Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Mitsubishi Electric Corporation MELSEC-F Series y MELSEC iQ-F Series CPU (CVE-2023-4699)
    Severidad: CRÍTICA
    Fecha de publicación: 06/11/2023
    Fecha de última actualización: 13/11/2024
    Vulnerabilidad de verificación insuficiente de autenticidad de datos en los módulos principales Mitsubishi Electric Corporation MELSEC-F Series y en los módulos de MELSEC iQ-F Series CPU permite a un atacante remoto no autenticado restablecer la memoria de los productos al estado predeterminado de fábrica y provocar Denegación de Servicio (DoS) condición de los productos mediante el envío de paquetes específicos.
  • Vulnerabilidad en kernel de Linux (CVE-2024-49952)
    Severidad: MEDIA
    Fecha de publicación: 21/10/2024
    Fecha de última actualización: 13/11/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_tables: prevent nf_skb_duplicated democracy syzbot encontró que nf_dup_ipv4() o nf_dup_ipv6() podrían escribir la variable por CPU nf_skb_duplicated de una manera insegura [1]. Deshabilitar la preempción como lo sugiere el splat no es suficiente, también tenemos que deshabilitar las interrupciones suaves. [1] ERROR: uso de __this_cpu_write() en código preemptible [00000000]: syz.4.282/6316 el llamador es nf_dup_ipv4+0x651/0x8f0 net/ipv4/netfilter/nf_dup_ipv4.c:87 CPU: 0 UID: 0 PID: 6316 Comm: syz.4.282 No contaminado 6.11.0-rc7-syzkaller-00104-g7052622fccb1 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 08/06/2024 Seguimiento de llamadas: __dump_stack lib/dump_stack.c:93 [en línea] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:119 check_preemption_disabled+0x10e/0x120 lib/smp_processor_id.c:49 nf_dup_ipv4+0x651/0x8f0 net/ipv4/netfilter/nf_dup_ipv4.c:87 nft_dup_ipv4_eval+0x1db/0x300 net/ipv4/netfilter/nft_dup_ipv4.c:30 expr_call_ops_eval net/netfilter/nf_tables_core.c:240 [en línea] nft_do_chain+0x4ad/0x1da0 net/netfilter/nf_tables_core.c:288 nft_do_chain_ipv4+0x202/0x320 net/netfilter/nft_chain_filter.c:23 nf_hook_entry_hookfn incluye/linux/netfilter.h:154 [en línea] nf_hook_slow+0xc3/0x220 net/netfilter/core.c:626 nf_hook+0x2c4/0x450 incluye/linux/netfilter.h:269 NF_HOOK_COND incluye/linux/netfilter.h:302 [en línea] ip_output+0x185/0x230 net/ipv4/ip_output.c:433 ip_local_out net/ipv4/ip_output.c:129 [en línea] ip_send_skb+0x74/0x100 net/ipv4/ip_output.c:1495 udp_send_skb+0xacf/0x1650 net/ipv4/udp.c:981 udp_sendmsg+0x1c21/0x2a60 net/ipv4/udp.c:1269 sock_sendmsg_nosec net/socket.c:730 [en línea] __sock_sendmsg+0x1a6/0x270 net/socket.c:745 ____sys_sendmsg+0x525/0x7d0 net/socket.c:2597 ___sys_sendmsg net/socket.c:2651 [en línea] __sys_sendmmsg+0x3b2/0x740 net/socket.c:2737 __do_sys_sendmmsg net/socket.c:2766 [en línea] __se_sys_sendmmsg net/socket.c:2763 [en línea] __x64_sys_sendmmsg+0xa0/0xb0 net/socket.c:2763 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f4ce4f7def9 Código: ff ff c3 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 40 00 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 a8 ff ff ff f7 d8 64 89 01 48 RSP: 002b:00007f4ce5d4a038 EFLAGS: 00000246 ORIG_RAX: 0000000000000133 RAX: ffffffffffffffda RBX: 00007f4ce5135f80 RCX: 00007f4ce4f7def9 RDX: 00000000000000001 RSI: 0000000020005d40 RDI: 0000000000000006 RBP: 00007f4ce4ff0b76 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000000000 R13: 0000000000000000 R14: 00007f4ce5135f80 R15: 00007ffd4cbc6d68
  • Vulnerabilidad en Recipe Card Blocks for Gutenberg & Elementor (CVE-2024-43293)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en WPZOOM Recipe Card Blocks for Gutenberg & Elementor permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Recipe Card Blocks for Gutenberg & Elementor: desde n/a hasta 3.3.1.
