Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PeopleSoft Enterprise FIN Expenses de Oracle PeopleSoft (CVE-2024-21249)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad en el producto PeopleSoft Enterprise FIN Expenses de Oracle PeopleSoft (componente: Expenses). La versión compatible afectada es la 9.2. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa PeopleSoft Enterprise FIN Expenses. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise FIN Expenses. Puntuación base de CVSS 3.1: 4,3 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
  • Vulnerabilidad en Oracle Process Manufacturing Product Development de Oracle E-Business Suite (CVE-2024-21250)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad en el producto Oracle Process Manufacturing Product Development de Oracle E-Business Suite (componente: Quality Manager Specification). Las versiones compatibles afectadas son 12.2.13-12.2.14. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa Oracle Process Manufacturing Product Development. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Process Manufacturing Product Development, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Process Manufacturing Product Development. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
  • Vulnerabilidad en Oracle Hyperion BI+ de Oracle Hyperion (CVE-2024-21257)
    Severidad: BAJA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad en el producto Oracle Hyperion BI+ de Oracle Hyperion (componente: UI y visualización). La versión compatible afectada es la 11.2.18.0.000. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios acceda al segmento de comunicación física conectado al hardware donde se ejecuta Oracle Hyperion BI+ para poner en peligro Oracle Hyperion BI+. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Hyperion BI+. Puntuación base CVSS 3.1 3.0 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N).
  • Vulnerabilidad en Oracle Installed Base de Oracle E-Business Suite (CVE-2024-21258)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad en el producto Oracle Installed Base de Oracle E-Business Suite (componente: Interfaz de usuario). Las versiones compatibles afectadas son 12.2.3-12.2.14. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro Oracle Installed Base. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Installed Base. Puntuación base de CVSS 3.1: 5,3 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
  • Vulnerabilidad en PeopleSoft Enterprise CC Common Application Objects de Oracle PeopleSoft (CVE-2024-21264)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad en el producto PeopleSoft Enterprise CC Common Application Objects de Oracle PeopleSoft (componente: Activity Guide Composer). La versión compatible afectada es la 9.2. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa PeopleSoft Enterprise CC Common Application Objects. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado el acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de PeopleSoft Enterprise CC Common Application Objects, así como el acceso no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise CC Common Application Objects. Puntuación base de CVSS 3.1: 5,4 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N).
  • Vulnerabilidad en Madiri Salman Aashish (CVE-2024-49217)
    Severidad: CRÍTICA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de asignación incorrecta de privilegios en Madiri Salman Aashish. Agregar roles desplegables en el registro permite la escalada de privilegios. Este problema afecta a Agregar roles desplegables en el registro: desde n/a hasta 1.1.
  • Vulnerabilidad en themexpo RS-Members (CVE-2024-49219)
    Severidad: ALTA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de asignación incorrecta de privilegios en themexpo RS-Members permite la escalada de privilegios. Este problema afecta a los RS-Members: desde n/a hasta 1.0.3.
  • Vulnerabilidad en Cookie Scanner: Nikel Schubert Cookie Scanner (CVE-2024-49220)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Cookie Scanner: Nikel Schubert Cookie Scanner permite XSS almacenado. Este problema afecta a Cookie Scanner: desde n/a hasta 1.1.
  • Vulnerabilidad en Julian Weinert // cs&m cSlider (CVE-2024-49221)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Julian Weinert // cs&m cSlider permite XSS almacenado. Este problema afecta a cSlider: desde n/a hasta 2.4.2.
  • Vulnerabilidad en Shibu Lijack a.K.A CyberJack CJ Change Howdy (CVE-2024-49223)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Shibu Lijack a.K.A CyberJack CJ Change Howdy permite XSS almacenado. Este problema afecta a CJ Change Howdy: desde n/a hasta 3.3.1.
  • Vulnerabilidad en Arif Nezami Better Author Bio (CVE-2024-49229)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Arif Nezami Better Author Bio permite Cross-Site Scripting (XSS). Este problema afecta a Better Author Bio: desde n/a hasta 2.7.10.11.
  • Vulnerabilidad en Topdata Inner Rep Plus WebServer 2.01 (CVE-2024-10122)
    Severidad: MEDIA
    Fecha de publicación: 18/10/2024
    Fecha de última actualización: 06/11/2024
    Se ha detectado una vulnerabilidad en Topdata Inner Rep Plus WebServer 2.01. Se ha clasificado como problemática. Se trata de una función desconocida del archivo /InnerRepPlus.html del componente Operator Details Form. La manipulación provoca la falta de enmascaramiento del campo de contraseña. Es posible lanzar el ataque de forma remota. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en HCL Sametime (CVE-2024-30122)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 06/11/2024
    HCL Sametime se ve afectado por encabezados HTTP relacionados con la seguridad mal configurados. Se identificó que faltaban algunos encabezados HTTP en las respuestas del servicio web. Esto provocará un tratamiento predeterminado menos seguro del navegador para las políticas controladas por estos encabezados.
