Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en SiAdmin 1.1 (CVE-2024-4991)
    Severidad: CRÍTICA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/10/2025
    Vulnerabilidad en SiAdmin 1.1 que permite la inyección de SQL a través del parámetro /modul/mod_pass/aksi_pass.php en nama_lengkap. Esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al sistema y recuperar toda la información almacenada en él.
  • Vulnerabilidad en SiAdmin 1.1 (CVE-2024-4992)
    Severidad: CRÍTICA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/10/2025
    Vulnerabilidad en SiAdmin 1.1 que permite la inyección de SQL a través del parámetro /modul/mod_kuliah/aksi_kuliah.php en nim. Esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al sistema y recuperar toda la información almacenada en él.
  • Vulnerabilidad en SiAdmin 1.1 (CVE-2024-4993)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/10/2025
    Vulnerabilidad en SiAdmin 1.1 que permite XSS a través del parámetro de consulta /show.php. Esta vulnerabilidad podría permitir que un atacante remoto envíe una URL especialmente manipulada a un usuario autenticado y, de ese modo, robe sus credenciales de sesión de cookies.
  • Vulnerabilidad en PhpMyBackupPro (CVE-2024-5413)
    Severidad: ALTA
    Fecha de publicación: 28/05/2024
    Fecha de última actualización: 10/10/2025
    Se ha descubierto una vulnerabilidad en PhpMyBackupPro que afecta a la versión 2.3 y que podría permitir a un atacante ejecutar XSS a través de /phpmybackuppro/scheduled.php, todos los parámetros. Estas vulnerabilidades podrían permitir a un atacante crear una URL especialmente manipulada y enviarla a una víctima para recuperar los detalles de su sesión.
  • Vulnerabilidad en PhpMyBackupPro (CVE-2024-5414)
    Severidad: ALTA
    Fecha de publicación: 28/05/2024
    Fecha de última actualización: 10/10/2025
    Se ha descubierto una vulnerabilidad en PhpMyBackupPro que afecta a la versión 2.3 y que podría permitir a un atacante ejecutar XSS a través de /phpmybackuppro/get_file.php, parámetro 'view'. Estas vulnerabilidades podrían permitir a un atacante crear una URL especialmente manipulada y enviarla a una víctima para recuperar los detalles de su sesión.
  • Vulnerabilidad en PhpMyBackupPro (CVE-2024-5415)
    Severidad: ALTA
    Fecha de publicación: 28/05/2024
    Fecha de última actualización: 10/10/2025
    Se ha descubierto una vulnerabilidad en PhpMyBackupPro que afecta a la versión 2.3 y que podría permitir a un atacante ejecutar XSS a través de los parámetros /phpmybackuppro/backup.php, 'comments' y 'db'. Estas vulnerabilidades podrían permitir a un atacante crear una URL especialmente manipulada y enviarla a una víctima para recuperar los detalles de su sesión.
  • Vulnerabilidad en Mage AI (CVE-2024-8072)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 10/10/2025
    Mage AI permite a atacantes remotos no autenticados filtrar el historial de comandos del servidor terminal de usuarios arbitrarios
  • Vulnerabilidad en Mage AI (CVE-2024-45187)
    Severidad: ALTA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 10/10/2025
    Los usuarios invitados en el framework de Mage AI que permanecen conectados después de que se eliminan sus cuentas, reciben por error altos privilegios y específicamente acceso para ejecutar código arbitrario de forma remota a través del servidor terminal de Mage AI.
  • Vulnerabilidad en Mage AI (CVE-2024-45188)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 10/10/2025
    Mage AI permite a los usuarios remotos con la función "Visor" filtrar archivos arbitrarios del servidor Mage debido a un path traversal en la solicitud "Contenido del archivo"
  • Vulnerabilidad en Mage AI (CVE-2024-45190)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 10/10/2025
    Mage AI permite a los usuarios remotos con la función "Visor" filtrar archivos arbitrarios del servidor Mage debido a un path traversal en la solicitud "Pipeline Interaction"
  • Vulnerabilidad en todesk v.1.1 (CVE-2024-44542)
    Severidad: CRÍTICA
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 10/10/2025
    La vulnerabilidad de inyección SQL en todesk v.1.1 permite a un atacante remoto ejecutar código arbitrario a través del parámetro /todesk.com/news.html.
