Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en productos Cisco (CVE-2019-1761)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2019
    Fecha de última actualización: 11/09/2025
    Una vulnerabilidad en el subsistema Hot Standby Router Protocol (HSRP) de los softwares Cisco IOS y IOS XE podría permitir que un atacante adyacente sin autenticar reciba información potencialmente sensible desde un dispositivo afectado. Esta vulnerabilidad se debe a una inicialización de memoria insuficiente. Un atacante podría explotar esta vulnerabilidad recibiendo tráfico HSRPv2 desde un miembro HSRP adyacente. Un exploit con éxito podría permitir que el atacante reciba información potencialmente sensible del dispositivo adyacente.
  • Vulnerabilidad en el soporte de Intercambio de Claves de Internet Versión 2 (IKEv2) para la funcionalidad AutoReconnect de Cisco IOS Software y Cisco IOS XE Software (CVE-2021-1620)
    Severidad: ALTA
    Fecha de publicación: 23/09/2021
    Fecha de última actualización: 11/09/2025
    Una vulnerabilidad en el soporte de Intercambio de Claves de Internet Versión 2 (IKEv2) para la funcionalidad AutoReconnect de Cisco IOS Software y Cisco IOS XE Software podría permitir a un atacante remoto autenticado agotar las direcciones IP libres del pool local asignado. Esta vulnerabilidad ocurre porque el código no libera la dirección IP asignada en determinadas condiciones de fallo. Un atacante podría explotar esta vulnerabilidad al intentar conectarse al dispositivo con un cliente que no sea AnyConnect. Una explotación con éxito podría permitir al atacante agotar las direcciones IP del pool local asignado, que impide a usuarios iniciar sesión y conlleva a una condición de denegación de servicio (DoS)
  • Vulnerabilidad en linlinjava litemall (CVE-2024-6452)
    Severidad: MEDIA
    Fecha de publicación: 02/07/2024
    Fecha de última actualización: 11/09/2025
    Una vulnerabilidad fue encontrada en linlinjava litemall hasta 1.8.0 y clasificada como crítica. Una función desconocida del archivo AdminGoodscontroller.java es afectada por esta vulnerabilidad. La manipulación del argumento goodId/goodsSn/name conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-270235.
  • Vulnerabilidad en Scada-LTS (CVE-2025-7728)
    Severidad: MEDIA
    Fecha de publicación: 17/07/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en Scada-LTS hasta la versión 2.7.8.1. La vulnerabilidad afecta a una función desconocida del archivo users.shtm. La manipulación del argumento "Username" provoca ataques de cross-site scripting. Es posible ejecutar el ataque en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó con el proveedor con antelación para informarle sobre este problema, quien confirmó que se solucionará en la próxima versión 2.8.0.
  • Vulnerabilidad en Scada-LTS (CVE-2025-7729)
    Severidad: MEDIA
    Fecha de publicación: 17/07/2025
    Fecha de última actualización: 11/09/2025
    Se detectó una vulnerabilidad clasificada como problemática en Scada-LTS hasta la versión 2.7.8.1. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo usersProfiles.shtm. La manipulación del argumento "Username" provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó con el proveedor con antelación para informarle sobre este problema, quien confirmó que se solucionará en la próxima versión 2.8.0.
  • Vulnerabilidad en yangzongzhuan RuoYi (CVE-2025-7901)
    Severidad: MEDIA
    Fecha de publicación: 20/07/2025
    Fecha de última actualización: 11/09/2025
    Se encontró una vulnerabilidad en yangzongzhuan RuoYi hasta la versión 4.8.1. Se ha clasificado como problemática. Este problema afecta a un procesamiento desconocido del archivo /swagger-ui/index.html del componente Swagger UI. La manipulación del argumento configUrl provoca ataques de Cross-Site Scripting. El ataque puede ejecutarse en remoto.