  • Vulnerabilidad en Pimcore (CVE-2024-49370)
    Severidad: ALTA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 06/11/2024
    Pimcore es una plataforma de gestión de datos y experiencias de código abierto. Cuando un PortalUserObject está conectado a un PimcoreUser y la opción "Usar contraseña de backend de Pimcore" está configurada como verdadera, la función de cambio de contraseña en el perfil del portal configura la nueva contraseña. Antes de las versiones 4.1.7 y 3.1.16 del motor del portal de Pimcore, la contraseña se configuraba sin hash para que todos pudieran leerla. Todos los que combinan PortalUser con PimcoreUsers y cambian las contraseñas a través de la configuración del perfil podrían verse afectados. Las versiones 4.1.7 y 3.1.16 del motor del portal de Pimcore solucionan el problema.
  • Vulnerabilidad en Vitalii Bryl iBryl Switch User (CVE-2024-49675)
    Severidad: ALTA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en Vitalii Bryl iBryl Switch User permite la omisión de autenticación. Este problema afecta a iBryl Switch User: desde n/a hasta 1.0.1.
  • Vulnerabilidad en response.links de Express (CVE-2024-10491)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 06/11/2024
    Se ha identificado una vulnerabilidad en la función response.links de Express, que permite la inyección arbitraria de recursos en el encabezado Link cuando se utilizan datos no desinfectados. El problema surge de una desinfección incorrecta en los valores del encabezado `Link`, que puede permitir una combinación de caracteres como `,`, `;` y `<>` para precargar recursos maliciosos. Esta vulnerabilidad es especialmente relevante para los parámetros dinámicos.
  • Vulnerabilidad en HM de WordPress Stripe Donation and Payment Plugin (CVE-2024-50459)
    Severidad: CRÍTICA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de autorización faltante en el complemento HM de WordPress Stripe Donation and Payment Plugin permite explotar los niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta al complemento HM de WordPress Stripe Donation and Payment Plugin: desde n/a hasta 3.2.3.
  • Vulnerabilidad en DarkMySite – Advanced Dark Mode Plugin for WordPress (CVE-2024-50466)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en DarkMySite DarkMySite – Advanced Dark Mode Plugin para WordPress darkmysite permite Cross-Site Request Forgery. Este problema afecta a DarkMySite – Advanced Dark Mode Plugin para WordPress: desde n/a hasta 1.2.8.
  • Vulnerabilidad en Crypto para WordPress (CVE-2024-9990)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 06/11/2024
    El complemento Crypto para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 2.15 incluida. Esto se debe a la falta de validación de nonce en la función 'crypto_connect_ajax_process::check'. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Code Explorer para WordPress (CVE-2023-5816)
    Severidad: MEDIA
    Fecha de publicación: 30/10/2024
    Fecha de última actualización: 06/11/2024
    El complemento Code Explorer para WordPress es vulnerable a la lectura arbitraria de archivos externos en todas las versiones hasta la 1.4.5 incluida. Esto se debe a que el complemento no restringe el acceso a los archivos a aquellos que se encuentran fuera de la instancia de WordPress, aunque la intención del complemento es acceder únicamente a los archivos relacionados con WordPress. Esto permite que atacantes autenticados, con acceso de nivel de administrador, lean archivos fuera de la instancia de WordPress.
  • Vulnerabilidad en Ultimate TinyMCE para WordPress (CVE-2024-8627)
    Severidad: MEDIA
    Fecha de publicación: 30/10/2024
    Fecha de última actualización: 06/11/2024
    El complemento Ultimate TinyMCE para WordPress es vulnerable a Cross Site Scripting almacenado a través del código abreviado "field" en todas las versiones hasta la 5.7 incluida, debido a una desinfección de entrada y un escape de salida insuficiente. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en AppSmith Community (CVE-2024-51408)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    AppSmith Community 1.8.3 anterior a 1.46 permite SSRF a través de New DataSource para solicitudes de aplicación/json a 169.254.169.254 para recuperar credenciales de metadatos de AWS.
  • Vulnerabilidad en Magical Addons For Elementor (CVE-2024-51665)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de Server-Side Request Forgery (SSRF) en Noor alam Magical Addons For Elementor permite Server-Side Request Forgery. Este problema afecta a Magical Addons For Elementor: desde n/a hasta 1.2.1.
  • Vulnerabilidad en BetterLinks (CVE-2024-51672)
    Severidad: ALTA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en WPDeveloper BetterLinks permite la inyección SQL. Este problema afecta a BetterLinks: desde n/a hasta 2.1.7.
  • Vulnerabilidad en Woocommerce Quote Calculator (CVE-2024-51626)
    Severidad: ALTA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Woocommerce Quote Calculator de Mansur Ahamed permite la inyección SQL ciega. Este problema afecta a Woocommerce Quote Calculator: desde n/a hasta 1.1.
