Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WordPress (CVE-2017-18524)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2019
    Fecha de última actualización: 16/07/2025
    El plugin de piscina de fútbol antes de 2.6.5 para WordPress tiene múltiples problemas XSS.
  • Vulnerabilidad en PowerShell Editor Services (CVE-2018-8327)
    Severidad: CRÍTICA
    Fecha de publicación: 11/07/2018
    Fecha de última actualización: 16/07/2025
    Existe una vulnerabilidad de ejecución remota de código en PowerShell Editor Services, también conocida como "PowerShell Editor Services Remote Code Execution Vulnerability". Esto afecta a PowerShell Editor y PowerShell Extension.
  • Vulnerabilidad en la extensión npm-script de Visual Studio Code de Microsoft (CVE-2021-26700)
    Severidad: ALTA
    Fecha de publicación: 25/02/2021
    Fecha de última actualización: 16/07/2025
    Una Vulnerabilidad de Ejecución de Código Remota de la Extensión npm-script de Visual Studio Code
  • Vulnerabilidad en Anonymous Restricted Content para WordPress (CVE-2024-0909)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2024
    Fecha de última actualización: 16/07/2025
    El complemento de Anonymous Restricted Content para WordPress es vulnerable a la divulgación de información en todas las versiones hasta la 1.6.2 incluida. Esto se debe a restricciones insuficientes a través de la API REST en las publicaciones/páginas en las que se aplican protecciones. Esto hace posible que atacantes no autenticados accedan a contenido protegido.
  • Vulnerabilidad en Weblizar School Management Pro (CVE-2024-33911)
    Severidad: ALTA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 16/07/2025
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Weblizar School Management Pro. Este problema afecta a School Management Pro: desde n/a hasta 10.3.4.
  • Vulnerabilidad en FortiClientEMS (CVE-2024-23106)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 16/07/2025
    Una restricción incorrecta de intentos de autenticación excesivos [CWE-307] en FortiClientEMS versión 7.2.0 a 7.2.4 y anteriores a 7.0.10 permite que un atacante no autenticado intente un ataque de fuerza bruta contra la consola FortiClientEMS a través de solicitudes HTTP o HTTPS manipuladas.
  • Vulnerabilidad en Fortinet FortiSIEM (CVE-2024-46667)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 16/07/2025
    Una asignación de recursos sin límites ni limitación en Fortinet FortiSIEM 5.3 todas las versiones, 5.4 todas las versiones, 6.x todas las versiones, 7.0 todas las versiones y 7.1.0 a 7.1.5 puede permitir que un atacante deniegue tráfico TLS válido mediante el consumo de todas las conexiones asignadas.
  • Vulnerabilidad en Fortinet FortiSOAR (CVE-2024-47572)
    Severidad: CRÍTICA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 16/07/2025
    Una neutralización incorrecta de elementos de fórmula en un archivo csv en Fortinet FortiSOAR 7.2.1 a 7.4.1 permite a un atacante ejecutar código o comandos no autorizados mediante la manipulación del archivo csv.
  • Vulnerabilidad en Campcodes Online Movie Theater Seat Reservation System 1.0 (CVE-2025-7454)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad crítica en Campcodes Online Movie Theater Seat Reservation System 1.0. Se ve afectada una función desconocida del archivo /admin/manage_theater.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Movie Theater Seat Reservation System 1.0 (CVE-2025-7455)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad crítica en Campcodes Online Movie Theater Seat Reservation System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /manage_reserve.php. La manipulación del argumento mid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Movie Theater Seat Reservation System 1.0 (CVE-2025-7456)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Campcodes Online Movie Theater Seat Reservation System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /reserve.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Movie Theater Seat Reservation System 1.0 (CVE-2025-7457)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en Campcodes Online Movie Theater Seat Reservation System 1.0. Esta afecta a una parte desconocida del archivo /admin/manage_movie.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Code-Projects Mobile Shop 1.0 (CVE-2025-7459)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en Code-Projects Mobile Shop 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /EditMobile.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en TOTOLINK T6 4.1.5cu.748_B20211015 (CVE-2025-7460)
    Severidad: ALTA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad en TOTOLINK T6 4.1.5cu.748_B20211015, clasificada como crítica. Esta vulnerabilidad afecta a la función setWiFiAclRules del archivo /cgi-bin/cstecgi.cgi del componente HTTP POST Request Handler. La manipulación del argumento "mac" provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en WPBookit para WordPress (CVE-2025-6057)
    Severidad: ALTA
    Fecha de publicación: 12/07/2025
    Fecha de última actualización: 16/07/2025
    El complemento WPBookit para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función handle_image_upload() en todas las versiones hasta la 1.0.4 incluida. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.
