Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en StudentManage v1.0 (CVE-2025-50585)
    Severidad: ALTA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 09/09/2025
    Se descubrió que StudentManage v1.0 contenía una vulnerabilidad de inyección SQL a través del componente /admin/adminStudentUrl.
  • Vulnerabilidad en StudentManage v1.0 (CVE-2025-50586)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 09/09/2025
    Se descubrió que StudentManage v1.0 contenía Cross-Site Request Forgery (CSRF).
  • Vulnerabilidad en StudentManage v1.0 (CVE-2025-50584)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 09/09/2025
    Se descubrió que StudentManage v1.0 contenía una vulnerabilidad de Cross-Site Scripting (XSS) a través del módulo Agregar un nuevo profesor.
  • Vulnerabilidad en StudentManage v1.0 (CVE-2025-50582)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 09/09/2025
    Se descubrió que StudentManage v1.0 contenía una vulnerabilidad de Cross-Site Scripting (XSS) a través del módulo Agregar un nuevo curso.
  • Vulnerabilidad en StudentManage v1.0 (CVE-2025-50583)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 09/09/2025
    Se descubrió que StudentManage v1.0 contenía una vulnerabilidad de Cross-Site Scripting (XSS) a través del módulo Agregar un nuevo estudiante.
  • Vulnerabilidad en jshERP (CVE-2025-8839)
    Severidad: MEDIA
    Fecha de publicación: 11/08/2025
    Fecha de última actualización: 09/09/2025
    Se encontró una vulnerabilidad en jshERP hasta la versión 3.5. Este problema afecta a un procesamiento desconocido del archivo /jshERP-boot/user/addUser del componente Endpoint. La manipulación provoca una autorización indebida. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en jshERP (CVE-2025-8840)
    Severidad: MEDIA
    Fecha de publicación: 11/08/2025
    Fecha de última actualización: 09/09/2025
    Se detectó una vulnerabilidad en jshERP hasta la versión 3.5. Se ve afectada una función desconocida del archivo /jshERP-boot/user/deleteBatch del componente Endpoint. La manipulación de los identificadores de argumentos provoca una autorización incorrecta. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Es diferente de CVE-2025-7947.
  • Vulnerabilidad en jshERP v3.5 (CVE-2025-55366)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 09/09/2025
    El control de acceso incorrecto en el componente \controller\UserController.java de jshERP v3.5 permite a los atacantes restablecer arbitrariamente las contraseñas de las cuentas de usuario y ejecutar un ataque de escalada de privilegios horizontal.
  • Vulnerabilidad en jshERP v3.5 (CVE-2025-55367)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 09/09/2025
    El control de acceso incorrecto en el componente \controller\SupplierController.java de jshERP v3.5 permite a atacantes no autorizados modificar arbitrariamente el estado del proveedor en cualquier cuenta.
  • Vulnerabilidad en jshERP v3.5 (CVE-2025-55368)
    Severidad: ALTA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 09/09/2025
    El control de acceso incorrecto en el componente \controller\RoleController.java de jshERP v3.5 permite a atacantes no autorizados modificar arbitrariamente el estado del proveedor en cualquier cuenta.
  • Vulnerabilidad en jshERP v3.5 (CVE-2025-55370)
    Severidad: ALTA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 09/09/2025
    El control de acceso incorrecto en el componente \controller\ResourceController.java de jshERP v3.5 permite a atacantes no autorizados obtener todos los datos de ID correspondientes modificando el valor de ID.
  • Vulnerabilidad en jshERP v3.5 (CVE-2025-55371)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 09/09/2025
    El control de acceso incorrecto en el componente /controller/PersonController.java de jshERP v3.5 permite a atacantes no autorizados obtener toda la información del controlador ejecutando el método getAllList.
  • Vulnerabilidad en FoxCMS v1.2.6 (CVE-2025-55420)
    Severidad: ALTA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 09/09/2025
    Se detectó una vulnerabilidad de Cross Site Scripting (XSS) reflejado en /index.php de FoxCMS v1.2.6. Cuando se envía un script manipulado mediante una solicitud GET, se refleja sin sanear en la respuesta HTML. Esto permite la ejecución de código JavaScript arbitrario cuando un usuario conectado envía la entrada maliciosa.
  • Vulnerabilidad en Jeewms v3.7 (CVE-2024-53499)
    Severidad: CRÍTICA
    Fecha de publicación: 22/08/2025
    Fecha de última actualización: 09/09/2025
    Se descubrió que Jeewms v3.7 contenía una vulnerabilidad de inyección SQL a través de la API CgReportController.
