15 15.13.07.13. Afecta a la función formSetDevNetName del archivo /goform/SetDevNetName. La manipulación del argumento mac provoca un desbordamiento del búfer basado en la pila. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en D-Link (CVE-2024-57376)
    Severidad: ALTA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 01/07/2025
    La vulnerabilidad de desbordamiento de búfer en D-Link DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N, DSR-1000N de 3.13 a 3.17B901C permite a usuarios no autenticados ejecutar código remoto.
  • Vulnerabilidad en Nagios XI 2024R1.2.2 (CVE-2024-54958)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 01/07/2025
    Nagios XI 2024R1.2.2 es susceptible a una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado en la página Herramientas. Esta falla permite a un atacante inyectar secuencias de comandos maliciosas en la interfaz Herramientas, que luego se almacenan y ejecutan en el contexto de otros usuarios que acceden a la página.
  • Vulnerabilidad en Nagios XI 2024R1.2.2 (CVE-2024-54959)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 01/07/2025
    Nagios XI 2024R1.2.2 es vulnerable a un ataque de Cross-Site Request Forgery (CSRF) a través del componente Favoritos, lo que habilita la ejecución de Cross-Site Scripting (XSS) basada en POST.
  • Vulnerabilidad en radareorg radare2 (CVE-2025-1744)
    Severidad: CRÍTICA
    Fecha de publicación: 28/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de escritura fuera de los límites en radareorg radare2 permite sobrelectura de búfer basada en montón o desbordamiento de búfer. Este problema afecta a radare2: antes de <5.9.9.
  • Vulnerabilidad en radareorg radare2 (CVE-2025-1864)
    Severidad: CRÍTICA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de restricción inadecuada de operaciones dentro de los límites de un búfer de memoria en radareorg radare2 permite búferes de desbordamiento. Este problema afecta a radare2: antes de <5.9.9.
  • Vulnerabilidad en NRMM en Samsung Mobile Processor, Wearable Processor y Modem Exynos (CVE-2024-52923)
    Severidad: ALTA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 01/07/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en el código de proyectos Blood Bank Management System 1.0. Se ve afectada una función desconocida del archivo /user_dashboard/view_donor.php. La manipulación del argumento donor_id provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en NRMM en Samsung Mobile Processor, Wearable Processor y Modem Exynos (CVE-2024-52924)
    Severidad: ALTA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en NRMM en Samsung Mobile Processor, Wearable Processor y Modem Exynos 9820, 9825, 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, los módems 5123, 5300 y 5400. La falta de verificación de los límites durante la decodificación de los mensajes de aceptación de registro puede provocar escrituras fuera de los límites en la pila.
  • Vulnerabilidad en Samsung Mobile Processor y Wearable Processor Exynos (CVE-2024-50600)
    Severidad: ALTA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en Samsung Mobile Processor y Wearable Processor Exynos 980, 850, 1080, 1280, 1330, 1380, 1480, W920, W930 y W1000. La falta de una comprobación de los límites en STOP_KEEP_ALIVE_OFFLOAD provoca un acceso fuera de los límites. Un atacante puede enviar un mensaje mal formado al objetivo a través del controlador de Wi-Fi.
  • Vulnerabilidad en Dell ThinOS 2411 (CVE-2025-26331)
    Severidad: ALTA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 01/07/2025
    Dell ThinOS 2411 y versiones anteriores contienen una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando ('inyección de comando'). Un atacante con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la ejecución de código arbitrario.
  • Vulnerabilidad en Python JSON Logger (CVE-2025-27607)
    Severidad: ALTA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 01/07/2025
    Python JSON Logger es un formateador JSON para el registro de Python. Entre el 30 de diciembre de 2024 y el 4 de marzo de 2025, Python JSON Logger fue vulnerable a RCE debido a una dependencia faltante. Esto ocurrió porque el propietario eliminó msgspec-python313-pre, lo que dejó el nombre abierto a que un tercero lo reclamara. Si se reclamaba el paquete, les permitiría realizar RCE en cualquier usuario de Python JSON Logger que instalara las dependencias de desarrollo en Python 3.13 (por ejemplo, pip install python-json-logger[dev]). Este problema se ha resuelto con la versión 3.3.0.
