Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Welcart (CVE-2015-2973)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2015
    Fecha de última actualización: 20/02/2025
    Múltiples vulnerabilidades de XSS en el plugin de Welcart en versiones anteriores a la 1.4.18 para WordPress, permite a atacantes remotos inyectar arbitrariamente código HTML o web script a través del parámetro usces_referer hacia (1) classes/usceshop.class.php, (2) includes/edit-form-advanced.php, (3) includes/edit-form-advanced30.php, (4) includes/edit-form-advanced34.php, (5) includes/member_edit_form.php, (6) includes/order_edit_form.php, (7) includes/order_list.php o (8) includes/usces_item_master_list.php, relacionado con admin.php.
  • Vulnerabilidad en admin.php en el plugin Collne Welcart para WordPress (CVE-2015-7791)
    Severidad: MEDIA
    Fecha de publicación: 29/12/2015
    Fecha de última actualización: 20/02/2025
    Múltiples vulnerabilidades de inyección SQL en admin.php en el plugin Collne Welcart en versiones anteriores a 1.5.3 para WordPress permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través del parámetro (1) search[column] o (2) switch.
  • Vulnerabilidad en el plugin Collne Welcart e-Commerce para WordPress (CVE-2016-4825)
    Severidad: MEDIA
    Fecha de publicación: 25/06/2016
    Fecha de última actualización: 20/02/2025
    El plugin Collne Welcart e-Commerce en versiones anteriores a 1.8.3 para WordPress permite a atacantes remotos llevar a cabo ataques de inyección de objetos PHP y ejecutar código PHP arbitrario a través de datos serializados manipulados.
  • Vulnerabilidad en el plugin Collne Welcart e-Commerce para WordPress (CVE-2016-4826)
    Severidad: MEDIA
    Fecha de publicación: 25/06/2016
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de XSS en el plugin Collne Welcart e-Commerce en versiones anteriores a 1.8.3 para WordPress permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados, una vulnerabilidad diferente a CVE-2016-4827.
  • Vulnerabilidad en el plugin Collne Welcart e-Commerce para WordPress (CVE-2016-4827)
    Severidad: MEDIA
    Fecha de publicación: 25/06/2016
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de XSS en el plugin Collne Welcart e-Commerce en versiones anteriores a 1.8.3 para WordPress permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados, una vulnerabilidad diferente a CVE-2016-4826.
  • Vulnerabilidad en el plugin Collne Welcart e-Commerce para WordPress (CVE-2016-4828)
    Severidad: MEDIA
    Fecha de publicación: 25/06/2016
    Fecha de última actualización: 20/02/2025
    El plugin Collne Welcart e-Commerce en versiones anteriores a 1.8.3 para WordPress no maneja correctamente las sesiones, lo que permite a atacantes remotos obtener acceso aprovechando el conocimiento de una dirección de correo electrónico asociada a una cuenta.
  • Vulnerabilidad en el plugin de Jenkins (CVE-2019-1003029)
    Severidad: CRÍTICA
    Fecha de publicación: 08/03/2019
    Fecha de última actualización: 20/02/2025
    Existe una vulnerabilidad de omisión de sandbox en Jenkins Script Security Plugin, en la versión 1.53 y anteriores en src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, que permite a los atacantes con permisos de "Overall/Read" ejecutar código arbitrario en el maestro JVM de Jenkins.
  • Vulnerabilidad en Welcart e-Commerce de WordPress (CVE-2022-4140)
    Severidad: ALTA
    Fecha de publicación: 02/01/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce WordPress anterior a 2.8.5 no valida la entrada del usuario antes de usarlo para generar el contenido de un archivo, lo que podría permitir a un atacante no autenticado leer archivos arbitrarios en el servidor.
  • Vulnerabilidad en Welcart e-Commerce de WordPress (CVE-2022-4237)
    Severidad: ALTA
    Fecha de publicación: 02/01/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce de WordPress anterior a 2.8.6 no valida la entrada del usuario antes de usarlo en funciones file_exist() a través de varias acciones AJAX disponibles para cualquier usuario autenticado, lo que podría permitir a los usuarios con un rol tan bajo como el de suscriptor realizar la deserialización PHAR cuando pueden cargar un archivo y hay una cadena de gadgets adecuada en el blog
  • Vulnerabilidad en Welcart e-Commerce de WordPress (CVE-2022-4236)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce de WordPress anterior a 2.8.5 no valida la entrada del usuario antes de usarlo para generar el contenido de un archivo a través de una acción AJAX disponible para cualquier usuario autenticado, lo que podría permitir a los usuarios con un rol tan bajo como el de suscriptor leer arbitrariamente archivos en el servidor.
