Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en MotionPro en Array ArrayOS AG (CVE-2023-51707)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 09/01/2024
    MotionPro en Array ArrayOS AG anterior a 9.4.0.505 en AG y vxAG permite la ejecución remota de comandos a través de paquetes manipulados. AG y vxAG 9.3.0.259.x no se ven afectados.
  • Vulnerabilidad en Spreadsheet::ParseExcel version 0.65 (CVE-2023-7101)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/12/2023
    Fecha de última actualización: 09/01/2024
    Spreadsheet::ParseExcel version 0.65 es un módulo Perl utilizado para analizar archivos Excel. Spreadsheet::ParseExcel es afectado por una vulnerabilidad de ejecución de código arbitrario (ACE) debido a que se pasa una entrada no validada de un archivo a una "evaluación" de tipo cadena. Específicamente, el problema surge de la evaluación de cadenas de formato numérico (que no deben confundirse con cadenas de formato de estilo printf) dentro de la lógica de análisis de Excel.
  • Vulnerabilidad en Barracuda ESG de Barracuda Networks Inc. (CVE-2023-7102)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/12/2023
    Fecha de última actualización: 09/01/2024
    El uso de una librería de terceros produjo una vulnerabilidad en el dispositivo Barracuda ESG de Barracuda Networks Inc. que permitía la inyección de parámetros. Este problema afectó al dispositivo Barracuda ESG, desde la versión 5.1.3.001 hasta la 9.2.1.001, hasta que Barracuda eliminó la lógica vulnerable.
  • Vulnerabilidad en com.phlox.tvwebbrowser TV Bro (CVE-2023-43955)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/12/2023
    Fecha de última actualización: 09/01/2024
    La aplicación com.phlox.tvwebbrowser TV Bro hasta la versión 2.0.0 para Android maneja mal los intents externos a través de WebView. Esto permite a los atacantes ejecutar código arbitrario y crear archivos arbitrarios. y realizar descargas arbitrarias a través de JavaScript que utiliza takeBlobDownloadData.
  • Vulnerabilidad en Kami Vision YI IoT com.yunyi.smartcamera (CVE-2023-47882)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/12/2023
    Fecha de última actualización: 09/01/2024
    La aplicación Kami Vision YI IoT com.yunyi.smartcamera hasta 4.1.9_20231127 para Android permite a un atacante remoto ejecutar código JavaScript arbitrario a través de un intent implícito en el componente com.ants360.yicamera.activity.WebViewActivity.
  • Vulnerabilidad en com.altamirano.fabricio.tvbrowser (CVE-2023-47883)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/12/2023
    Fecha de última actualización: 09/01/2024
    La aplicación de navegador de TV com.altamirano.fabricio.tvbrowser hasta 4.5.1 para Android es vulnerable a la ejecución de código JavaScript mediante un intent explícito debido a una MainActivity expuesta.
  • Vulnerabilidad en outdoorbits little-backup-box (CVE-2023-52262)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/12/2023
    Fecha de última actualización: 09/01/2024
    outdoorbits little-backup-box (taka Little Backup Box) anterior a f39f91c permite a atacantes remotos ejecutar código arbitrario porque la función de extracción de PHP se utiliza para entradas que no son de confianza.
  • Vulnerabilidad en Brave Browser (CVE-2023-52263)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/12/2023
    Fecha de última actualización: 09/01/2024
    Brave Browser anterior a 1.59.40 no restringe adecuadamente el esquema para la fábrica WebUI y la redirección. Esto está relacionado con browser/brave_content_browser_client.cc y browser/ui/webui/brave_web_ui_controller_factory.cc.
  • Vulnerabilidad en ehttp 1.0.6 (CVE-2023-52266)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/12/2023
    Fecha de última actualización: 09/01/2024
    ehttp 1.0.6 anterior a 17405b9 tiene use after free de epoll_socket.cpp read_func. Un atacante puede realizar muchas conexiones en poco tiempo para provocar esto.