  • Vulnerabilidad en yangzongzhuan RuoYi (CVE-2025-7903)
    Severidad: MEDIA
    Fecha de publicación: 20/07/2025
    Fecha de última actualización: 11/09/2025
    Se detectó una vulnerabilidad clasificada como problemática en yangzongzhuan RuoYi hasta la versión 4.8.1. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente Image Source Handler. La manipulación provoca una restricción indebida de las capas de la interfaz de usuario renderizadas. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en yangzongzhuan RuoYi (CVE-2025-7906)
    Severidad: MEDIA
    Fecha de publicación: 20/07/2025
    Fecha de última actualización: 11/09/2025
    Se encontró una vulnerabilidad en yangzongzhuan RuoYi hasta la versión 4.8.1, clasificada como crítica. Este problema afecta a la función uploadFile del archivo ruoyi-admin/src/main/java/com/ruoyi/web/controller/common/CommonController.java. La manipulación del argumento File permite una carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en AIM 3.28.0 (CVE-2025-51463)
    Severidad: ALTA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 11/09/2025
    Path Traversal en restore_run_backup() en AIM 3.28.0 permite a atacantes remotos escribir contenido arbitrario en el sistema de archivos del servidor mediante un archivo tar de respaldo manipulado y enviado a la API run_instruction, que se extrae sin validación de ruta durante la restauración.
  • Vulnerabilidad en aimhubio Aim 3.28.0 (CVE-2025-51464)
    Severidad: ALTA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 11/09/2025
    Cross-site Scripting (XSS) en aimhubio Aim 3.28.0 permite a atacantes remotos ejecutar JavaScript arbitrario en los navegadores de las víctimas mediante código Python malicioso enviado al endpoint /api/reports, que Pyodide interpreta y ejecuta al visualizar el informe. Ninguna restricción de depuración ni de entorno de pruebas impide la ejecución de JavaScript mediante pyodide.code.run_js().
  • Vulnerabilidad en eosphoros-ai DB-GPT 0.7.0 (CVE-2025-51458)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 11/09/2025
    La inyección SQL en editor_sql_run y query_ex en eosphoros-ai DB-GPT 0.7.0 permite a atacantes remotos ejecutar sentencias SQL arbitrarias a través de entradas manipuladas pasadas a los endpoints /v1/editor/sql/run o /v1/editor/chart/run, interactuando con api_editor_v1.editor_sql_run, editor_chart_run y datasource.rdbms.base.query_ex.
  • Vulnerabilidad en eosphoros-ai DB-GPT 0.7.0 (CVE-2025-51459)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 11/09/2025
    La vulnerabilidad de carga de archivos en agent.hub.controller.refresh_plugins en eosphoros-ai DB-GPT 0.7.0 permite a atacantes remotos ejecutar código arbitrario a través de un archivo ZIP de complemento malicioso cargado en el endpoint /v1/personal/agent/upload, interactuando con plugin_hub._sanitize_filename y plugins_util.scan_plugins.
  • Vulnerabilidad en Roo Code (CVE-2025-54377)
    Severidad: ALTA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 11/09/2025
    Roo Code es un agente de codificación autónomo basado en IA que reside en los editores de los usuarios. En las versiones 3.23.18 y anteriores, RooCode no valida los saltos de línea (\n) en la entrada de comandos, lo que permite eludir el mecanismo de lista blanca. El proyecto parece carecer de lógica de análisis o validación para evitar la inyección de comandos multilínea. Al evaluar la ejecución de los comandos, solo se considera la primera línea o token, lo que permite a los atacantes introducir comandos adicionales en líneas posteriores. Esto se solucionó en la versión 3.23.19.
  • Vulnerabilidad en FreeScout (CVE-2025-54366)
    Severidad: ALTA
    Fecha de publicación: 26/07/2025
    Fecha de última actualización: 11/09/2025
    FreeScout es un servicio de asistencia y bandeja de entrada compartida, ligero, gratuito y de código abierto, desarrollado con PHP (Laravel framework). En las versiones 1.8.185 y anteriores, existe una vulnerabilidad crítica de deserialización en el endpoint /conversation/ajax que permite a los usuarios autenticados con conocimiento de APP_KEY ejecutar código remoto. La vulnerabilidad ocurre cuando la aplicación procesa los parámetros POST attachments_all y attachments mediante la función insegura Helper::decrypt(), que realiza una deserialización insegura de datos controlados por el usuario sin la validación adecuada. Esta falla permite a los atacantes crear objetos arbitrarios y manipular sus propiedades, lo que compromete por completo la aplicación web. Esto se corrigió en la versión 1.8.186.