  • Vulnerabilidad en StarSea99 starsea-mall 1.0 (CVE-2025-0399)
    Severidad: MEDIA
    Fecha de publicación: 12/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha detectado una vulnerabilidad en StarSea99 starsea-mall 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta a la función UploadController del archivo src/main/java/com/siro/mall/controller/common/uploadController.java. La manipulación del archivo de argumentos permite la carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en StarSea99 starsea-mall 1.0 (CVE-2025-0400)
    Severidad: MEDIA
    Fecha de publicación: 12/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad en StarSea99 starsea-mall 1.0. Se ha calificado como problemática. Este problema afecta a algunos procesos desconocidos del archivo /admin/categories/update. La manipulación del argumento categoryName provoca cross site scripting. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0698)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/sys/menu/list. La manipulación del argumento sort/order provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Este producto utiliza la distribución continua con versiones sucesivas. Por lo tanto, no hay disponibles detalles de las versiones afectadas ni de las versiones actualizadas.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0699)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/sys/role/list. La manipulación del argumento sort provoca una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse. Este producto no utiliza control de versiones. Por este motivo, no está disponible la información sobre las versiones afectadas y no afectadas.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0700)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d. Se ha calificado como crítica. Este problema afecta a algunas funciones desconocidas del archivo /admin/sys/log/list. La manipulación del argumento logId provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse. Este producto utiliza una versión continua para proporcionar una distribución continua. Por lo tanto, no hay disponibles detalles de las versiones afectadas ni de las versiones actualizadas.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0701)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d. Afecta a una parte desconocida del archivo /admin/sys/user/list. La manipulación del argumento sort provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Este producto adopta el enfoque de lanzamientos continuos para proporcionar una distribución continua. Por lo tanto, no están disponibles los detalles de las versiones afectadas y actualizadas.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0702)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d. Esta vulnerabilidad afecta al código desconocido del archivo src/main/java/io/github/controller/SysFileController.java. La manipulación del argumento portraitFile provoca una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. Este producto utiliza la entrega continua con lanzamientos continuos. Por lo tanto, no hay disponibles detalles de las versiones afectadas ni de los lanzamientos actualizados.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0703)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad, que se ha clasificado como problemática, en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d. Este problema afecta a algunos procesos desconocidos del archivo src/main/java/io/github/controller/SysFileController.java. La manipulación del nombre del argumento conduce a Path Traversal. El ataque puede iniciarse de forma remota. El exploit se ha divulgado al público y puede utilizarse. Este producto no utiliza control de versiones. Por este motivo, no está disponible la información sobre las versiones afectadas y no afectadas.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0704)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d. La función qrCode del archivo src/main/java/io/github/controller/QrCodeController.java está afectada. La manipulación del argumento w/h provoca el consumo de recursos. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Este producto utiliza una versión continua para proporcionar una distribución continua. Por lo tanto, no hay disponibles detalles de las versiones afectadas ni de las versiones actualizadas.
  • Vulnerabilidad en JoeyBling bootplus (CVE-2025-0705)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad en JoeyBling bootplus hasta 247d5f6c209be1a5cf10cd0fa18e1d8cc63cf55d y se ha clasificado como problemática. Esta vulnerabilidad afecta a la función qrCode del archivo src/main/java/io/github/controller/QrCodeController.java. La manipulación del texto del argumento provoca una redirección abierta. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse. Este producto adopta el enfoque de lanzamientos continuos para proporcionar una distribución continua. Por lo tanto, no están disponibles los detalles de las versiones afectadas y actualizadas.
  • Vulnerabilidad en Mindskip xzs-mysql ????????? 3.9.0 (CVE-2025-1083)
    Severidad: BAJA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 10/10/2025
    Se encontró una vulnerabilidad clasificada como problemática en Mindskip xzs-mysql ????????? 3.9.0. Esta vulnerabilidad afecta una funcionalidad desconocida del componente CORS Handler. La manipulación conduce a una política permisiva entre dominios con dominios no confiables. El ataque se puede lanzar de forma remota. La complejidad de un ataque es bastante alta. La explotación parece ser difícil. La explotación se ha divulgado al público y puede usarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Mindskip xzs-mysql ????????? 3.9.0 (CVE-2025-1084)
    Severidad: MEDIA
    Fecha de publicación: 07/02/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad, que se ha clasificado como problemática, en Mindskip xzs-mysql ????????? 3.9.0. Este problema afecta a algunas funciones desconocidas. La manipulación conduce a cross-site request forgery. El ataque puede iniciarse de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se ven afectados varios endpoints. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Group-Office (CVE-2025-25191)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 10/10/2025
    Group-Office es una herramienta de CRM y groupware empresarial. Esta vulnerabilidad de XSS almacenado existe cuando la entrada del usuario en el campo Nombre no se depura correctamente antes de almacenarse. Esta vulnerabilidad se solucionó en la versión 6.8.100.