  • Vulnerabilidad en ehttp 1.0.6 (CVE-2023-52267)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/12/2023
    Fecha de última actualización: 09/01/2024
    ehttp 1.0.6 anterior a 17405b9 tiene una lectura fuera de los límites simple_log.cpp _log durante el registro de errores para cadenas largas.
  • Vulnerabilidad en reNgine (CVE-2023-50094)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/01/2024
    Fecha de última actualización: 09/01/2024
    reNgine hasta 2.0.2 permite la inyección de comandos del sistema operativo si un adversario tiene una ID de sesión válida. El ataque coloca metacaracteres del shell en una cadena api/tools/waf_detector/?url=. Los comandos se ejecutan como root a través de subprocess.check_output.
  • Vulnerabilidad en Qualcomm (CVE-2023-33120)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/01/2024
    Fecha de última actualización: 09/01/2024
    Corrupción de la memoria en audio cuando el comando de mapa de memoria se ejecuta consecutivamente en ADSP.
  • Vulnerabilidad en ZXCLOUD iRAI de ZTE (CVE-2023-41776)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Existe una vulnerabilidad de escalada de privilegios local en ZXCLOUD iRAI de ZTE. Los atacantes con privilegios de usuario normales pueden crear un proceso falso y escalar privilegios locales.
  • Vulnerabilidad en ZXCLOUD iRAI de ZTE (CVE-2023-41779)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Existe una vulnerabilidad de acceso ilegal a la memoria del producto ZXCLOUD iRAI de ZTE. Cuando la vulnerabilidad es explotada por un atacante con permiso de usuario común, la máquina física fallará.
  • Vulnerabilidad en ZXCLOUD iRAI de ZTE (CVE-2023-41780)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Existe una vulnerabilidad de carga de DLL insegura en ZTE ZXCLOUD iRAI. Debido a que el programa no pudo validar adecuadamente la entrada del usuario, un atacante podría aprovechar esta vulnerabilidad para escalar los privilegios locales.
  • Vulnerabilidad en ZXCLOUD iRAI de ZTE (CVE-2023-41783)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Existe una vulnerabilidad de inyección de comandos en ZXCLOUD iRAI de ZTE. Debido a que el programa no pudo validar adecuadamente la entrada del usuario, un atacante podría aprovechar esta vulnerabilidad para escalar los privilegios locales.
  • Vulnerabilidad en HCL DRYiCE MyXalytics (CVE-2023-50345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    HCL DRYiCE MyXalytics se ve afectado por una vulnerabilidad de Open Redirect que podría permitir a un atacante redirigir a los usuarios a sitios maliciosos, lo que podría provocar ataques de phishing u otras amenazas a la seguridad.
  • Vulnerabilidad en HCL DRYiCE MyXalytics (CVE-2023-50346)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    HCL DRYiCE MyXalytics se ve afectado por una vulnerabilidad de divulgación de información. Ciertos endpoints dentro de la aplicación revelan información detallada del archivo.
  • Vulnerabilidad en HCL DRYiCE MyXalytics (CVE-2023-50348)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    HCL DRYiCE MyXalytics se ve afectado por una vulnerabilidad de manejo inadecuado de errores. La aplicación devuelve mensajes de error detallados que pueden proporcionar al atacante información sobre la aplicación, el sistema, etc.
  • Vulnerabilidad en HCL DRYiCE MyXalytics (CVE-2023-50350)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    HCL DRYiCE MyXalytics se ve afectado por el uso de un algoritmo criptográfico roto para el cifrado, lo que potencialmente brinda al atacante la capacidad de descifrar información confidencial.
  • Vulnerabilidad en HCL DRYiCE MyXalytics (CVE-2023-50351)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    HCL DRYiCE MyXalytics se ve afectado por el uso de un mecanismo de rotación de claves inseguro que puede permitir que un atacante comprometa la confidencialidad o integridad de los datos.