  • Vulnerabilidad en Flash y HTML5 Video (CVE-2024-43296)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en bPlugins LLC Flash y HTML5 Video permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Flash y HTML5 Video: desde n/a hasta 2.5.30.
  • Vulnerabilidad en Clone (CVE-2024-43297)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en Migrate Clone permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Clone: desde n/a hasta 2.4.5.
  • Vulnerabilidad en Clone (CVE-2024-43298)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en Migrate Clone permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Clone: desde n/a hasta 2.4.5.
  • Vulnerabilidad en Fonts (CVE-2024-43302)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en el complemento Fonts permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Fonts: desde n/a hasta 3.7.7.
  • Vulnerabilidad en Print Barcode Labels for your WooCommerce (CVE-2024-43310)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en UkrSolution Print Barcode Labels for your WooCommerce permite explotar los niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Print Barcode Labels for your WooCommerce para productos/pedidos de : desde n/a hasta 3.4.9.
  • Vulnerabilidad en WPC Frequently Bought Together for WooCommerce (CVE-2024-43312)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en WPClever WPC Frequently Bought Together for WooCommerce permite explotar los niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WPC Frequently Bought Together for WooCommerce: desde n/a hasta 7.1.9.
  • Vulnerabilidad en Asset CleanUp: Page Speed Booster (CVE-2024-43314)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en Gabe Livan Asset CleanUp: Page Speed Booster permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Asset CleanUp: Page Speed Booster: desde n/a hasta 1.3.9.3.
  • Vulnerabilidad en ReviewX (CVE-2024-43323)
    Severidad: CRÍTICA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en ReviewX permite acceder a funcionalidades que no están correctamente restringidas por las ACL. Este problema afecta a ReviewX: desde n/a hasta 1.6.28.
  • Vulnerabilidad en Photo Engine (CVE-2024-43332)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en Jordy Meow Photo Engine permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Photo Engine: desde n/a hasta 6.4.0.
  • Vulnerabilidad en Hello Agency (CVE-2024-43341)
    Severidad: CRÍTICA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en CozyThemes Hello Agency permite acceder a funcionalidades que no están correctamente restringidas por las ACL. Este problema afecta a Hello Agency: desde n/a hasta 1.0.5.
  • Vulnerabilidad en Design Order (CVE-2024-43343)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de falta de autorización en Etoile Web Design Order Tracking permite acceder a funciones que no están correctamente restringidas por las ACL. Este problema afecta a Order Tracking: desde n/a hasta 3.3.12.
  • Vulnerabilidad en JoomSport (CVE-2024-43355)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en BearDev JoomSport permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a JoomSport: desde n/a hasta 5.3.0.
  • Vulnerabilidad en Timetics (CVE-2024-43923)
    Severidad: CRÍTICA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    Vulnerabilidad de autorización faltante en Arraytics Timetics permite acceder a funcionalidades que no están correctamente restringidas por las ACL. Este problema afecta a Timetics: desde n/a hasta 1.0.23.
  • Vulnerabilidad en Envira Photo Gallery (CVE-2024-43925)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    Vulnerabilidad de autorización faltante en Envira Gallery Team Envira Photo Gallery permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Envira Photo Gallery: desde n/a hasta 1.8.14.
  • Vulnerabilidad en The Plus Addons para Elementor Page Builder Lite (CVE-2024-43932)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    Vulnerabilidad de autorización faltante en POSIMYTH The Plus Addons para Elementor Page Builder Lite permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a The Plus Addons para Elementor Page Builder Lite: desde n/a hasta 5.6.2.
  • Vulnerabilidad en CubeWP – All-in-One Dynamic Content Framework (CVE-2024-48039)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    Vulnerabilidad de autorización faltante en CubeWP CubeWP – All-in-One Dynamic Content Framework permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a CubeWP – All-in-One Dynamic Content Framework: desde n/a hasta 1.1.15.
  • Vulnerabilidad en ShortPixel Image Optimizer (CVE-2024-48044)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    Vulnerabilidad de autorización faltante en ShortPixel: Convert WebP/AVIF & Optimize Images ShortPixel Image Optimizer permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a ShortPixel Image Optimizer: desde n/a hasta 5.6.3.
