Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Apache HugeGraph-Server (CVE-2024-43441)
    Severidad: CRÍTICA
    Fecha de publicación: 24/12/2024
    Fecha de última actualización: 01/07/2025
    Omisión de autenticación por vulnerabilidad de datos supuestamente inmutables en Apache HugeGraph-Server. Este problema afecta a Apache HugeGraph-Server: desde 1.0.0 antes de 1.5.0. Se recomienda a los usuarios actualizar a la versión 1.5.0, que soluciona el problema.
  • Vulnerabilidad en Apache CloudStack (CVE-2025-22828)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 01/07/2025
    Los usuarios de CloudStack pueden agregar y leer comentarios (anotaciones) en los recursos a los que están autorizados a acceder. Debido a un problema de validación de acceso que afecta a las versiones de Apache CloudStack desde la 4.16.0, los usuarios que tienen acceso, acceso previo o conocimiento de los UUID de los recursos pueden enumerar y agregar comentarios (anotaciones) a dichos recursos. Un atacante con una cuenta de usuario y acceso o conocimiento previo de los UUID de los recursos puede aprovechar este problema para leer el contenido de los comentarios (anotaciones) o agregar comentarios maliciosos (anotaciones) a dichos recursos. Esto puede provocar una posible pérdida de confidencialidad de los entornos y recursos de CloudStack si los comentarios (anotaciones) contienen información privilegiada. Sin embargo, adivinar o forzar brutamente los UUID de los recursos es generalmente difícil o imposible y el acceso para enumerar o agregar comentarios no es lo mismo que el acceso a los recursos de CloudStack, lo que hace que este problema sea de muy baja gravedad y, en general, de bajo impacto. Los administradores de CloudStack también pueden prohibir el acceso a la API listAnnotations y addAnnotation a roles que no sean de administrador en su entorno como medida provisional.
  • Vulnerabilidad en Microsoft Access (CVE-2025-21186)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Access
  • Vulnerabilidad en Microsoft Office Visio (CVE-2025-21345)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Office Visio
  • Vulnerabilidad en Microsoft Office (CVE-2025-21346)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de omisión de funciones de seguridad de Microsoft Office
  • Vulnerabilidad en Microsoft Office Visio (CVE-2025-21356)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Office Visio
  • Vulnerabilidad en Microsoft Outlook (CVE-2025-21357)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Outlook
  • Vulnerabilidad en Microsoft Excel (CVE-2025-21362)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Excel
  • Vulnerabilidad en Microsoft Word (CVE-2025-21363)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Word
  • Vulnerabilidad en Microsoft Excel (CVE-2025-21364)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de omisión de funciones de seguridad de Microsoft Excel
  • Vulnerabilidad en Microsoft Office (CVE-2025-21365)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Office
  • Vulnerabilidad en Microsoft Access (CVE-2025-21366)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Access
  • Vulnerabilidad en Microsoft Access (CVE-2025-21395)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Access
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21381)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21383)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información en Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21386)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21387)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21390)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21392)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Office
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21394)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21397)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Office
  • Vulnerabilidad en WPEVEREST Everest Forms (CVE-2025-26841)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 01/07/2025
    La vulnerabilidad de Cross Site Scripting en WPEVEREST Everest Forms anterior a 3.0.9 permite a un atacante ejecutar código arbitrario a través de la carga de un archivo.
  • Vulnerabilidad en Apache IoTDB (CVE-2025-26864)
    Severidad: ALTA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de exposición de información confidencial a un agente no autorizado e inserción de información confidencial en archivos de registro en OpenIdAuthorizer de Apache IoTDB. Este problema afecta a Apache IoTDB desde la versión 0.10.0 hasta la 1.3.3, y desde la versión 2.0.1-beta hasta la 2.0.2. Se recomienda actualizar a las versiones 1.3.4 y 2.0.2, que solucionan el problema.
  • Vulnerabilidad en Apache IoTDB (CVE-2024-24780)
    Severidad: CRÍTICA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código con URI no confiable de UDF en Apache IoTDB. El atacante con privilegios para crear UDF puede registrar una función maliciosa desde una URI no confiable. Este problema afecta a Apache IoTDB desde la versión 1.0.0 hasta la 1.3.4. Se recomienda actualizar a la versión 1.3.4, que soluciona el problema.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-47176)
    Severidad: ALTA
    Fecha de publicación: 10/06/2025
    Fecha de última actualización: 01/07/2025
    .../...//' en Microsoft Office Outlook permite que un atacante autorizado ejecute código localmente.