  • Vulnerabilidad en Dell ThinOS (CVE-2025-27688)
    Severidad: ALTA
    Fecha de publicación: 18/03/2025
    Fecha de última actualización: 01/07/2025
    Dell ThinOS 2408 y versiones anteriores presentan una vulnerabilidad de permisos inadecuados. Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que conllevaría una elevación de privilegios.
  • Vulnerabilidad en WinRAR (CVE-2025-31334)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2025
    Fecha de última actualización: 01/07/2025
    En versiones de WinRAR anteriores a la 7.11, existe un problema que omite la función de advertencia de seguridad "Mark of the Web" al abrir un enlace simbólico que apunta a un archivo ejecutable. Si se abre un enlace simbólico manipulado específicamente por un atacante en el producto afectado, se podría ejecutar código arbitrario.
  • Vulnerabilidad en Samsung Mobile Processor, Wearable Processor, y Modem Exynos (CVE-2024-55569)
    Severidad: ALTA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en Samsung Mobile Processor, Wearable Processor, y Modem Exynos 9820, 9825, 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, módem 5123, módem 5300 y módem 5400. La falta de una comprobación de longitud provoca escrituras fuera de los límites.
  • Vulnerabilidad en Samsung Mobile Processor y Wearable Processor Exynos (CVE-2024-56427)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en Samsung Mobile Processor y Wearable Processor Exynos 9820, 9825, 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, Modem 5123, Modem 5300 y Modem 5400. La falta de una verificación de longitud provoca un acceso fuera de los límites a través de paquetes RRC malformados al destino.
  • Vulnerabilidad en Samsung Mobile Processor, Wearable Processor, y Modem Exynos (CVE-2025-26783)
    Severidad: ALTA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en Samsung Mobile Processor, Wearable Processor, y Modem Exynos 2100, 1280, 2200, 1330, 1380, 1480, 2400, W1000, módems 5300 y 5400. El manejo incorrecto de valores no definidos conduce a una denegación de servicio.
  • Vulnerabilidad en Samsung Mobile Processor, Wearable Processor, y Modem Exynos (CVE-2025-27891)
    Severidad: CRÍTICA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 01/07/2025
    Se descubrió un problema en Samsung Mobile Processor, Wearable Processor, y Modem Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, módem 5123, módem 5300 y módem 5400. La falta de una verificación de longitud provoca lecturas fuera de los límites a través de paquetes NAS malformados.
  • Vulnerabilidad en Emlog (CVE-2025-47787)
    Severidad: ALTA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 01/07/2025
    Emlog es un sistema de creación de sitios web de código abierto. Las versiones anteriores a la 2.5.10 de Emlog Pro presentan una vulnerabilidad de carga de archivos. El componente store.php presenta una falla de seguridad crítica que impide validar correctamente el contenido de los archivos ZIP del complemento descargados remotamente. Esta validación insuficiente permite a los atacantes ejecutar código arbitrario en el sistema vulnerable. La versión 2.5.10 incluye un parche para solucionar el problema.
  • Vulnerabilidad en Background CMS 1.30 (CVE-2025-44141)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Existe una vulnerabilidad de cross site scripting (XSS) en el formulario de creación de nodos de Background CMS 1.30.
  • Vulnerabilidad en PHPGurukul Pre-School Enrollment System Project v1.0 (CVE-2025-50350)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    PHPGurukul Pre-School Enrollment System Project v1.0 es vulnerable a Directory Traversal en manage-classes.php.
  • Vulnerabilidad en PHPGurukul Dairy Farm Shop Management System 1.3 (CVE-2025-51671)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se descubrió una vulnerabilidad de inyección SQL en PHPGurukul Dairy Farm Shop Management System 1.3. Esta vulnerabilidad permite a atacantes remotos ejecutar código SQL arbitrario mediante los parámetros category y categorycode en una solicitud POST al archivo manage-categories.php.
  • Vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0 (CVE-2025-6699)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en LabRedesCefetRJ WeGIA 3.4.0. Esta afecta a una parte desconocida del archivo /html/funcionario/cadastro_funcionario.php del componente Cadastro de Funcionário. La manipulación del argumento Nome/Sobrenome provoca cross site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se trata de un problema diferente al de CVE-2025-23030. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en IBM Datacap Navigator (CVE-2024-39730)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    IBM Datacap Navigator 9.1.7, 9.1.8 y 9.1.9 podría permitir que un atacante remoto secuestre la acción de clic de la víctima. Al persuadir a la víctima a visitar un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar sus acciones de clic y posiblemente lanzar nuevos ataques contra ella.