  • Vulnerabilidad en Happy Addons para Elemento (CVE-2024-48045)
    Severidad: ALTA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 13/11/2024
    La vulnerabilidad de autorización faltante en Leevio Happy Addons para Elementor permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Happy Addons para Elementor: desde n/a hasta 3.12.3.
  • Vulnerabilidad en Combodo iTop (CVE-2024-32870)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 13/11/2024
    Combodo iTop es una herramienta de gestión de servicios de TI sencilla y basada en la web. Cualquier persona que tenga acceso a la URI de iTop puede leer la información del servidor, el sistema operativo, el DBMS, PHP e iTop (nombre, versión y parámetros). Este problema se ha corregido en las versiones 2.7.11, 3.0.5, 3.1.2 y 3.2.0. Se recomienda a los usuarios que actualicen la versión. No se conocen soluciones alternativas para esta vulnerabilidad.
  • Vulnerabilidad en kernel de Linux (CVE-2024-50092)
    Severidad: BAJA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 13/11/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: netconsole: fix wrong Warning Se activa una advertencia cuando no hay suficiente espacio en el búfer para los datos del usuario. Sin embargo, esto no es un problema ya que los datos del usuario se enviarán en la siguiente iteración. Mensaje de advertencia actual: ------------[ cut here ]------------ WARNING: CPU: 13 PID: 3013042 at drivers/net/netconsole.c:1122 write_ext_msg+0x3b6/0x3d0 ? write_ext_msg+0x3b6/0x3d0 console_flush_all+0x1e9/0x330 El código emite incorrectamente una advertencia cuando this_chunk es cero, lo cual es un escenario válido. La advertencia solo debería activarse cuando this_chunk es negativo.
  • Vulnerabilidad en kernel de Linux (CVE-2024-50094)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 13/11/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sfc: No invoque xdp_do_flush() desde netpoll. Yury informó de un fallo en el controlador sfc originado desde netpoll_send_udp(). La netconsole envía un mensaje y luego netpoll invoca la función NAPI del controlador con un presupuesto de cero. Está dedicada a permitir que el controlador libere recursos TX, que puede haber usado al enviar el paquete. En el caso de netpoll, el controlador invoca xdp_do_flush() incondicionalmente, lo que provoca un fallo porque bpf_net_context nunca se asignó. Invoque xdp_do_flush() solo si el presupuesto no es cero.
  • Vulnerabilidad en kernel de Linux (CVE-2024-50122)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 13/11/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: Mantener el bloqueo de rescaneo mientras se agregan dispositivos durante la sonda del host. Desde que se agregó el código de control de energía PCI, podemos terminar con una ejecución entre el dispositivo de la plataforma pwrctl que vuelve a escanear el bus y las funciones de sonda del controlador del host. Estos últimos deben tomar el bloqueo de rescan al agregar dispositivos o podemos terminar en un estado indefinido con dos dispositivos agregados de forma incompleta y encontrar el siguiente bloqueo al intentar eliminar el dispositivo a través de sysfs: No se puede manejar la desreferencia del puntero NULL del kernel en la dirección virtual 0000000000000000 Error interno: Oops: 0000000096000004 [#1] Rastreo de llamadas SMP: __pi_strlen+0x14/0x150 kernfs_find_ns+0x80/0x13c kernfs_remove_by_name_ns+0x54/0xf0 sysfs_remove_bin_file+0x24/0x34 pci_remove_resource_files+0x3c/0x84 pci_remove_sysfs_dev_files+0x28/0x38 pci_stop_bus_device+0x8c/0xd8 pci_stop_bus_device+0x40/0xd8 pci_stop_and_remove_bus_device_locked+0x28/0x48 remove_store+0x70/0xb0 dev_attr_store+0x20/0x38 sysfs_kf_write+0x58/0x78 kernfs_fop_write_iter+0xe8/0x184 vfs_write+0x2dc/0x308 ksys_write+0x7c/0xec
  • Vulnerabilidad en SMR (CVE-2024-34673)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    La validación de entrada incorrecta en IpcProtocol en módems anteriores a SMR Nov-2024 Release 1 permite que atacantes locales provoquen denegación de servicio.