  • Vulnerabilidad en FoxCMS 1.2.6 (CVE-2025-55409)
    Severidad: ALTA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 09/09/2025
    En FoxCMS 1.2.6, existe una vulnerabilidad de Cross Site Scripting en /index.php/article. Esto permite a los atacantes ejecutar código arbitrario.
  • Vulnerabilidad en sparkshop v.1.1.7 (CVE-2025-50722)
    Severidad: CRÍTICA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 09/09/2025
    La vulnerabilidad de permisos inseguros en sparkshop v.1.1.7 permite que un atacante remoto ejecute código arbitrario a través del componente Common.php
  • Vulnerabilidad en XGrammar (CVE-2025-57809)
    Severidad: ALTA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 09/09/2025
    XGrammar es una librería de código abierto para la generación de estructuras eficiente, flexible y portátil. Antes de la versión 0.1.21, XGrammar presentaba un problema de recursión infinita en la gramática. Este problema se ha resuelto en la versión 0.1.21.
  • Vulnerabilidad en SelectZero Data Observability Platform (CVE-2025-52217)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    SelectZero Data Observability Platform anterior a la versión 2025.5.2 es vulnerable a la inyección de HTML. Los campos de la interfaz de usuario heredada gestionan incorrectamente la entrada proporcionada por el usuario, lo que permite la inyección de HTML arbitrario.
  • Vulnerabilidad en SelectZero Data Observability Platform (CVE-2025-52218)
    Severidad: ALTA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    SelectZero Data Observability Platform anterior a la versión 2025.5.2 es vulnerable a la suplantación de contenido y la inyección de texto. La depuración incorrecta de parámetros no especificados permite a los atacantes inyectar texto arbitrario o HTML limitado en la página de inicio de sesión.
  • Vulnerabilidad en SelectZero (CVE-2025-52219)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    SelectZero. SelectZero Data Observability Platform anterior a la versión 2025.5.2 contiene una vulnerabilidad de redirección abierta. Los campos de la interfaz de usuario heredados pueden usarse para crear enlaces externos arbitrarios mediante inyección HTML.
  • Vulnerabilidad en Nagios XI 2024R2 (CVE-2025-56432)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    Existe una vulnerabilidad de cross-site scripting (XSS) en Nagios XI 2024R2. Esta vulnerabilidad permite a atacantes remotos ejecutar código JavaScript arbitrario en la sesión de un usuario conectado mediante una URL especialmente manipulada. El problema reside en un componente web responsable de renderizar datos relacionados con el rendimiento.
  • Vulnerabilidad en jsPDF (CVE-2025-57810)
    Severidad: ALTA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    jsPDF es una librería para generar archivos PDF en JavaScript. Antes de la versión 3.0.2, el control del usuario sobre el primer argumento del método addImage provocaba un alto consumo de CPU y una denegación de servicio. Si se le permitía pasar datos de imagen o URL no depuradas al método addImage, un usuario podía proporcionar un archivo PNG dañino que provocaba un alto consumo de CPU y una denegación de servicio. Esta vulnerabilidad se corrigió en jsPDF 3.0.2.
  • Vulnerabilidad en IPFire 2.29 (CVE-2025-50974)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    El CGI del exportador de registros de Calamaris (/cgi-bin/logs.cgi/calamaris.dat) en IPFire 2.29 no depura correctamente la entrada proporcionada por el usuario antes de incorporar valores de parámetros en un comando de shell. Un atacante remoto no autenticado puede inyectar comandos arbitrarios del sistema operativo incrustando metacaracteres de shell en cualquiera de los siguientes parámetros: BYTE_UNIT, DAY_BEGIN, DAY_END, HIST_LEVEL, MONTH_BEGIN, MONTH_END, NUM_CONTENT, NUM_DOMAINS, NUM_HOSTS, NUM_URLS, PERF_INTERVAL, YEAR_BEGIN, YEAR_END.
  • Vulnerabilidad en Helpy.io v.2.8.0 (CVE-2025-52184)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    La vulnerabilidad de cross-site scripting en Helpy.io v.2.8.0 permite a un atacante remoto escalar privilegios a través de la función de ticket de nuevo tema.
  • Vulnerabilidad en IPFire 2.29 (CVE-2025-50976)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    La interfaz de administración de DNS de IPFire 2.29 (dns.cgi) no logra depurar adecuadamente la entrada proporcionada por el usuario en los parámetros de consulta NAMESERVER, REMARK y TLS_HOSTNAME, lo que genera una vulnerabilidad de cross-site scripting (XSS) reflejado.