  • Vulnerabilidad en HCL DRYiCE MyXalytics (CVE-2023-45722)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    HCL DRYiCE MyXalytics se ve afectado por la vulnerabilidad de lectura de archivos arbitrarios de path traversal porque utiliza entrada externa para construir un nombre de ruta destinado a identificar un archivo o directorio que se encuentra debajo de un directorio principal restringido. El producto no neutraliza adecuadamente los elementos especiales dentro del nombre de ruta que pueden hacer que el nombre de ruta se resuelva en una ubicación que está fuera del directorio restringido. Las posibles explotaciones pueden interrumpir por completo la aplicación o apoderarse de ella.
  • Vulnerabilidad en POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP for WordPress plugin for WordPress (CVE-2023-6629)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    POST SMTP Mailer – Email log, Delivery Failure Notifications and Best Mail SMTP for WordPress plugin for WordPress es vulnerable a cross site scripting reflejado a través del parámetro 'msg' en todas las versiones hasta la 2.8.6 inclusive debido a una sanitización de entrada y escape insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en MapPress Maps for WordPress plugin for WordPress (CVE-2023-6524)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    MapPress Maps for WordPress plugin for WordPress es vulnerable a cross site scripting almacenado a través del parámetro map title en todas las versiones hasta la 2.88.13 inclusive debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados con acceso de colaborador o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy. plugin for WordPress (CVE-2023-6600)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 10/01/2024
    OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy. plugin for WordPress es vulnerable a modificaciones no autorizadas de datos y cross site scripting almacenado debido a una falta de verificación de capacidad en la función update_settings() conectada a través de admin_init en todas las versiones hasta la 5.7.9 inclusive. Esto hace posible que atacantes no autenticados actualicen la configuración del complemento, que puede usarse para inyectar payloads de Cross-Site Scripting y eliminar directorios completos. Tenga en cuenta que hubo varios intentos de parchear y consideramos que la versión 5.7.10 es la más parcheada.
  • Vulnerabilidad en PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) plugin for WordPress (CVE-2023-6984)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) plugin for WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 2.7.13 inclusive. Esto se debe a una validación nonce faltante o incorrecta en el archivo powerpack-lite-for-elementor/classes/class-pp-admin-settings.php. Esto hace posible que atacantes no autenticados modifiquen y restablezcan la configuración del complemento mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels plugin for WordPress (CVE-2023-7068)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels plugin for WordPress es vulnerable al acceso no autorizado a los datos debido a una falta de verificación de capacidad en la acción theprint_packinglist en todas las versiones hasta la 4.3.0 inclusive. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, exporten pedidos que pueden contener información confidencial.
  • Vulnerabilidad en Product Expiry for WooCommerce plugin for WordPress (CVE-2024-0201)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Product Expiry for WooCommerce plugin for WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función 'save_settings' en versiones hasta la 2.5 inclusive. Esto hace posible que atacantes autenticados, con permisos de nivel de suscriptor o superiores, actualicen la configuración del complemento.
  • Vulnerabilidad en Apache InLong (CVE-2023-51785)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Vulnerabilidad de deserialización de datos no confiables en Apache InLong. Este problema afecta a Apache InLong: desde la versión 1.7.0 hasta la 1.9.0, los atacantes pueden realizar un ataque de lectura de archivos arbitrario utilizando el controlador mysql. Se recomienda a los usuarios actualizar a Apache InLong 1.10.0 o seleccionar [1] para resolverlo. [1] https://github.com/apache/inlong/pull/9331
  • Vulnerabilidad en Automatic Systems SOC FL9600 FastLine v.lego_T04E00 (CVE-2023-37608)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Un problema en Automatic Systems SOC FL9600 FastLine v.lego_T04E00 permite a un atacante remoto obtener información confidencial a través de las credenciales de inicio de sesión del administrador.
  • Vulnerabilidad en NPM @perfood/couch-auth (CVE-2023-39655)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Existe una vulnerabilidad de inyección de encabezado de host en las versiones del paquete NPM @perfood/couch-auth <= 0.20.0. Al enviar un encabezado de host especialmente manipulado en la solicitud de contraseña olvidada, es posible enviar enlaces de restablecimiento de contraseña a los usuarios que, una vez que se hace clic en ellos, conducen a un servidor controlado por el atacante y, por lo tanto, filtran el token de restablecimiento de contraseña. Esto puede permitir que un atacante restablezca las contraseñas de otros usuarios y se apodere de sus cuentas.