  • Vulnerabilidad en CVAT (CVE-2025-54573)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 11/09/2025
    CVAT es una herramienta interactiva de código abierto para la anotación de imágenes y videos para visión artificial. En las versiones 1.1.0 a 2.41.0, la verificación de correo electrónico no se aplicaba al usar la autenticación HTTP básica. Como resultado, los usuarios podían crear cuentas con direcciones de correo electrónico falsas y usar el producto como usuarios verificados. Además, la falta de verificación de correo electrónico deja el sistema expuesto a registros de bots y a otros usos. CVAT 2.42.0 y versiones posteriores incluyen una solución para este problema. Los clientes de CVAT Enterprise tienen una solución alternativa; pueden desactivar el registro para evitar este problema.
  • Vulnerabilidad en Portabilis i-Diario 1.5.0 (CVE-2025-8511)
    Severidad: MEDIA
    Fecha de publicación: 03/08/2025
    Fecha de última actualización: 11/09/2025
    Se encontró una vulnerabilidad clasificada como problemática en Portabilis i-Diario 1.5.0. Esta vulnerabilidad afecta al código desconocido del archivo /diario-de-observacoes/ del componente Observações. La manipulación del argumento Descrição provoca Cross-Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Scada-LTS (CVE-2025-8743)
    Severidad: MEDIA
    Fecha de publicación: 08/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en Scada-LTS hasta la versión 2.7.8.1. Esta afecta a una parte desconocida del archivo /data_source_edit.shtm del componente Virtual Data Source Property Handler. La manipulación del argumento "Name" provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en linlinjava litemall (CVE-2025-8753)
    Severidad: MEDIA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una vulnerabilidad, clasificada como crítica, en linlinjava litemall hasta la versión 1.8.0. Este problema afecta a la función "delete" del archivo /admin/storage/delete del componente File Handler. La manipulación de la clave del argumento provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en linlinjava litemall (CVE-2025-8764)
    Severidad: MEDIA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una vulnerabilidad crítica en linlinjava litemall hasta la versión 1.8.0. La función "Upload" del archivo /wx/storage/upload se ve afectada. La manipulación del argumento "File" permite una carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en yangzongzhuan RuoYi (CVE-2025-8847)
    Severidad: MEDIA
    Fecha de publicación: 11/08/2025
    Fecha de última actualización: 11/09/2025
    Se encontró una vulnerabilidad en yangzongzhuan RuoYi hasta la versión 4.8.1. Esta vulnerabilidad afecta la función Edit del archivo /system/notice/edit. La manipulación del argumento noticeTitle/noticeContent provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en linlinjava litemall (CVE-2025-8965)
    Severidad: MEDIA
    Fecha de publicación: 14/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una vulnerabilidad en linlinjava litemall (hasta la versión 1.8.0). Esta vulnerabilidad afecta la función de creación del archivo litemall-admin-api/src/main/java/org/linlinjava/litemall/admin/web/AdminStorageController.java del componente Endpoint. La manipulación del argumento File permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en linlinjava litemall (CVE-2025-8974)
    Severidad: MEDIA
    Fecha de publicación: 14/08/2025
    Fecha de última actualización: 11/09/2025
    Se detectó una vulnerabilidad en linlinjava litemall hasta la versión 1.8.0. Este problema afecta a una funcionalidad desconocida del archivo litemall-wx-api/src/main/java/org/linlinjava/litemall/wx/util/JwtHelper.java del componente JSON Web Token Handler. La manipulación del argumento SECRET con la entrada X-Litemall-Token genera credenciales codificadas de forma rígida. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en linlinjava litemall (CVE-2025-8991)
    Severidad: MEDIA
    Fecha de publicación: 15/08/2025
    Fecha de última actualización: 11/09/2025