  • Vulnerabilidad en IPFire 2.29 (CVE-2025-50975)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    La interfaz del firewall web IPFire 2.29 (firewall.cgi) no depura varios parámetros de reglas, como PROT, SRC_PORT, TGT_PORT, dnatport, key, ruleremark, src_addr, std_net_tgt y tgt_addr, lo que permite que un administrador autenticado inyecte JavaScript persistente. Este payload XSS almacenado se ejecuta cada vez que otro administrador accede a la página de reglas del firewall, lo que permite el secuestro de sesiones, acciones no autorizadas dentro de la interfaz o un mayor pivoteo interno. La explotación solo requiere acceso a la interfaz gráfica con privilegios altos, y la complejidad del ataque es baja.
  • Vulnerabilidad en Badaso CMS 2.9.11 (CVE-2025-52353)
    Severidad: CRÍTICA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad de ejecución de código arbitrario en Badaso CMS 2.9.11. El Media Manager permite a los usuarios autenticados subir archivos con código PHP incrustado a través del endpoint de carga de archivos, omitiendo la validación del tipo de contenido. Al acceder a dicho archivo a través de su URL, el servidor ejecuta la carga útil PHP, lo que permite a un atacante ejecutar comandos arbitrarios del sistema y comprometer completamente el host subyacente. Esto se ha demostrado incrustando una puerta trasera en un PDF y renombrándolo con la extensión .php.
  • Vulnerabilidad en Telpo MDM (CVE-2025-55443)
    Severidad: CRÍTICA
    Fecha de publicación: 26/08/2025
    Fecha de última actualización: 09/09/2025
    Telpo MDM 1.4.6 a 1.4.9 para Android contiene credenciales de administrador confidenciales y detalles de conexión al servidor MQTT (IP/puerto) que se almacenan en texto plano en archivos de registro en el almacenamiento externo del dispositivo. Esto permite a los atacantes con acceso a estos registros: 1. Autenticarse en la plataforma web MDM para ejecutar operaciones administrativas (apagado del dispositivo, restablecimiento de fábrica e instalación de software); 2. Conectarse al servidor MQTT para interceptar y publicar datos del dispositivo.
  • Vulnerabilidad en RaspAP raspap-webgui (CVE-2025-50428)
    Severidad: CRÍTICA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    En RaspAP raspap-webgui 3.3.2 y versiones anteriores, existe una vulnerabilidad de inyección de comandos en el script "includes/hostapd.php". Esta vulnerabilidad se debe a una depuración incorrecta de la entrada del usuario enviada a través del parámetro de interfaz.
  • Vulnerabilidad en Angular (CVE-2025-50977)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    Se ha identificado una vulnerabilidad de inyección de plantillas que provoca Cross Site Scripting (XSS) reflejado en la versión 1.7.1, que requiere acceso de administrador autenticado para su explotación. La vulnerabilidad se encuentra en el parámetro 'r' y permite a los atacantes inyectar expresiones maliciosas de Angular que ejecutan código JavaScript en el contexto de la aplicación. La falla puede explotarse mediante solicitudes GET al endpoint de resumen, así como mediante solicitudes POST a endpoints específicos de la interfaz Wicket, aunque el método GET facilita su uso como arma. Esta vulnerabilidad permite a los administradores autenticados ejecutar código arbitrario del lado del cliente, lo que podría provocar secuestro de sesiones, robo de datos o nuevos ataques de escalada de privilegios.
  • Vulnerabilidad en Gitblit v1.7.1 (CVE-2025-50978)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    En Gitblit v1.7.1, existe una vulnerabilidad Cross Site Scripting (XSS) reflejado en la gestión de los nombres de ruta del repositorio. Al inyectar una payload de ruta especialmente manipulada, un atacante puede provocar la ejecución de código JavaScript arbitrario cuando la víctima accede a la URL manipulada. Esta falla se debe a una depuración insuficiente de los elementos de nombre de archivo en la entrada.
  • Vulnerabilidad en NodeBB v4.3.0 (CVE-2025-50979)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    NodeBB v4.3.0 es vulnerable a la inyección de SQL en su punto final de la API de categorías de búsqueda (/api/v3/search/categories). El parámetro de consulta de búsqueda no está correctamente depurado, lo que permite a atacantes remotos no autenticados inyectar payloads ciegos basadas en booleanos y basadas en errores de PostgreSQL.