  • Vulnerabilidad en Welcart e-Commerce de WordPress (CVE-2022-4655)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce de WordPress anterior a 2.8.9 no valida ni escapa uno de sus atributos de código corto, lo que podría permitir a los usuarios con un rol tan bajo como colaborador realizar un ataque de cross-site scripting almacenado.
  • Vulnerabilidad en la función usces_unserialize en el plugin usc-e-shop para WordPress (CVE-2020-28339)
    Severidad: ALTA
    Fecha de publicación: 07/11/2020
    Fecha de última actualización: 20/02/2025
    El plugin usc-e-shop (también se conoce como Collne Welcart e-Commerce) versiones anteriores a 1.9.36 para WordPress, permite una Inyección de Objetos debido a la función usces_unserialize. No contiene una cadena POP completa
  • Vulnerabilidad en El complemento de WordPress Welcart e-Commerce (CVE-2022-3935)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2022
    Fecha de última actualización: 20/02/2025
    El complemento de WordPress Welcart e-Commerce anterior a 2.8.4 no sanitiza ni escapa a algunos parámetros, lo que podría permitir a cualquier usuario autenticado, como un suscriptor, realizar ataques de cross site scripting almacenado.
  • Vulnerabilidad en El complemento de WordPress Welcart e-Commerce (CVE-2022-3946)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2022
    Fecha de última actualización: 20/02/2025
    El complemento de WordPress Welcart e-Commerce anterior a 2.8.4 no tiene autorización ni CSRF en una acción AJAX, lo que permite a cualquier usuario que haya iniciado sesión crear, actualizar y eliminar métodos de envío.
  • Vulnerabilidad en vectores no especificados en Welcart e-Commerce (CVE-2021-20734)
    Severidad: MEDIA
    Fecha de publicación: 22/06/2021
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad de tipo cross-site scripting en Welcart e-Commerce versiones anteriores a 2.2.4, permite a atacantes remotos inyectar un script o HTML arbitrario por medio de vectores no especificados
  • Vulnerabilidad en Welcart e-Commerce (CVE-2023-40219)
    Severidad: ALTA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 20/02/2025
    Las versiones 2.7 a 2.8.21 de Welcart e-Commerce permiten a un usuario con privilegios de editor o superiores cargar un archivo arbitrario en un directorio no autorizado.
  • Vulnerabilidad en Welcart e-Commerce (CVE-2023-43493)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de inyección SQL en la página Lista de Elementos de Welcart e-Commerce versiones 2.7 a 2.8.21 permite a un usuario con privilegios de autor o superiores obtener información sensible.
  • Vulnerabilidad en Welcart e-Commerce (CVE-2023-43610)
    Severidad: ALTA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de inyección SQL en la página de edición de datos de pedidos de Welcart e-Commerce versiones 2.7 a 2.8.21 permite a un usuario editor (sin autoridad para configurar) o con privilegios superiores realizar operaciones de base de datos no deseadas.
  • Vulnerabilidad en Welcart e-Commerce (CVE-2023-41233)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en el proceso de registro de la página Lista de elementos de Welcart e-Commerce versiones 2.7 a 2.8.21 permite que un atacante remoto no autenticado inyecte un script arbitrario.
  • Vulnerabilidad en Welcart e-Commerce (CVE-2023-41962)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en la página de configuración de pago con tarjeta de crédito de las versiones 2.7 a 2.8.21 de Welcart e-Commerce, permite a un atacante remoto no autenticado inyectar un script arbitrario en la página.
  • Vulnerabilidad en Welcart e-Commerce (CVE-2023-43484)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en la página Lista de elementos de Welcart e-Commerce versiones 2.7 a 2.8.21 permite que un atacante remoto no autenticado inyecte un script arbitrario.