    Se identificó una vulnerabilidad en linlinjava litemall hasta la versión 1.8.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/config/express del componente "Business Logic Handler". La manipulación del argumento litemall_express_freight_min provoca errores de lógica de negocio. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Scada-LTS 2.7.8.1 (CVE-2025-9137)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha encontrado una vulnerabilidad en Scada-LTS 2.7.8.1. Esta afecta a una función desconocida del archivo schedule_events.shtm. Esta manipulación del alias del argumento provoca cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. El proveedor explica: «Los riesgos de las vulnerabilidades indicadas parecen ser mínimos, ya que es probable que todos los escenarios requieran permisos de administrador. Además, independientemente de que nuestro equipo corrija dichas vulnerabilidades, el riesgo general para el usuario debido a acciones maliciosas de administrador no disminuirá. Un usuario administrador, por definición, tiene control total sobre el código HTML y JS que se entrega a los usuarios en paneles sinópticos regulares. En otras palabras, debido al diseño del sistema, no es posible limitar que el usuario administrador ataque a los usuarios».
  • Vulnerabilidad en Scada-LTS 2.7.8.1 (CVE-2025-9138)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 11/09/2025
    Se encontró una vulnerabilidad en Scada-LTS 2.7.8.1. La función afectada es desconocida en el archivo pointHierarchy/new/. La manipulación del argumento Title provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. El proveedor explica: «Los riesgos de las vulnerabilidades indicadas parecen ser mínimos, ya que es probable que todos los escenarios requieran permisos de administrador. Además, independientemente de que nuestro equipo corrija dichas vulnerabilidades, el riesgo general para el usuario debido a acciones maliciosas de administrador no disminuirá. Un usuario administrador, por definición, tiene control total sobre el código HTML y JS que se entrega a los usuarios en paneles sinópticos regulares. En otras palabras, debido al diseño del sistema, no es posible limitar al usuario administrador a atacar a los usuarios».
  • Vulnerabilidad en Scada-LTS 2.7.8.1 (CVE-2025-9139)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 11/09/2025
    Se detectó una vulnerabilidad en Scada-LTS 2.7.8.1. Esta vulnerabilidad afecta una funcionalidad desconocida del archivo /Scada-LTS/dwr/call/plaincall/WatchListDwr.init.dwr. La manipulación puede provocar la divulgación de información. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. El proveedor explica: «Los riesgos de las vulnerabilidades indicadas parecen ser mínimos, ya que es probable que todos los escenarios requieran permisos de administrador. Además, independientemente de que nuestro equipo corrija dichas vulnerabilidades, el riesgo general para el usuario debido a acciones maliciosas de administrador no disminuirá».
  • Vulnerabilidad en Scada-LTS 2.7.8.1 (CVE-2025-9143)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha descubierto una falla de seguridad en Scada-LTS 2.7.8.1. Esta afecta a una parte desconocida del archivo mailing_lists.shtm. La manipulación del argumento name/userList/address provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Scada-LTS 2.7.8.1 (CVE-2025-9144)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha identificado una vulnerabilidad en Scada-LTS 2.7.8.1. Esta vulnerabilidad afecta al código desconocido del archivo publisher_edit.shtm. Esta manipulación del argumento Name provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Scada-LTS 2.7.8.1 (CVE-2025-9145)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una vulnerabilidad de seguridad en Scada-LTS 2.7.8.1. Este problema afecta a un procesamiento desconocido del archivo view_edit.shtm del componente SVG File Handler. Esta manipulación del argumento backgroundImageMP provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en LibTIFF 4.7.0 (CVE-2025-9165)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha encontrado una falla en LibTIFF 4.7.0. Esta afecta a la función _TIFFmallocExt/_TIFFCheckRealloc/TIFFHashSetNew/InitCCITTFax3 del archivo tools/tiffcmp.c del componente tiffcmp. La manipulación puede provocar una fuga de memoria. El ataque se limita a la ejecución local. Se ha hecho público el exploit y puede que sea utilizado. Este parche se llama ed141286a37f6e5ddafb5069347ff5d587e7a4e0. Se recomienda aplicar un parche para resolver este problema.