  • Vulnerabilidad en APIIDA API Gateway Manager (CVE-2023-50092)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    APIIDA API Gateway Manager para Broadcom Layer7 v2023.2 es vulnerable a Cross Site Scripting (XSS).
  • Vulnerabilidad en SOC FL9600 FastLine lego_T04E00 (CVE-2023-37607)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Directory Traversal en sistemas automáticos SOC FL9600 FastLine lego_T04E00 permite a un atacante remoto obtener información confidencial.
  • Vulnerabilidad en APIIDA API Gateway Manager (CVE-2023-50093)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    APIIDA API Gateway Manager para Broadcom Layer7 v2023.2.2 es vulnerable a la inyección de encabezado de host.
  • Vulnerabilidad en ureport2 (CVE-2023-50090)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/01/2024
    Fecha de última actualización: 09/01/2024
    Vulnerabilidad de escritura de archivos arbitrarios en el método saveReportFile de ureport2 2.2.9 y anteriores permite a los atacantes escribir archivos arbitrarios y ejecutar comandos arbitrarios a través de una solicitud POST manipulada.
  • Vulnerabilidad en Cloudflare zlib (CVE-2023-6992)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Se descubrió que la versión Cloudflare de la librería zlib era vulnerable a problemas de corrupción de memoria que afectan la implementación del algoritmo de deflación (deflate.c). Los problemas se debieron a una validación de entrada incorrecta y a un desbordamiento de búfer de almacenamiento dinámico. Un atacante local podría aprovechar el problema durante la compresión utilizando un archivo malicioso manipulado que podría provocar una denegación de servicio del software. Parches: el problema se solucionó en el commit 8352d10 https://github.com/cloudflare/zlib/commit/8352d108c05db1bdc5ac3bdf834dad641694c13c. El repositorio ascendente no se ve afectado.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49622)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'itemnameid' del recurso material_bill.php?action=itemRelation no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49624)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'cancelid' del recurso material_bill.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49625)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'id' del recurso partylist_edit_submit.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49633)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'buyer_address' del recurso buyer_detail_submit.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49639)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'customer_details' del recurso buyer_invoice_submit.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49658)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'bank_details' del recurso party_submit.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49665)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'quantity[]' del recurso submit_delivery_list.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Billing Software v1.0 (CVE-2023-49666)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Billing Software v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'custmer_details' del recurso submit_material_list.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Online Notice Board System v1.0 (CVE-2023-50743)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Online Notice Board System v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'dd' del recurso registration.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Online Notice Board System v1.0 (CVE-2023-50752)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Online Notice Board System v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'e' del recurso login.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Online Notice Board System v1.0 (CVE-2023-50753)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Online Notice Board System v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'dd' del recurso user/update_profile.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Online Notice Board System v1.0 (CVE-2023-50760)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Online Notice Board System v1.0 es afectado por una vulnerabilidad de carga de archivos insegura en el parámetro 'f' de la página user/update_profile_pic.php, lo que permite a un atacante autenticado obtener la ejecución remota de código en el servidor que aloja la aplicación.
  • Vulnerabilidad en Travel Website v1.0 (CVE-2023-50862)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Travel Website v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'hotelIDHidden' del recurso booking.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Travel Website v1.0 (CVE-2023-50863)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Travel Website v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'hotelIDHidden' del recurso generateReceipt.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Travel Website v1.0 (CVE-2023-50864)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Travel Website v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'hotelId' del recurso hotelDetails.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Travel Website v1.0 (CVE-2023-50865)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Travel Website v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'city' del recurso hotelSearch.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Travel Website v1.0 (CVE-2023-50866)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Travel Website v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'username' del recurso loginAction.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Travel Website v1.0 (CVE-2023-50867)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 10/01/2024
    Travel Website v1.0 es afectado por múltiples vulnerabilidades de inyección SQL no autenticada. El parámetro 'username' del recurso signupAction.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.