  • Vulnerabilidad en Welcart e-Commerce (CVE-2023-43614)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en la página de edición de datos de pedidos de Welcart e-Commerce versiones 2.7 a 2.8.21 permite que un atacante remoto no autenticado inyecte un script arbitrario.
  • Vulnerabilidad en Welcart e-Commerce de WordPress (CVE-2023-5951)
    Severidad: MEDIA
    Fecha de publicación: 04/12/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce de WordPress anterior a 2.9.5 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en Welcart e-Commerce de WordPress (CVE-2023-5952)
    Severidad: CRÍTICA
    Fecha de publicación: 04/12/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce de WordPress anterior a 2.9.5 deserializa la entrada del usuario a través de cookies, lo que podría permitir a usuarios no autenticados realizar inyección de objetos PHP cuando hay un gadget adecuado presente en el blog.
  • Vulnerabilidad en Welcart e-Commerce de WordPress (CVE-2023-5953)
    Severidad: ALTA
    Fecha de publicación: 04/12/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce de WordPress anterior a 2.9.5 no valida los archivos que se van a cargar, además de que no tiene autorización ni CSRF en una acción AJAX que maneje dicha carga. Como resultado, cualquier usuario autenticado, como un suscriptor, podría cargar archivos arbitrarios, como PHP, en el servidor.
  • Vulnerabilidad en Welcart e-Commerce para WordPress (CVE-2023-6120)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2023
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce para WordPress es vulnerable a Directory Traversal en todas las versiones hasta la 2.9.6 incluida a través de la función upload_certificate_file. Esto hace posible que los administradores carguen archivos .pem o .crt en ubicaciones arbitrarias del servidor.
  • Vulnerabilidad en Collne Inc. Welcart e-Commerce (CVE-2023-50847)
    Severidad: ALTA
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 20/02/2025
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Collne Inc. Welcart e-Commerce. Este problema afecta a Welcart e-Commerce: desde n/a hasta 2.9.3.
  • Vulnerabilidad en Peering Manager (CVE-2024-28112)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 20/02/2025
    Peering Manager es una herramienta de gestión de sesiones BGP. Las versiones afectadas de Peering Manager están sujetas a un posible ataque de Cross-Site Scripting (XSS) almacenado en el atributo "nombre" de AS o plataforma. El XSS se activa en la página de detalles de un enrutador. Los adversarios pueden ejecutar código JavaScript arbitrario con el permiso de la víctima. Los ataques XSS se utilizan a menudo para robar credenciales o tokens de inicio de sesión de otros usuarios. Este problema se solucionó en la versión 1.8.3. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2570)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en SourceCodester Employee Task Management System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /edit-task.php. La manipulación conduce a la ejecución después de la redirección. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257073.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2571)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en SourceCodester Employee Task Management System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /manage-admin.php. La manipulación conduce a la ejecución después de la redirección. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257074 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2572)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en SourceCodester Employee Task Management System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo /task-details.php. La manipulación conduce a la ejecución después de la redirección. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257075.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2573)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Employee Task Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /task-info.php es afectada por esta vulnerabilidad. La manipulación conduce a la ejecución después de la redirección. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257076.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2574)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Employee Task Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /edit-task.php es afectada por esta vulnerabilidad. La manipulación del argumento task_id conduce a la omisión de autorización. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257077.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2575)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Employee Task Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /task-details.php es afectada por esta vulnerabilidad. La manipulación del argumento task_id conduce a la omisión de autorización. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257078 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2576)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Employee Task Management System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /update-admin.php. La manipulación del argumento admin_id conduce a la omisión de autorización. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257079.
  • Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2577)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Employee Task Management System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /update-employee.php. La manipulación del argumento admin_id conduce a la omisión de autorización. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257080.
  • Vulnerabilidad en Campcodes Online Marriage Registration System 1.0 (CVE-2024-2773)
    Severidad: BAJA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad ha sido encontrada en Campcodes Online Marriage Registration System 1.0 y clasificada como problemática. Esto afecta a una parte desconocida del archivo /user/search.php. La manipulación del argumento searchdata conduce a cross-site scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257607.