  • Vulnerabilidad en IBM Datacap (CVE-2025-36026)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    IBM Datacap 9.1.7, 9.1.8 y 9.1.9 no establece el atributo seguro en tokens de autorización ni en cookies de sesión. Los atacantes podrían obtener el valor de las cookies enviando un enlace http:// a un usuario o insertando este enlace en un sitio web al que acceda el usuario. La cookie se enviará al enlace inseguro y el atacante podrá obtener el valor de la cookie espiando el tráfico.
  • Vulnerabilidad en IBM Datacap (CVE-2025-36027)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    IBM Datacap 9.1.7, 9.1.8 y 9.1.9 podrían permitir que un atacante remoto secuestre la acción de clic de la víctima. Al persuadir a la víctima a visitar un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar sus acciones de clic y posiblemente lanzar nuevos ataques contra ella.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6822)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /php_action/removeProduct.php. La manipulación del argumento productId provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6823)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /php_action/editProduct.php. La manipulación del argumento editProductName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Library System 1.0 (CVE-2025-6835)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en code-projects Library System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /student-issue-book.php. La manipulación del argumento reg provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Library System 1.0 (CVE-2025-6836)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad crítica en code-projects Library System 1.0. Se ve afectada una función desconocida del archivo /profile.php. La manipulación del argumento "phone" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Product Inventory System 1.0 (CVE-2025-6840)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Product Inventory System 1.0. Esta afecta a una parte desconocida del archivo /index.php del componente "Login". La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Product Inventory System 1.0 (CVE-2025-6841)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad en code-projects Product Inventory System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/edit_product.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Product Inventory System 1.0 (CVE-2025-6842)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en code-projects Product Inventory System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/edit_user.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Forum 1.0 (CVE-2025-6848)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Simple Forum 1.0. Este problema afecta a un procesamiento desconocido del archivo /forum1.php. La manipulación del argumento "File" permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6860)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en SourceCodester Best Salon Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /panel/staff_commision.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6861)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en SourceCodester Best Salon Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /panel/add_plan.php. La manipulación del argumento plan_name/description/duration_days/price provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6862)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad crítica en SourceCodester Best Salon Management System 1.0. Se ve afectada una función desconocida del archivo /panel/edit_plan.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Local Services Search Engine Management System 2.1 (CVE-2025-6863)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad crítica en PHPGurukul Local Services Search Engine Management System 2.1. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/edit-category-detail.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda AC5 15.03.06.47 (CVE-2025-6886)
    Severidad: ALTA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad en Tenda AC5 15.03.06.47, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /goform/openSchedWifi. La manipulación del argumento schedStartTime/schedEndTime provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda AC5 15.03.06.47 (CVE-2025-6887)
    Severidad: ALTA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en Tenda AC5 15.03.06.47, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /goform/SetSysTimeCfg. La manipulación del argumento time/timeZone provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en WP Lightbox 2 de WordPress (CVE-2025-3745)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    El complemento WP Lightbox 2 de WordPress anterior a la versión 3.0.6.8 no depura correctamente el valor del atributo de título de los enlaces antes de usarlos, lo que puede permitir que usuarios maliciosos realicen ataques XSS.
  • Vulnerabilidad en Contact Form Plugin de WordPress (CVE-2025-5730)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    El complemento Contact Form Plugin de WordPress anterior a la versión 1.1.29 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como los colaboradores, realizar ataques de Cross-Site Scripting almacenado.
  • Vulnerabilidad en D-Link DI-7300G+ 19.12.25A1 (CVE-2025-6897)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se detectó una vulnerabilidad crítica en D-Link DI-7300G+ 19.12.25A1. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo httpd_debug.asp. La manipulación del argumento "Time" provoca la inyección de comandos del sistema operativo. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Library System 1.0 (CVE-2025-6900)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad en code-projects Library System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /add-book.php. La manipulación del argumento "image" permite la carga sin restricciones. El ataque puede en remoto. Se ha hecho público el exploit y puede que sea utilizado.