Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Kirby CMS v4.1.0 (CVE-2024-26482)
    Severidad: ALTA
    Fecha de publicación: 22/02/2024
    Fecha de última actualización: 21/08/2025
    Una vulnerabilidad de inyección de HTML en el módulo Edit Content Layout de Kirby CMS v4.1.0 permite a los atacantes ejecutar código arbitrario a través de un payload manipulado.
  • Vulnerabilidad en SIMATIC CN 4100 (CVE-2024-32741)
    Severidad: CRÍTICA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 21/08/2025
    Se ha identificado una vulnerabilidad en SIMATIC CN 4100 (todas las versiones < V3.0). El dispositivo afectado contiene una contraseña codificada que se utiliza para el usuario privilegiado del sistema "root" y para el cargador de arranque "GRUB" de forma predeterminada. Un atacante que logra descifrar el hash de la contraseña obtiene acceso root al dispositivo.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-25005)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 21/08/2025
    La validación de entrada incorrecta en Microsoft Exchange Server permite que un atacante autorizado realice manipulaciones en una red.
  • Vulnerabilidad en SourceCodester Cashier Queuing System 1.0 (CVE-2025-8973)
    Severidad: MEDIA
    Fecha de publicación: 14/08/2025
    Fecha de última actualización: 21/08/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Cashier Queuing System 1.0. Afecta a una función desconocida del archivo /Actions.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Medicine Guide 1.0 (CVE-2025-8990)
    Severidad: MEDIA
    Fecha de publicación: 15/08/2025
    Fecha de última actualización: 21/08/2025
    Se detectó una vulnerabilidad en code-projects Online Medicine Guide 1.0. Afecta a una función desconocida del archivo /browsemdcn.php. La manipulación del argumento "Search" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Shopping Portal Project 2.0 (CVE-2025-9011)
    Severidad: MEDIA
    Fecha de publicación: 15/08/2025
    Fecha de última actualización: 21/08/2025
    Se detectó una vulnerabilidad en PHPGurukul Online Shopping Portal Project 2.0. Este problema afecta a una funcionalidad desconocida del archivo /shopping/signup.php. La manipulación del argumento emailid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Shopping Portal Project 2.0 (CVE-2025-9012)
    Severidad: MEDIA
    Fecha de publicación: 15/08/2025
    Fecha de última actualización: 21/08/2025
    Se identificó una vulnerabilidad en PHPGurukul Online Shopping Portal Project 2.0. Esta afecta a una parte desconocida del archivo shopping/bill-ship-addresses.php. La manipulación del argumento billingpincode provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Online Shopping Portal Project 2.0 (CVE-2025-9013)
    Severidad: MEDIA
    Fecha de publicación: 15/08/2025
    Fecha de última actualización: 21/08/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Online Shopping Portal Project 2.0. Esta vulnerabilidad afecta al código desconocido del archivo /shopping/password-recovery.php. La manipulación del argumento emailid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en DIAEnergie (CVE-2025-57700)
    Severidad: ALTA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    DIAEnergie - Cross-Site Scriptin
  • Vulnerabilidad en DIAEnergie (CVE-2025-57701)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    DIAEnergie - Cross-Site Scripting reflejado
  • Vulnerabilidad en DIAEnergie (CVE-2025-57702)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    DIAEnergie - Cross-Site Scripting reflejado
  • Vulnerabilidad en DIAEnergie (CVE-2025-57703)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    DIAEnergie - Cross-Site Scripting reflejado
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-55587)
    Severidad: ALTA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contenía un desbordamiento de búfer en el parámetro hostname de /boafrm/formMapDelDevice. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante una entrada manipulada.
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-55588)
    Severidad: ALTA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contenía un desbordamiento de búfer en el parámetro fw_ip de /boafrm/formPortFw. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante una entrada manipulada.
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-55589)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contenía múltiples vulnerabilidades de inyección de comandos del sistema operativo a través de los parámetros macstr, bandstr y clientoff en /boafrm/formMapDelDevice.