  • Vulnerabilidad en Apache CloudStack (CVE-2025-26521)
    Severidad: ALTA
    Fecha de publicación: 10/06/2025
    Fecha de última actualización: 01/07/2025
    Cuando una cuenta de usuario de Apache CloudStack crea un clúster de Kubernetes basado en CKS en un proyecto, la clave API y la clave secreta del usuario "kubeadmin" de la cuenta del autor de la llamada se utilizan para crear la configuración secreta en el clúster de Kubernetes basado en CKS. Un miembro del proyecto con acceso al clúster de Kubernetes basado en CKS también puede acceder a la clave API y la clave secreta del usuario "kubeadmin" de la cuenta del creador del clúster. Un atacante miembro del proyecto puede aprovechar esto para suplantar la identidad y realizar acciones privilegiadas que pueden comprometer por completo la confidencialidad, integridad y disponibilidad de los recursos de la cuenta del creador. Se recomienda a los usuarios de CKS actualizar a la versión 4.19.3.0 o 4.20.1.0, que soluciona este problema. Actualización de clústeres de Kubernetes existentes en proyectos. Se debe crear una cuenta de servicio para cada proyecto a fin de proporcionar acceso limitado, específicamente para los proveedores de clústeres de Kubernetes y el escalado automático. Siga los pasos a continuación para crear una nueva cuenta de servicio, actualizar el secreto dentro del clúster y regenerar las claves de API y de servicio existentes: 1. Cree una nueva cuenta de servicio. Cree una nueva cuenta con el rol "Rol de servicio de Kubernetes del proyecto" con la siguiente información: Nombre de la cuenta: kubeadmin- Nombre: Kubernetes Apellido: Usuario de servicio Tipo de cuenta: 0 (Usuario normal) ID de rol: 2. Agregue la cuenta de servicio al proyecto. Agregue esta cuenta al proyecto donde se alojan los clústeres de Kubernetes. 3. Genere las claves de API y secretas. Genere la clave de API y la clave secreta para el usuario predeterminado de esta cuenta. 4. Actualice el secreto de CloudStack en el clúster de Kubernetes. Cree un archivo temporal `/tmp/cloud-config` con los siguientes datos: api-url = # Por ejemplo: /client/api api-key = secret-key = project-id = Elimine el secreto existente usando kubectl y la configuración del clúster de Kubernetes: ./kubectl --kubeconfig kube.conf -n kube-system delete secret cloudstack-secret Cree un nuevo secreto usando kubectl y la configuración del clúster de Kubernetes: ./kubectl --kubeconfig kube.conf -n kube-system create secret generic cloudstack-secret --from-file=/tmp/cloud-config Elimine el archivo temporal: rm /tmp/cloud-config5. Regenerar API y claves secretasRegenere la API y las claves secretas para la cuenta de usuario original que se utilizó para crear el clúster de Kubernetes.
  • Vulnerabilidad en NetScaler ADC y NetScaler Gateway (CVE-2025-6543)
    Severidad: CRÍTICA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de desbordamiento de memoria que provoca un flujo de control no deseado y una denegación de servicio en NetScaler ADC y NetScaler Gateway cuando se configuran como Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) O servidor virtual AAA
  • Vulnerabilidad en PDF-XChange (CVE-2025-6640)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a que no se valida la existencia de un objeto antes de realizar operaciones en él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-26527.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6641)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26528.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6642)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código al analizar archivos U3D fuera de los límites en el editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Anteriormente, se denominó ZDI-CAN-26530.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6643)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26532.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6644)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a que no se valida la existencia de un objeto antes de realizar operaciones en él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-26536.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6645)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código de uso después de la liberación en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a que no se valida la existencia de un objeto antes de realizar operaciones en él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-26642.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6646)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de uso tras liberación en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a que no se valida la existencia de un objeto antes de realizar operaciones en él. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-26643.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6647)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código al analizar archivos U3D fuera de los límites en el editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura posterior al final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Anteriormente, se denominó ZDI-CAN-26644.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6648)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26671.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6649)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del límite del búfer asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26709.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6650)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos U3D del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26712.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6651)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código al analizar archivos JP2 en el editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos JP2. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del límite del búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Anteriormente, se denominó ZDI-CAN-26713.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6652)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PRC del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PRC. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26724.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6653)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PRC del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PRC. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del límite del búfer asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26726.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6654)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código al analizar archivos PRC en el editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PRC. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del límite del búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26729.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6655)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PRC del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PRC. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26730.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6656)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PRC del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PRC. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26731.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6657)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PRC del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PRC. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del límite del búfer asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26732.