  • Vulnerabilidad en Knowledge Base (CVE-2024-51677)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en WebberZone Knowledge Base permite XSS almacenado. Este problema afecta a Knowledge Base: desde n/a hasta 2.2.0.
  • Vulnerabilidad en Elo Rating Shortcode (CVE-2024-51678)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Marcel Pol Elo Rating Shortcode permite XSS almacenado. Este problema afecta a Elo Rating Shortcode: desde n/a hasta 1.0.3.
  • Vulnerabilidad en Cresta Addons para Elementor (CVE-2024-51680)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en CrestaProject – Rizzo Andrea Cresta Addons para Elementor permite XSS almacenado. Este problema afecta a Cresta Addons para Elementor: desde n/a hasta 1.0.9.
  • Vulnerabilidad en WP Pocket de CodeRevolution (CVE-2024-51681)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en las URL de WP Pocket de CodeRevolution permite XSS almacenado. Este problema afecta a las URL de WP Pocket: desde n/a hasta 1.0.3.
  • Vulnerabilidad en HT Builder – WordPress Theme Builder for Elementor (CVE-2024-51682)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en HasThemes HT Builder – WordPress Theme Builder for Elementor permite XSS almacenado. Este problema afecta a HT Builder – WordPress Theme Builder for Elementor: desde n/a hasta 1.3.0.
  • Vulnerabilidad en Custom post type templates for Elementor (CVE-2024-51683)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en las plantillas de tipo de publicación personalizadas de Michael Gangolf para Elementor permite XSS almacenado. Este problema afecta a Custom post type templates for Elementor: desde n/a hasta 1.10.1.
  • Vulnerabilidad en IBM WebSphere Application Server (CVE-2024-45086)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 06/11/2024
    IBM WebSphere Application Server 8.5 y 9.0 es vulnerable a un ataque de inyección de entidad externa (XXE) XML al procesar datos XML. Un usuario privilegiado podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria.
  • Vulnerabilidad en 2N Access Commander (CVE-2024-47253)
    Severidad: ALTA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    En las versiones 3.1.1.2 y anteriores de 2N Access Commander, una vulnerabilidad de path traversal podría permitir a un atacante escribir archivos en el sistema de archivos para lograr la ejecución remota de código arbitrario.
  • Vulnerabilidad en 2N Access Commander (CVE-2024-47254)
    Severidad: ALTA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    En las versiones 3.1.1.2 y anteriores de 2N Access Commander, una vulnerabilidad de verificación insuficiente de la autenticidad de los datos podría permitir que un atacante aumente sus privilegios y obtenga acceso de root al sistema.
  • Vulnerabilidad en 2N Access Commander (CVE-2024-47255)
    Severidad: ALTA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    En las versiones 3.1.1.2 y anteriores de 2N Access Commander, un atacante local puede escalar sus privilegios en el sistema, lo que podría permitir la ejecución de código arbitrario con permisos de root.
  • Vulnerabilidad en phone service module Impact (CVE-2024-51517)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de acceso indebido a la memoria en phone service module Impact: La explotación exitosa de esta vulnerabilidad puede afectar la disponibilidad.
  • Vulnerabilidad en advanced messaging module Impact (CVE-2024-51518)
    Severidad: ALTA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de tipos de mensajes que no se verifican en advanced messaging module Impact: La explotación exitosa de esta vulnerabilidad puede afectar la disponibilidad.
  • Vulnerabilidad en HDC module Impact (CVE-2024-51519)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    Vulnerabilidad de parámetros de entrada no verificados en HDC module Impact: La explotación exitosa de esta vulnerabilidad puede afectar la disponibilidad.
  • Vulnerabilidad en romadebrian WEB-Sekolah 1.0 (CVE-2024-10840)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en romadebrian WEB-Sekolah 1.0. Se trata de una función desconocida del archivo /Admin/akun_edit.php del componente Backend. La manipulación del argumento kode provoca ataques de Cross Site Scripting. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en romadebrian WEB-Sekolah 1.0 (CVE-2024-10841)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    En la versión romadebrian WEB-Sekolah 1.0 se ha detectado una vulnerabilidad clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /Proses_Kirim.php del componente Mail Handler. La manipulación del argumento Name provoca una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en romadebrian WEB-Sekolah 1.0 (CVE-2024-10842)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en romadebrian WEB-Sekolah 1.0. Este problema afecta a una funcionalidad desconocida del archivo /Admin/Proses_Edit_Akun.php del componente Backend. La manipulación del argumento Username_Baru/Password provoca Cross Site Scripting. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10844)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en 1000 Projects Bookstore Management System 1.0. Afecta a una parte desconocida del archivo search.php. La manipulación del argumento s provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10845)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 06/11/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo book_detail.php. La manipulación del argumento id provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.