Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en DELMIA Apriso (CVE-2025-5086)
Severidad: CRÍTICA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 12/09/2025
Una vulnerabilidad de deserialización de datos no confiables que afecta a DELMIA Apriso desde la versión 2020 hasta la versión 2025 podría provocar una ejecución remota de código.
-
Vulnerabilidad en sha.js (CVE-2025-9288)
Severidad: CRÍTICA
Fecha de publicación: 20/08/2025
Fecha de última actualización: 12/09/2025
La vulnerabilidad de validación de entrada incorrecta en sha.js permite la manipulación de datos de entrada. Este problema afecta a sha.js: hasta 2.4.11.
-
Vulnerabilidad en wong2 mcp-cli 1.13.0 (CVE-2025-9262)
Severidad: MEDIA
Fecha de publicación: 20/08/2025
Fecha de última actualización: 12/09/2025
Se ha detectado una falla en wong2 mcp-cli 1.13.0. La función redirectToAuthorization del archivo /src/oauth/provider.js del componente oAuth Handler se ve afectada. Esta manipulación provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en saitoha libsixel (CVE-2025-9300)
Severidad: MEDIA
Fecha de publicación: 21/08/2025
Fecha de última actualización: 12/09/2025
Se encontró una vulnerabilidad en saitoha libsixel hasta la versión 1.10.3. Este problema afecta a la función sixel_debug_print_palette del archivo src/encoder.c del componente img2sixel. La manipulación provoca un desbordamiento del búfer en la pila. El ataque debe iniciarse localmente. Se ha hecho público el exploit y puede que sea utilizado. El parche se identifica como 316c086e79d66b62c0c4bc66229ee894e4fdb7d1. Se recomienda aplicar un parche para resolver este problema.
-
Vulnerabilidad en Emlog Pro (CVE-2025-9296)
Severidad: MEDIA
Fecha de publicación: 21/08/2025
Fecha de última actualización: 12/09/2025
Se ha detectado una vulnerabilidad de seguridad en Emlog Pro (hasta la versión 2.5.18). Esta afecta a una función desconocida del archivo /admin/blogger.php?action=update_avatar. Esta manipulación del argumento "image" permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en yarnpkg Yarn (CVE-2025-9308)
Severidad: MEDIA
Fecha de publicación: 21/08/2025
Fecha de última actualización: 12/09/2025
Se ha detectado una vulnerabilidad en yarnpkg Yarn hasta la versión 1.22.22. Esta vulnerabilidad afecta a la función setOptions del archivo src/util/request-manager.js. Esta manipulación genera una complejidad ineficiente en las expresiones regulares. Se requiere acceso local para abordar este ataque. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
-
Vulnerabilidad en yeqifu carRental (CVE-2025-9310)
Severidad: MEDIA
Fecha de publicación: 21/08/2025
Fecha de última actualización: 12/09/2025
Se detectó una vulnerabilidad en yeqifu carRental hasta 3fabb7eae93d209426638863980301d6f99866b3. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /carRental_war/druid/login.html del componente Druid. La manipulación puede generar credenciales codificadas. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto funciona con versiones continuas, lo que garantiza una distribución continua. Por lo tanto, no se dispone de información sobre las versiones afectadas ni sobre las actualizadas.