  • Vulnerabilidad en XWiki (CVE-2025-51990)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 11/09/2025
    XWiki, hasta la versión 17.3.0, se ve afectado por múltiples vulnerabilidades de cross-site scripting (XSS) almacenado en la interfaz de Administración, específicamente en la sección Presentación del panel Preferencias globales. Un administrador autenticado puede inyectar payloads de JavaScript arbitrarios en los campos HTTP Meta Info, Footer Copyright y Footer Version. Estas entradas se almacenan y posteriormente se representan sin la codificación ni la depuración de salida adecuadas en páginas públicas. Como resultado, los scripts inyectados se ejecutan de forma persistente en el navegador de cualquier visitante de las instancias afectadas, tanto usuarios autenticados como no autenticados. No se requiere interacción del usuario más allá de visitar una página que incluya el contenido malicioso. Una explotación exitosa puede provocar secuestro de sesión, robo de credenciales, acciones no autorizadas mediante la ejecución de sesiones o un mayor riesgo de la aplicación mediante ataques del lado del cliente. Esta vulnerabilidad supone un riesgo significativo en cualquier implementación, especialmente en entornos compartidos o conectados a internet donde las credenciales del administrador pueden verse comprometidas.
  • Vulnerabilidad en XWiki (CVE-2025-51991)
    Severidad: ALTA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 11/09/2025
    XWiki, hasta la versión 17.3.0, es vulnerable a Server-Side Template Injection (SSTI) en la interfaz de Administración, específicamente en el campo HTTP Meta Info de la sección Presentación de Preferencias Globales. Un administrador autenticado puede inyectar código de plantilla Apache Velocity manipulado, el cual se procesa en el servidor sin la validación ni el entorno de pruebas adecuados. Esto permite la ejecución de lógica de plantilla arbitraria, lo que puede exponer información interna del servidor o, en ciertas configuraciones, provocar una explotación posterior, como la ejecución remota de código o la filtración de datos confidenciales. La vulnerabilidad reside en el manejo inadecuado de la renderización dinámica de plantillas dentro de los campos de configuración proporcionados por el usuario.
  • Vulnerabilidad en Scada-LTS (CVE-2025-9233)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una vulnerabilidad de seguridad en Scada-LTS hasta la versión 2.7.8.1. Se ve afectada una función desconocida del archivo view_edit.shtm. La manipulación del argumento "Name" provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Scada-LTS (CVE-2025-9234)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 11/09/2025
    Se detectó una vulnerabilidad en Scada-LTS hasta la versión 2.7.8.1. El elemento afectado es una función desconocida del archivo Maintenance_Events.shtm. La manipulación del argumento Alias provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Scada-LTS (CVE-2025-9235)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 11/09/2025
    Se ha detectado una falla en Scada-LTS hasta la versión 2.7.8.1. El elemento afectado es una función desconocida del archivo Compound_events.shtm. Esta manipulación del argumento Name provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Scada-LTS (CVE-2025-9388)
    Severidad: MEDIA
    Fecha de publicación: 24/08/2025
    Fecha de última actualización: 11/09/2025
    Se detectó una vulnerabilidad en Scada-LTS hasta la versión 2.7.8.1. Esta afecta a una función desconocida del archivo watch_list.shtm. La manipulación del argumento "Name" puede provocar cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Scada-LTS (CVE-2025-9404)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 11/09/2025
    Se identificó una vulnerabilidad en Scada-LTS hasta la versión 2.7.8.1. El elemento afectado es una función desconocida del archivo /pointHierarchySLTS del componente Folder Handler. La manipulación del argumento Title provoca cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.