  • Vulnerabilidad en PDF-XChange Editor (CVE-2025-6661)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de ejecución remota de código por Use-After-Free de objetos de la aplicación PDF-XChange Editor. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de PDF-XChange Editor. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en la gestión de objetos de la aplicación. El problema se debe a que no se valida la existencia de un objeto antes de realizar operaciones en él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-26823.
  • Vulnerabilidad en PDF-XChange (CVE-2025-6662)
    Severidad: BAJA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 01/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PRC del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PRC. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto del proceso actual. Anteriormente, se denominaba ZDI-CAN-26985.
  • Vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0 (CVE-2025-6694)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha encontrado una vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0, clasificada como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /html/matPat/adicionar_unidade.php del componente "Adicionar Unidade". La manipulación del argumento "Insira a nova unidade" provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0 (CVE-2025-6695)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0 y se clasificó como problemática. Este problema afecta a un procesamiento desconocido del archivo /html/matPat/adicionar_categoria.php del componente "Categoría adicional". La manipulación del argumento "Insira a nova categoria" provoca cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0 (CVE-2025-6696)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0. Se ha clasificado como problemática. Se ve afectada una función desconocida del archivo /html/atendido/Cadastro_Atendido.php del componente Cadastro de Atendio. La manipulación del argumento Nome/Sobrenome provoca cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se trata de un problema diferente al de CVE-2025-22615. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en PHPGurukul Dairy Farm Shop Management System 1.3. (CVE-2025-51672)
    Severidad: ALTA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se identificó una vulnerabilidad de inyección SQL ciega basada en tiempo en PHPGurukul Dairy Farm Shop Management System 1.3. La vulnerabilidad se encuentra en el archivo manage-companies.php y permite a atacantes remotos ejecutar código SQL arbitrario mediante el parámetro "companyname" en una solicitud POST.
  • Vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0 (CVE-2025-6697)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /html/matPat/adicionar_tipoEntrada.php del componente "Adicionar tipo". La manipulación del argumento "Insira o novo tipo" provoca cross site scripting. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0 (CVE-2025-6698)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en LabRedesCefetRJ WeGIA 3.4.0. Se ha clasificado como problemática. Este problema afecta a una funcionalidad desconocida del archivo /html/matPat/adicionar_tipoSaida.php del componente "Adicionar tipo". La manipulación del argumento "Insira o novo tipo" provoca cross site scripting. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en HDF5 1.14.6 (CVE-2025-6750)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en HDF5 1.14.6. Este problema afecta a la función H5O__mtime_new_encode del archivo src/H5Omtime.c. Esta manipulación provoca un desbordamiento del búfer en el montón. Es necesario realizar ataques locales. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Firelight Lightbox para WordPress (CVE-2025-5035)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    El complemento Firelight Lightbox para WordPress anterior a la versión 2.3.16 no depura ni escapa los atributos de título antes de mostrarlos en la página, lo que podría permitir a los usuarios con un rol tan bajo como el de colaboradores realizar ataques de cross site scripting almacenado.
  • Vulnerabilidad en Responsive Lightbox & Gallery de WordPress (CVE-2025-5093)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    El complemento Responsive Lightbox & Gallery de WordPress anterior a la versión 2.5.2 usa la librería Swipebox, que no valida ni escapa los atributos de título antes de mostrarlos nuevamente en una página o publicación cuando se usa, lo que podría permitir que los usuarios con rol de colaborador y superior realicen ataques de cross site scripting almacenado.
  • Vulnerabilidad en D-Link DIR-823-Pro 1.02 (CVE-2025-45729)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    D-Link DIR-823-Pro 1.02 tiene un control de permisos inadecuado, lo que permite que usuarios no autorizados activen y accedan a servicios Telnet.
  • Vulnerabilidad en Tenda AC6 (CVE-2025-50528)
    Severidad: ALTA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    Existe una vulnerabilidad de desbordamiento de búfer en la función fromNatStaticSetting de Tenda AC6 <=V15.03.05.19 a través del parámetro de página.
  • Vulnerabilidad en Phpgurukul Medical Card Generation System 1.0 mcgs/contact.php (CVE-2025-50367)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    Existe una vulnerabilidad XSS ciega almacenada en la página de contacto de Phpgurukul Medical Card Generation System 1.0 mcgs/contact.php. El campo de nombre no depura correctamente la entrada del usuario, lo que permite a un atacante inyectar JavaScript malicioso.