  • Vulnerabilidad en sa-zhd Ecommerce-Website-using-PHP 1.0 (CVE-2025-2036)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad en sa-zhd Ecommerce-Website-using-PHP 1.0. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo details.php. La manipulación del argumento pro_id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en sa-zhd Ecommerce-Website-using-PHP 1.0 (CVE-2025-2041)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en sa-zhd Ecommerce-Website-using-PHP 1.0. Este problema afecta a algunas funciones desconocidas del archivo /shop.php. La manipulación del argumento p_cat provoca una inyección SQL. El ataque puede ejecutarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en StarSea99 starsea-mall 1.0/2.X (CVE-2025-2089)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad en StarSea99 starsea-mall 1.0/2.X y se ha clasificado como crítica. Esta vulnerabilidad afecta a la función updateUserInfo del archivo /personal/updateInfo del componente com.siro.mall.controller.mall.UserController. La manipulación del argumento userId conduce a controles de acceso incorrectos. El ataque puede ejecutarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Datalust Seq (CVE-2024-58102)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 10/10/2025
    Se descubrió un problema en Datalust Seq antes de 2024.3.13545. Un límite de profundidad de análisis predeterminado inseguro permite el consumo de la pila al analizar consultas proporcionadas por el usuario que contienen expresiones profundamente anidadas.
  • Vulnerabilidad en Datalust Seq (CVE-2025-27911)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 10/10/2025
    Se descubrió un problema en Datalust Seq antes de 2024.3.13545. La expansión de identificadores en las plantillas de mensajes se puede utilizar para omitir la configuración del sistema "Límite de bytes del cuerpo del evento", lo que genera un mayor consumo de recursos. Con eventos lo suficientemente grandes, puede producirse un agotamiento del espacio en disco (si se guarda en el disco) o una finalización del proceso del servidor con un error de falta de memoria.
  • Vulnerabilidad en Datalust Seq (CVE-2025-27912)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 10/10/2025
    Se descubrió un problema en Datalust Seq antes de 2024.3.13545. La falta de validación de tipo de contenido puede generar CSRF cuando (1) se utiliza la autenticación de Entra ID o OpenID Connect y un usuario visita un sitio comprometido o malicioso, o (2) cuando se utiliza la autenticación de nombre de usuario/contraseña o Active Directory y un usuario visita un sitio comprometido o malicioso bajo el mismo dominio de nivel superior efectivo que el servidor Seq. La explotación de la vulnerabilidad permite al atacante realizar ataques de suplantación de identidad y realizar acciones en Seq en nombre del usuario objetivo.
  • Vulnerabilidad en libzvbi (CVE-2025-2176)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en libzvbi hasta la versión 0.2.43. Afecta a la función vbi_capture_sim_load_caption del archivo src/io-sim.c. La manipulación provoca un desbordamiento de enteros. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 0.2.44 puede solucionar este problema. El identificador del parche es ca1672134b3e2962cd392212c73f44f8f4cb489f. Se recomienda actualizar el componente afectado. La responsable del código fue informada de antemano sobre los problemas. Reaccionó muy rápido y con gran profesionalidad.
  • Vulnerabilidad en libzvbi (CVE-2025-2177)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 10/10/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en libzvbi hasta la versión 0.2.43. Esta vulnerabilidad afecta a la función vbi_search_new del archivo src/search.c. La manipulación del argumento pat_len provoca un desbordamiento de enteros. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 0.2.44 puede solucionar este problema. El parche se identifica como ca1672134b3e2962cd392212c73f44f8f4cb489f. Se recomienda actualizar el componente afectado. La responsable del código fue informada de antemano sobre los problemas. Reaccionó muy rápido y con gran profesionalidad.
