Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Tongda OA 2017 (CVE-2023-7021)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 01/08/2025
    Se encontró una vulnerabilidad en Tongda OA 2017 hasta 11.9. Ha sido clasificada como crítica. Una función desconocida del archivo general/vehicle/checkup/delete_search.php es afectada por esta vulnerabilidad. La manipulación del argumento VU_ID conduce a la inyección SQL. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. La actualización a la versión 11.10 puede solucionar este problema. Se recomienda actualizar el componente afectado. El identificador de esta vulnerabilidad es VDB-248568. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna forma.
  • Vulnerabilidad en Tongda OA 2017 (CVE-2024-1251)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 01/08/2025
    Una vulnerabilidad fue encontrada en Tongda OA 2017 hasta 11.10 y clasificada como crítica. Una función desconocida del archivo /general/email/outbox/delete.php es afectada por esta vulnerabilidad. La manipulación del argumento DELETE_STR conduce a la inyección SQL. El exploit ha sido divulgado al público y puede utilizarse. VDB-252990 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en WooCommerce - Social Login para WordPress (CVE-2024-10114)
    Severidad: ALTA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 01/08/2025
    El complemento WooCommerce - Social Login para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 2.7.7 incluida. Esto se debe a una verificación insuficiente del usuario que devuelve el token de inicio de sesión social. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico y el usuario no tiene una cuenta ya existente para el servicio que devuelve el token.
  • Vulnerabilidad en Scratch & Win – Giveaways and Contests. Boost subscribers, traffic, repeat visits, referrals, sales and more para WordPress (CVE-2024-13316)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2025
    Fecha de última actualización: 01/08/2025
    El complemento Scratch & Win – Giveaways and Contests. Boost subscribers, traffic, repeat visits, referrals, sales and more para WordPress es vulnerable al acceso no autorizado debido a una verificación de capacidad faltante en la función APMSWN_CREATE_DISCOUNT () en todas las versiones de hasta 2.8.0 incluida. Esto hace posible que los atacantes no autenticados creen cupones.
  • Vulnerabilidad en Ruby (CVE-2025-27221)
    Severidad: BAJA
    Fecha de publicación: 04/03/2025
    Fecha de última actualización: 01/08/2025
    En la gema URI anterior a 1.0.3 para Ruby, los métodos de gestión de URI (URI.join, URI#merge, URI#+) tienen una fuga involuntaria de credenciales de autenticación porque la información del usuario se conserva incluso después de cambiar el host.
  • Vulnerabilidad en Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 (CVE-2025-29357)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 01/08/2025
    Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 es vulnerable a un desbordamiento de búfer mediante los parámetros startIp y endIp en /goform/SetPptpServerCfg. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete manipulado.
  • Vulnerabilidad en Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 (CVE-2025-29358)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 01/08/2025
    Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 es vulnerable a un desbordamiento de búfer a través del parámetro firewallEn en /goform/SetFirewallCfg. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete manipulado.
  • Vulnerabilidad en Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 (CVE-2025-29359)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 01/08/2025
    Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 es vulnerable a un desbordamiento de búfer a través del parámetro deviceId en /goform/saveParentControlInfo. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete manipulado.
  • Vulnerabilidad en Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 (CVE-2025-29360)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 01/08/2025
    Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 es vulnerable a un desbordamiento de búfer mediante los parámetros time y timeZone en /goform/SetSysTimeCfg. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete manipulado.
  • Vulnerabilidad en TYPO3 (CVE-2025-48206)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2025
    Fecha de última actualización: 01/08/2025
    La extensión ns_backup hasta 13.0.0 para TYPO3 permite XSS.