  • Vulnerabilidad en SMR (CVE-2024-34682)
    Severidad: BAJA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    La autorización incorrecta en las configuraciones anteriores a la versión 1 de SMR de noviembre de 2024 permite que atacantes físicos accedan a la contraseña de WiFi almacenada en el modo de mantenimiento.
  • Vulnerabilidad en Samsung Voice Recorder (CVE-2024-49403)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    El control de acceso inadecuado en Samsung Voice Recorder anterior a la versión 21.5.40.37 permite a atacantes físicos acceder a los archivos de grabación en la pantalla de bloqueo.
  • Vulnerabilidad en Samsung Video Player (CVE-2024-49404)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    El control de acceso inadecuado en Samsung Video Player anterior a las versiones 7.3.29.1 en Android 12, 7.3.36.1 en Android 13 y 7.3.41.230 en Android 14 permite a atacantes físicos acceder a archivos de video de otros usuarios.
  • Vulnerabilidad en Samsung Pass (CVE-2024-49405)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    La autenticación incorrecta en información privada en Samsung Pass en versiones anteriores a 4.4.04.7 permite a atacantes físicos acceder a información confidencial en un escenario específico.
  • Vulnerabilidad en Blockchain Keystore (CVE-2024-49406)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    La validación incorrecta del valor de verificación de integridad en Blockchain Keystore anterior a la versión 1.3.16 permite a los atacantes locales modificar la transacción. Se requiere privilegio de root para activar esta vulnerabilidad.
  • Vulnerabilidad en Samsung Flow (CVE-2024-49407)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    El control de acceso inadecuado en Samsung Flow anterior a la versión 4.9.15.7 permite a atacantes físicos acceder a datos de múltiples perfiles de usuario.
  • Vulnerabilidad en Galaxy S24 (CVE-2024-49408)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    La escritura fuera de los límites en el controlador USB anterior a la actualización de firmware de septiembre de 2024 en Galaxy S24 permite a los atacantes locales escribir en la memoria fuera de los límites. Se requiere privilegio del sistema para activar esta vulnerabilidad.
  • Vulnerabilidad en Galaxy S24 (CVE-2024-49409)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 13/11/2024
    La escritura fuera de los límites en el nodo Battery Full Capacity antes de la actualización de firmware de septiembre de 2024 en Galaxy S24 permite a los atacantes locales escribir en la memoria fuera de los límites. Se requiere privilegio del sistema para activar esta vulnerabilidad.
  • Vulnerabilidad en code-projects E-Health Care System 1.0 (CVE-2024-10987)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad en code-projects E-Health Care System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /Doctor/user_appointment.php. La manipulación del argumento schedule_id/schedule_date/schedule_day/start_time/end_time/booking conduce a una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects E-Health Care System 1.0 (CVE-2024-10988)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad en code-projects E-Health Care System 1.0. Se ha calificado como crítica. Este problema afecta a algunas funciones desconocidas del archivo /Doctor/doctor_login.php. La manipulación del argumento email provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en code-projects E-Health Care System 1.0 (CVE-2024-10989)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects E-Health Care System 1.0. Afecta a una parte desconocida del archivo /Admin/detail.php. La manipulación del argumento s_id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. El aviso inicial para investigadores confunde la clase de vulnerabilidad de este problema.
  • Vulnerabilidad en Codezips Hospital Appointment System 1.0 (CVE-2024-10995)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se encontró una vulnerabilidad en Codezips Hospital Appointment System 1.0 y se clasificó como crítica. Este problema afecta a algunas funciones desconocidas del archivo /removeDoctorResult.php. La manipulación del argumento Name conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10996)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo /admin/process_category_edit.php. La manipulación del argumento cat provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10997)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /book_list.php. La manipulación del argumento id provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10998)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha calificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo /admin/process_category_add.php. La manipulación del argumento cat provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en CodeAstro Real Estate Management System 1.0 (CVE-2024-10999)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en CodeAstro Real Estate Management System 1.0. Se ve afectada una función desconocida del archivo /aboutadd.php del componente About Us Page. La manipulación del argumento aimage permite la carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en CodeAstro Real Estate Management System 1.0 (CVE-2024-11000)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 13/11/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en CodeAstro Real Estate Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /aboutedit.php del componente About Us Page. La manipulación del argumento aimage permite la carga sin restricciones. El ataque se puede lanzar de forma remota. El exploit se ha hecho público y puede utilizarse.