  • Vulnerabilidad en StarSea99 starsea-mall 1.0 (CVE-2025-2352)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2025
    Fecha de última actualización: 10/10/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en StarSea99 starsea-mall 1.0. Este problema afecta a un procesamiento desconocido del archivo /admin/indexConfigs/save del componente Backend. La manipulación del argumento categoryName provoca cross site scripting. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Este producto no utiliza control de versiones. Por ello, no se dispone de información sobre las versiones afectadas y no afectadas. Otros parámetros también podrían verse afectados. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Novel-Plus 20120630 (CVE-2025-4017)
    Severidad: MEDIA
    Fecha de publicación: 28/04/2025
    Fecha de última actualización: 10/10/2025
    Se detectó una vulnerabilidad clasificada como problemática en Novel-Plus 20120630 hasta 0e156c04b4b7ce0563bef6c97af4476fcda8f160. Esta vulnerabilidad afecta la lista de funciones del archivo nnovel-admin/src/main/java/com/java2nb/common/controller/LogController.java. La manipulación da lugar a una autorización indebida. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Novel-Plus 20120630 (CVE-2025-4018)
    Severidad: MEDIA
    Fecha de publicación: 28/04/2025
    Fecha de última actualización: 10/10/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Novel-Plus 20120630 hasta 0e156c04b4b7ce0563bef6c97af4476fcda8f160. Este problema afecta a la función addCrawlSource del archivo novel-crawl/src/main/java/com/java2nb/novel/controller/CrawlController.java. La manipulación provoca la omisión de la autenticación. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Novel-Plus 20120630 (CVE-2025-4019)
    Severidad: MEDIA
    Fecha de publicación: 28/04/2025
    Fecha de última actualización: 10/10/2025
    Se encontró una vulnerabilidad clasificada como crítica en Novel-Plus 20120630 hasta 0e156c04b4b7ce0563bef6c97af4476fcda8f160. La función genCode del archivo novel-admin/src/main/java/com/java2nb/common/controller/GeneratorController.java se ve afectada. La manipulación provoca la omisión de la autenticación. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en newbee-mall 1.0 (CVE-2025-4259)
    Severidad: MEDIA
    Fecha de publicación: 05/05/2025
    Fecha de última actualización: 10/10/2025
    Se ha detectado una vulnerabilidad en newbee-mall 1.0, clasificada como crítica. Esta vulnerabilidad afecta la función "Upload" del archivo ltd/newbee/mall/controller/common/UploadController.java. La manipulación del argumento "File" permite una carga sin restricciones. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Este producto no utiliza control de versiones. Por ello, no hay información disponible sobre las versiones afectadas y no afectadas.
  • Vulnerabilidad en Xinguan v0.0.1-SNAPSHOT (CVE-2025-45608)
    Severidad: ALTA
    Fecha de publicación: 05/05/2025
    Fecha de última actualización: 10/10/2025
    El control de acceso incorrecto en la API /system/user/findUserList de Xinguan v0.0.1-SNAPSHOT permite a los atacantes acceder a información confidencial a través de un payload manipulado.
  • Vulnerabilidad en kob latest v1.0.0-SNAPSHOT (CVE-2025-45609)
    Severidad: ALTA
    Fecha de publicación: 05/05/2025
    Fecha de última actualización: 10/10/2025
    El control de acceso incorrecto en la función doFilter de kob latest v1.0.0-SNAPSHOT permite a los atacantes acceder a información confidencial a través de un payload manipulado.
  • Vulnerabilidad en PassJava-Platform v3.0.0 (CVE-2025-45610)
    Severidad: ALTA
    Fecha de publicación: 05/05/2025
    Fecha de última actualización: 10/10/2025
    El control de acceso incorrecto en el componente /scheduleLog/info/1 de PassJava-Platform v3.0.0 permite a los atacantes acceder a información confidencial a través de un payload manipulado.
  • Vulnerabilidad en TCMAN GIM v11 (CVE-2025-40664)
    Severidad: CRÍTICA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 10/10/2025
    Vulnerabilidad de autenticación faltante en TCMAN GIM v11. Esto permite que un atacante no autenticado acceda a los recursos /frmGestionUser.aspx/GetData, /frmGestionUser.aspx/updateUser y /frmGestionUser.aspx/DeleteUser.
  • Vulnerabilidad en GIM v11 de TCMAN (CVE-2025-40665)
    Severidad: ALTA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 10/10/2025
    Vulnerabilidades de inyección SQL ciega basadas en tiempo en GIM v11 de TCMAN. Estas permiten a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el parámetro ArbolID en /GIMWeb/PC/frmCorrectivosList.aspx.
  • Vulnerabilidad en GIM v11 de TCMAN (CVE-2025-40666)
    Severidad: ALTA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 10/10/2025
    Vulnerabilidades de inyección SQL ciega basadas en tiempo en GIM v11 de TCMAN. Estas permiten a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el parámetro ArbolID en /GIMWeb/PC/frmPreventivosList.aspx.