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-55590)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene una vulnerabilidad de inyección de comandos a través del componente bupload.html.
  • Vulnerabilidad en TOTOLINK-A3002R v4.0.0-B20230531.1404 (CVE-2025-55591)
    Severidad: CRÍTICA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK-A3002R v4.0.0-B20230531.1404 contiene una vulnerabilidad de inyección de comandos en el parámetro devicemac en el endpoint formMapDel.
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-55584)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contenía credenciales inseguras para el servicio telnet y la cuenta root.
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-55585)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene una vulnerabilidad de inyección de evaluación a través de la función eval().
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-55586)
    Severidad: ALTA
    Fecha de publicación: 18/08/2025
    Fecha de última actualización: 21/08/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contenía un desbordamiento de búfer en el parámetro URL de /boafrm/formFilter. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante una entrada manipulada.
  • Vulnerabilidad en MoonShine v3.12.3 (CVE-2025-51487)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 21/08/2025
    Una vulnerabilidad de cross site scripting (XSS) almacenado en la función Crear artículo de MoonShine v3.12.3 permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de un payload manipulado en el parámetro Enlace.
  • Vulnerabilidad en MoonShine v3.12.3 (CVE-2025-51488)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 21/08/2025
    Una vulnerabilidad de cross site scripting (XSS) almacenado en la función Crear administrador de MoonShine v3.12.3 permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de un payload manipulado en el parámetro Nombre.
  • Vulnerabilidad en MoonShine v3.12.4 (CVE-2025-51489)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 21/08/2025
    Una vulnerabilidad de carga de archivos arbitrarios en MoonShine v3.12.4 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo SVG manipulado.
  • Vulnerabilidad en Commvault (CVE-2025-57788)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 21/08/2025
    Se detectó un problema en Commvault antes de la versión 11.36.60. Una vulnerabilidad en un mecanismo de inicio de sesión conocido permite a atacantes no autenticados ejecutar llamadas a la API sin requerir credenciales de usuario. RBAC ayuda a limitar la exposición, pero no elimina el riesgo.
  • Vulnerabilidad en Commvault (CVE-2025-57789)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 21/08/2025
    Se detectó un problema en Commvault antes de la versión 11.36.60. Durante el breve periodo entre la instalación y el primer inicio de sesión del administrador, atacantes remotos podrían explotar las credenciales predeterminadas para obtener el control administrativo. Esto se limita a la fase de configuración, antes de configurar cualquier tarea.
  • Vulnerabilidad en Commvault (CVE-2025-57790)
    Severidad: ALTA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 21/08/2025
    Se detectó un problema en Commvault antes de la versión 11.36.60. Se identificó una vulnerabilidad de seguridad que permite a atacantes remotos acceder sin autorización al sistema de archivos mediante un problema de path traversal. Esta vulnerabilidad podría provocar la ejecución remota de código.
  • Vulnerabilidad en Commvault (CVE-2025-57791)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 21/08/2025
    Se detectó un problema en Commvault antes de la versión 11.36.60. Se identificó una vulnerabilidad de seguridad que permite a atacantes remotos inyectar o manipular argumentos de la línea de comandos transmitidos a componentes internos debido a una validación de entrada insuficiente. Una explotación exitosa da como resultado una sesión de usuario válida para un rol con privilegios bajos.
  • Vulnerabilidad en JetBrains IntelliJ IDEA (CVE-2025-57727)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 21/08/2025
    En JetBrains IntelliJ IDEA antes de 2025.2 la divulgación de credenciales era posible mediante referencia remota
  • Vulnerabilidad en JetBrains IntelliJ IDEA (CVE-2025-57728)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 21/08/2025
    En JetBrains IntelliJ IDEA antes de 2025.2, un control de acceso incorrecto permitía que el invitado de Code With Me descubriera archivos ocultos