  • Vulnerabilidad en PHPGurukul Medical Card Generation System 1.0 (CVE-2025-50369)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    Existe una vulnerabilidad de Cross Site Request Forgery (CSRF) en la función de administración de tarjetas (/mcgs/admin/manage-card.php) de PHPGurukul Medical Card Generation System 1.0. El endpoint vulnerable permite a un administrador autorizado eliminar registros de tarjetas médicas mediante una simple solicitud GET sin verificar el origen de la solicitud.
  • Vulnerabilidad en Phpgurukul Medical Card Generation System 1.0 (CVE-2025-50370)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 01/07/2025
    Existe una vulnerabilidad de Cross Site Request Forgery (CSRF) en la función de gestión de consultas /mcgs/admin/readenq.php de Phpgurukul Medical Card Generation System 1.0. El endpoint vulnerable permite a un administrador autenticado eliminar registros de consultas mediante una simple solicitud GET, sin necesidad de un token CSRF ni de validar el origen de la solicitud.
  • Vulnerabilidad en IBM Cognos Analytics (CVE-2024-52900)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    IBM Cognos Analytics 11.2.0 a 12.2.4 Fix Pack 5 y 12.0.0 a 12.0.4 son vulnerables a cross-site scripting almacenado. Esta vulnerabilidad permite a los usuarios autenticados incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
  • Vulnerabilidad en HDF5 1.14.6 (CVE-2025-6816)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad clasificada como problemática en HDF5 1.14.6. Esta vulnerabilidad afecta la función H5O__fsinfo_encode del archivo /src/H5Ofsinfo.c. La manipulación provoca un desbordamiento del búfer en el montón. Es posible lanzar el ataque en el host local. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en HDF5 1.14.6 (CVE-2025-6817)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en HDF5 1.14.6. Este problema afecta a la función H5C__load_entry del archivo /src/H5Centry.c. La manipulación provoca el consumo de recursos. El ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6819)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad en code-projects Inventory Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /php_action/removeBrand.php. La manipulación del argumento brandId provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6820)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /php_action/createProduct.php. La manipulación del argumento productName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6821)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /php_action/createOrder.php. La manipulación provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6827)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Inventory Management System 1.0. Esta afecta a una parte desconocida del archivo /php_action/editOrder.php. La manipulación provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6828)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad en code-projects Inventory Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /orders.php. La manipulación del argumento i provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Inventory Management System 1.0 (CVE-2025-6834)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en code-projects Inventory Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /php_action/editPayment.php. La manipulación del argumento orderId provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Library System 1.0 (CVE-2025-6837)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Library System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /profile.php. La manipulación del argumento "image" permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Simple Forum 1.0 (CVE-2025-6849)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad clasificada como problemática en code-projects Simple Forum 1.0. Se trata de una función desconocida del archivo /forum_edit1.php. La manipulación del texto del argumento provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Simple Company Website 1.0 (CVE-2025-6870)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en SourceCodester Simple Company Website 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /classes/Content.php?f=service. La manipulación del argumento img permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Simple Company Website 1.0 (CVE-2025-6871)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Simple Company Website 1.0. Esta afecta a una parte desconocida del archivo /classes/Login.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Simple Company Website 1.0 (CVE-2025-6872)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Simple Company Website 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /classes/SystemSettings.php?f=update_settings. La manipulación del argumento img permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Simple Company Website 1.0 (CVE-2025-6873)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Simple Company Website 1.0. Este problema afecta a un procesamiento desconocido del archivo /classes/Users.php?f=save. La manipulación del argumento img permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6874)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Best Salon Management System 1.0. La vulnerabilidad afecta a una función desconocida del archivo /panel/add_subscribe.php. La manipulación del argumento user_id/plan_id provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6875)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Best Salon Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /panel/edit-subscription.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6876)
    Severidad: MEDIA
    Fecha de publicación: 29/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en SourceCodester Best Salon Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /panel/add-category.php. La manipulación del argumento "Name" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6877)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en SourceCodester Best Salon Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /panel/edit-category.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6878)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en SourceCodester Best Salon Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /panel/search-appointment.php. La manipulación del argumento "searchdata" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6879)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se encontró una vulnerabilidad en SourceCodester Best Salon Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /panel/add-tax.php. La manipulación del argumento "Name" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Best Salon Management System 1.0 (CVE-2025-6880)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 01/07/2025
    Se ha detectado una vulnerabilidad crítica en SourceCodester Best Salon Management System 1.0. Se ve afectada una función desconocida del archivo /panel/edit-tax.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.