  • Vulnerabilidad en GIM v11 de TCMAN (CVE-2025-40667)
    Severidad: ALTA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 10/10/2025
    Vulnerabilidad de autorización faltante en GIM v11 de TCMAN. Esto permite a un atacante autenticado acceder a cualquier funcionalidad de la aplicación, incluso si no está disponible a través de la interfaz de usuario. Para explotar esta vulnerabilidad, el atacante debe modificar el código HTTP de la respuesta de "302 Found" a "200 OK", así como los campos ocultos hdnReadOnly y hdnUserLogin.
  • Vulnerabilidad en Poppler (CVE-2025-52886)
    Severidad: MEDIA
    Fecha de publicación: 02/07/2025
    Fecha de última actualización: 10/10/2025
    Poppler es una librería de renderizado de PDF. Las versiones anteriores a la 25.06.0 utilizan `std::atomic_int` para el recuento de referencias. Dado que `std::atomic_int` solo tiene 32 bits, es posible que se sobrepase el recuento de referencias y se active un proceso de use-after-free. La versión 25.06.0 corrige este problema.
  • Vulnerabilidad en ENENSYS IPGuard v2 2.10.0 (CVE-2025-45813)
    Severidad: CRÍTICA
    Fecha de publicación: 02/07/2025
    Fecha de última actualización: 10/10/2025
    Se descubrió que ENENSYS IPGuard v2 2.10.0 contenía credenciales codificadas.
  • Vulnerabilidad en NS3000 y NS2000 (CVE-2025-45814)
    Severidad: CRÍTICA
    Fecha de publicación: 02/07/2025
    Fecha de última actualización: 10/10/2025
    La falta de comprobaciones de autenticación en el endpoint query.fcgi de NS3000 v8.1.1.125110, v7.2.8.124852 y v7.x y NS2000 v7.02.08 permite a los atacantes ejecutar un ataque de secuestro de sesión.
  • Vulnerabilidad en Akeles Out of Office Assistant para Jira 4.0.1 (CVE-2025-45938)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 10/10/2025
    Akeles Out of Office Assistant para Jira 4.0.1 es vulnerable a cross-site scripting (XSS) a través del parámetro fullName de Jira.
  • Vulnerabilidad en educoder challenges v1.0 (CVE-2025-45479)
    Severidad: CRÍTICA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 10/10/2025
    Los mecanismos de seguridad insuficientes para los contenedores creados en educoder challenges v1.0 y permiten a los atacantes ejecutar código arbitrario mediante la inyección de contenido manipulado en un contenedor.
  • Vulnerabilidad en SoftPerfect Pty Ltd Connection Quality Monitor v1.1 (CVE-2025-45702)
    Severidad: MEDIA
    Fecha de publicación: 24/07/2025
    Fecha de última actualización: 10/10/2025
    Se descubrió que SoftPerfect Pty Ltd Connection Quality Monitor v1.1 almacena todas las credenciales en texto sin formato.
  • Vulnerabilidad en LF Edge eKuiper (CVE-2025-54379)
    Severidad: ALTA
    Fecha de publicación: 24/07/2025
    Fecha de última actualización: 10/10/2025
    LF Edge eKuiper es un motor ligero de análisis de datos y procesamiento de flujos de IoT que se ejecuta en dispositivos edge con recursos limitados. En versiones anteriores a la 2.2.1, existía una vulnerabilidad crítica de inyección SQL en la API getLast del proyecto eKuiper. Esta falla permite a atacantes remotos no autenticados ejecutar sentencias SQL arbitrarias en la base de datos SQLite subyacente manipulando el nombre de la tabla en una solicitud de API. Su explotación puede provocar el robo, la corrupción o la eliminación de datos, así como la vulneración total de la base de datos. Esto se ha corregido en la versión 2.2.1.
  • Vulnerabilidad en Chavara Family Welfare Centre Chavara Matrimony Site v2.0 (CVE-2025-45777)
    Severidad: CRÍTICA
    Fecha de publicación: 25/07/2025
    Fecha de última actualización: 10/10/2025
    Un problema en el mecanismo OTP de Chavara Family Welfare Centre Chavara Matrimony Site v2.0 permite a los atacantes eludir la autenticación mediante el suministro de una solicitud manipulada específicamente para ello.
  • Vulnerabilidad en Apwide Golive 10.2.0 Jira (CVE-2025-45939)
    Severidad: MEDIA
    Fecha de publicación: 25/07/2025
    Fecha de última actualización: 10/10/2025
    El complemento Apwide Golive 10.2.0 Jira permite Server-Side Request Forgery (SSRF) a través de la función de webhook de prueba.