  • Vulnerabilidad en WPBookit para WordPress (CVE-2025-6058)
    Severidad: CRÍTICA
    Fecha de publicación: 12/07/2025
    Fecha de última actualización: 16/07/2025
    El complemento WPBookit para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función image_upload_handle(), interceptada mediante la ruta 'add_booking_type' en todas las versiones hasta la 1.0.4 incluida. Esto permite que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-7527)
    Severidad: ALTA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en Tenda FH1202 1.2.0.14(408). Se ha clasificado como crítica. Este problema afecta a la función fromAdvSetWan del archivo /goform/AdvSetWan. La manipulación del argumento PPPOEPassword provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-7528)
    Severidad: ALTA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad crítica en Tenda FH1202 1.2.0.14(408). La función fromGstDhcpSetSer del archivo /goform/GstDhcpSetSer está afectada. La manipulación del argumento dips provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-7529)
    Severidad: ALTA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en Tenda FH1202 1.2.0.14(408). Esta vulnerabilidad afecta la función fromNatlimit del archivo /goform/Natlimit. La manipulación de la página de argumentos provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-7530)
    Severidad: ALTA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Tenda FH1202 1.2.0.14(408). Este problema afecta a la función fromPptpUserAdd del archivo /goform/PPTPDClient. La manipulación del argumento "Username" provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-7531)
    Severidad: ALTA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en Tenda FH1202 1.2.0.14(408). Esta vulnerabilidad afecta la función fromPptpUserSetting del archivo /goform/PPTPUserSetting. La manipulación del argumento delno provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-7532)
    Severidad: ALTA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad en Tenda FH1202 1.2.0.14(408), clasificada como crítica. Esta vulnerabilidad afecta a la función fromwebExcptypemanFilter del archivo /goform/webExcptypemanFilter. La manipulación de la página de argumentos provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Job Diary 1.0 (CVE-2025-7533)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en code-projects Job Diary 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /view-details.php. La manipulación del argumento job_id provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Student Result Management System 2.0 (CVE-2025-7534)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en PHPGurukul Student Result Management System 2.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /notice-details.php del componente GET Parameter Handler. La manipulación del argumento nid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-7535)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /pages/reprint_cash.php. La manipulación del argumento sid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-7536)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /pages/receipt_credit.php. La manipulación del argumento sid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-7537)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad crítica en Campcodes Sales and Inventory System 1.0. Esta afecta a una parte desconocida del archivo /pages/product_update.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-7538)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se detectó una vulnerabilidad crítica en Campcodes Sales and Inventory System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /pages/product_update.php. La manipulación del argumento "image" permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Appointment Booking System 1.0 (CVE-2025-7539)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Online Appointment Booking System 1.0. Este problema afecta a un procesamiento desconocido del archivo /getdoctordaybooking.php. La manipulación del argumento cid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Appointment Booking System 1.0 (CVE-2025-7540)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Online Appointment Booking System 1.0. Se ve afectada una función desconocida del archivo /getclinic.php. La manipulación del argumento townid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Online Appointment Booking System 1.0 (CVE-2025-7541)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha encontrado una vulnerabilidad en code-projects Online Appointment Booking System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /get_town.php. La manipulación del argumento countryid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.3 (CVE-2025-7542)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.3, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/user-profile.php. La manipulación del argumento uid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.3 (CVE-2025-7543)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.3. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/manage-users.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda AC1206 15.03.06.23 (CVE-2025-7544)
    Severidad: ALTA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en Tenda AC1206 15.03.06.23. Se ha clasificado como crítica. Este problema afecta a la función formSetMacFilterCfg del archivo /goform/setMacFilterCfg. La manipulación del argumento deviceList provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Movie Theater Seat Reservation System 1.0 (CVE-2025-7547)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad, clasificada como crítica, en Campcodes Online Movie Theater Seat Reservation System 1.0. Esta afecta a la función "save_movie" del archivo /admin/admin_class.php. La manipulación del argumento "cover" permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Voting System 1.0 (CVE-2025-7555)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Voting System 1.0. Este problema afecta a un procesamiento desconocido del archivo /admin/voters_add.php. La manipulación del argumento firstname/lastname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Voting System 1.0 (CVE-2025-7556)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Voting System 1.0. Se ve afectada una función desconocida del archivo /admin/voters_edit.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Voting System 1.0 (CVE-2025-7557)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad en code-projects Voting System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/voters_row.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Voting System 1.0 (CVE-2025-7558)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en code-projects Voting System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/positions_add.php. La manipulación de la descripción del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-7560)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/workin-progress-requests.php. La manipulación del argumento teamid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-7563)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Online Fire Reporting System 1.2. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/completed-requests.php. La manipulación del argumento teamid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Voting System 1.0 (CVE-2025-7580)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad crítica en code-projects Voting System 1.0. Esta vulnerabilidad afecta una funcionalidad desconocida del archivo /admin/positions_row.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Voting System 1.0 (CVE-2025-7581)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Voting System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /admin/positions_edit.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-7582)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Online Fire Reporting System 1.2. Esta afecta a una parte desconocida del archivo /admin/assigned-requests.php. La manipulación del argumento teamid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-7583)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/all-requests.php. La manipulación del argumento teamid provoca una inyección SQL. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-7584)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/add-team.php. La manipulación del argumento "teammember" provoca una inyección SQL. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en TOTOLINK T6 4.1.5cu.748 (CVE-2025-7613)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en TOTOLINK T6 4.1.5cu.748. Se ha clasificado como crítica. Este problema afecta a la función CloudSrvVersionCheck del archivo /cgi-bin/cstecgi.cgi del componente HTTP POST Request Handler. La manipulación del argumento ip provoca la inyección de comandos. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en TOTOLINK T6 4.1.5cu.748 (CVE-2025-7614)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad crítica en TOTOLINK T6 4.1.5cu.748. La función delDevice del archivo /cgi-bin/cstecgi.cgi del componente HTTP POST Request Handler se ve afectada. La manipulación del argumento ipAddr provoca la inyección de comandos. Es posible ejecutar el ataque en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en TOTOLINK T6 4.1.5cu.748 (CVE-2025-7615)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en TOTOLINK T6 4.1.5cu.748. Esta vulnerabilidad afecta la función clearPairCfg del archivo /cgi-bin/cstecgi.cgi del componente HTTP POST Request Handler. La manipulación del argumento ip provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Directus (CVE-2025-53885)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 16/07/2025
    Directus es una API en tiempo real y un panel de control para aplicaciones que permite gestionar el contenido de bases de datos SQL. A partir de la versión 9.0.0 y anteriores a la 11.9.0, al usar flujos de Directus para gestionar eventos CRUD de los usuarios, es posible registrar los datos entrantes en la consola mediante la operación "Registrar en consola" y una cadena de plantilla. Administradores malintencionados pueden registrar datos confidenciales de otros usuarios al crearlos o actualizarlos. La versión 11.9.0 incluye una solución para este problema. Como solución alternativa, evite registrar datos confidenciales en la consola fuera del contexto del desarrollo.
  • Vulnerabilidad en Directus (CVE-2025-53886)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 16/07/2025
    Directus es una API en tiempo real y un panel de control de aplicaciones para gestionar el contenido de bases de datos SQL. A partir de la versión 9.0.0 y anteriores a la 11.9.0, al usar flujos de Directus con el disparador de webhook, se registran todos los detalles de las solicitudes entrantes, incluyendo datos confidenciales como los tokens de acceso y actualización en las cookies. Administradores malintencionados con acceso a los registros pueden secuestrar las sesiones de usuario antes de que caduque el token al activar el flujo. La versión 11.9.0 soluciona este problema.
  • Vulnerabilidad en Directus (CVE-2025-53887)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 16/07/2025
    Directus es una API en tiempo real y un panel de control de aplicaciones para gestionar el contenido de bases de datos SQL. A partir de la versión 9.0.0 y anteriores a la 11.9.0, el número de versión exacto de Directus se utiliza incorrectamente como versión de OpenAPI Spec, lo que significa que el endpoint `/server/specs/oas` lo expone sin autenticación. Con la información exacta de la versión, un atacante malicioso puede buscar vulnerabilidades conocidas en el núcleo de Directus o en cualquiera de sus dependencias incluidas en esa versión específica. La versión 11.9.0 soluciona este problema.
  • Vulnerabilidad en Directus (CVE-2025-53889)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 16/07/2025
    Directus es una API en tiempo real y un panel de control de aplicaciones para gestionar el contenido de bases de datos SQL. A partir de la versión 9.12.0 y anteriores a la 11.9.0, los flujos de Directus con un disparador manual no validan si el usuario que los activa tiene permisos sobre los elementos proporcionados como payload. Dependiendo de la configuración del flujo, esto puede provocar que ejecute tareas en nombre del atacante sin autenticarse. Los atacantes podrían ejecutar los flujos de activación manual sin autenticación ni derechos de acceso a dichas colecciones o elementos. Los usuarios con flujos de activación manual configurados se ven afectados, ya que estos endpoints no validan actualmente si el usuario tiene acceso de lectura a `directus_flows` o a la colección o los elementos relevantes. Los flujos de activación manual deberían tener requisitos de seguridad más estrictos que los flujos de webhook, donde se espera que los usuarios realicen sus propias comprobaciones. La versión 11.9.0 soluciona el problema. Como solución alternativa, implemente comprobaciones de permisos para el acceso de lectura a los flujos y el acceso de lectura a la colección o los elementos relevantes.
  • Vulnerabilidad en HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress (CVE-2025-7340)
    Severidad: CRÍTICA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 16/07/2025
    El complemento HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función temp_file_upload en todas las versiones hasta la 2.2.1 incluida. Esto permite que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.
  • Vulnerabilidad en HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress (CVE-2025-7341)
    Severidad: CRÍTICA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 16/07/2025
    El complemento HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función temp_file_delete() en todas las versiones hasta la 2.2.1 incluida. Esto permite que atacantes no autenticados eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php).
  • Vulnerabilidad en HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress (CVE-2025-7360)
    Severidad: CRÍTICA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 16/07/2025
    El complemento HT Contact Form Widget para Elementor Page Builder y Gutenberg Blocks & Form Builder para WordPress es vulnerable a la transferencia arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función handle_files_upload() en todas las versiones hasta la 2.2.1 incluida. Esto permite que atacantes no autenticados transfieran archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al transferir el archivo correcto (como wp-config.php).