  • Vulnerabilidad en readarr 0.4.15.2787 (CVE-2025-50983)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    Existe una vulnerabilidad de inyección SQL en el parámetro sortKey del endpoint de la API GET /api/v1/wanted/cutoff en readarr 0.4.15.2787. El endpoint no depura correctamente la entrada proporcionada por el usuario, lo que permite a los atacantes inyectar y ejecutar comandos SQL arbitrarios en la base de datos SQLite. SQLmap confirmó la explotación mediante consultas apiladas, lo que demuestra que se puede abusar del parámetro para ejecutar sentencias SQL arbitrarias. Se ejecutó una consulta pesada utilizando las funciones RANDOMBLOB() y HEX() de SQLite para simular una payload basada en el tiempo, lo que indica un control exhaustivo sobre las interacciones con la base de datos.
  • Vulnerabilidad en diskover-web v2.3.0 Community Edition (CVE-2025-50984)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    diskover-web v2.3.0 Community Edition es vulnerable a múltiples fallos de inyección SQL ciega basados en booleanos en su formulario de configuración de Elasticsearch. Entradas de usuario sin depurar en parámetros POST como ES_PASS, ES_MAXSIZE, ES_TRANSLOGSIZE, ES_TIMEOUT, ES_USER, ES_HOST, ES_PORT, ES_SCROLLSIZE, ES_CHUNKSIZE y otros pueden manipularse para inyectar expresiones SQLite arbitrarias envueltas en funciones JSON. Al explotar estos puntos de inyección, un atacante puede inferir o extraer información confidencial de la base de datos subyacente sin autenticación. Este problema se debe a una validación y parametrización incorrectas de las entradas en la construcción de consultas basadas en JSON de la aplicación.
  • Vulnerabilidad en diskover-web v2.3.0 Community Edition (CVE-2025-50985)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    diskover-web v2.3.0 Community Edition es vulnerable a múltiples fallos de cross-site scripting (XSS) reflejado en su interfaz web. Los parámetros GET sin depurar, como maxage, maxindex, index, path, q (consulta) y doctype, se replican directamente en la respuesta HTML, lo que permite a los atacantes inyectar y ejecutar JavaScript arbitrario cuando una víctima visita una URL manipulada.
  • Vulnerabilidad en diskover-web v2.3.0 Community Edition (CVE-2025-50986)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    diskover-web v2.3.0 Community Edition presenta múltiples vulnerabilidades de cross-site scripting (XSS) almacenado en su interfaz de configuración administrativa. Diversos campos de configuración, como ES_HOST, ES_INDEXREFRESH, ES_PORT, ES_SCROLLSIZE, ES_TRANSLOGSIZE, ES_TRANSLOGSYNCINT, EXCLUDES_FILES, FILE_TYPES[], INCLUDES_DIRS, INCLUDES_FILES y TIMEZONE, no depuran correctamente la información proporcionada por el usuario. Los payloads maliciosos enviados mediante estos parámetros persisten en la aplicación y se ejecutan cada vez que un administrador accede o edita la página de configuración.
  • Vulnerabilidad en OPNsense 25.1 (CVE-2025-50989)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    OPNsense 25.1 contiene una vulnerabilidad de inyección de comandos autenticados en su endpoint Bridge Interface Edit (interfaces_bridge_edit.php). El parámetro POST span se concatena en un comando a nivel de sistema sin la debida depuración ni escape, lo que permite a un administrador inyectar operadores de shell y payloads arbitrarias. Una explotación exitosa otorga a RCE los privilegios del servicio web (normalmente root), lo que podría provocar la vulneración total del sistema o un desplazamiento lateral. Esta vulnerabilidad surge de una validación de entrada inadecuada y del manejo incorrecto de los datos proporcionados por el usuario en las invocaciones de comandos del backend.
  • Vulnerabilidad en Freeform (CVE-2025-52122)
    Severidad: CRÍTICA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    Freeform 5.0.0 a anterior a 5.10.16, un complemento para CraftCMS, contiene una vulnerabilidad de Server-side template injection (SSTI), que resulta en la inyección de código arbitrario para todos los usuarios que tienen acceso para editar un formulario (título de envío).
  • Vulnerabilidad en Bevy Event (CVE-2025-54598)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    El servicio Bevy Event hasta el 22 de julio de 2025, tal como se utiliza para eventos de vendedores de eBay y otras actividades, permite a CSRF eliminar todas las notificaciones a través del URI /notifications/delete/.
  • Vulnerabilidad en umasoft fotoShare Cloud (CVE-2025-56694)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    Validación de contraseña del lado del cliente (CWE-602) en lumasoft fotoShare Cloud 2025-03-13 que permite a atacantes no autenticados ver álbumes de fotos protegidos con contraseña.