  • Vulnerabilidad en Campcodes Online Marriage Registration System 1.0 (CVE-2024-2775)
    Severidad: BAJA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Marriage Registration System 1.0 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo /user/user-profile.php. La manipulación del argumento lname conduce a cross-site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257609.
  • Vulnerabilidad en Campcodes Online Marriage Registration System 1.0 (CVE-2024-2778)
    Severidad: BAJA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Marriage Registration System 1.0 y clasificada como problemática. Una función desconocida del archivo /admin/search.php es afectada por esta vulnerabilidad. La manipulación del argumento searchdata conduce a cross-site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257612.
  • Vulnerabilidad en Campcodes Online Marriage Registration System 1.0 (CVE-2024-2779)
    Severidad: BAJA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Online Marriage Registration System 1.0. Ha sido clasificada como problemática. Esto afecta a una parte desconocida del archivo /admin/application-bwdates-reports-details.php. La manipulación del argumento fromdate conduce a cross-site scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257613.
  • Vulnerabilidad en Campcodes Online Marriage Registration System 1.0 (CVE-2024-2780)
    Severidad: BAJA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Online Marriage Registration System 1.0. Ha sido declarada problemática. Esta vulnerabilidad afecta al código desconocido del archivo /admin/admin-profile.php. La manipulación del argumento adminname conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257614 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes Online Shopping System 1.0 (CVE-2024-2832)
    Severidad: BAJA
    Fecha de publicación: 23/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Shopping System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /offersmail.php. La manipulación del argumento correo electrónico conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257752.
  • Vulnerabilidad en Campcodes House Rental Management System 1.0 (CVE-2024-2916)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes House Rental Management System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo ajax.php es afectada por esta vulnerabilidad. La manipulación del argumento nombre de usuario conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257982 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes House Rental Management System 1.0 (CVE-2024-2917)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes House Rental Management System 1.0. Ha sido declarada crítica. Una función desconocida del archivo index.php es afectada por esta vulnerabilidad. La manipulación de la página de argumentos conduce a la inclusión del archivo. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257983.
  • Vulnerabilidad en code-projects Mobile Shop 1.0 (CVE-2024-2927)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en code-projects Mobile Shop 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo Details.php del componente Login Page es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-258000.
  • Vulnerabilidad en Campcodes Online Examination System 1.0 (CVE-2024-2938)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Online Examination System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo /adminpanel/admin/facebox_modal/updateCourse.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-258029.
  • Vulnerabilidad en Campcodes Online Examination System 1.0 (CVE-2024-2941)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Examination System 1.0 y clasificada como crítica. Una función desconocida del archivo /adminpanel/admin/query/loginExe.php es afectada por esta vulnerabilidad. La manipulación del paso del argumento conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-258032.
  • Vulnerabilidad en Campcodes Online Examination System 1.0 (CVE-2024-2942)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Examination System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /adminpanel/admin/query/deleteQuestionExe.php. La manipulación del argumento id conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-258033.
  • Vulnerabilidad en SVS Pricing Tables para WordPress (CVE-2024-2958)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 20/02/2025
    El complemento SVS Pricing Tables para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de la tabla de precios en todas las versiones hasta la 1.0.4 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
  • Vulnerabilidad en SVS Pricing Tables para WordPress (CVE-2024-2959)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 20/02/2025
    El complemento SVS Pricing Tables para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.0.4 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función savePricingTable(). Esto hace posible que atacantes no autenticados creen y editen tablas de precios a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en SVS Pricing Tables para WordPress (CVE-2024-2960)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 20/02/2025
    El complemento SVS Pricing Tables para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.0.4 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función deletePricingTable(). Esto hace posible que atacantes no autenticados eliminen tablas de precios mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Sydney Toolbox para WordPress (CVE-2024-4036)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 20/02/2025
    El complemento Sydney Toolbox para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro de estilo en todas las versiones hasta la 1.30 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Wpmet Metform Elementor Contact Form Builder (CVE-2024-33570)
    Severidad: MEDIA
    Fecha de publicación: 06/05/2024
    Fecha de última actualización: 20/02/2025
    Vulnerabilidad de autorización faltante en Wpmet Metform Elementor Contact Form Builder. Este problema afecta a Metform Elementor Contact Form Builder: desde n/a hasta 3.8.3.
  • Vulnerabilidad en Campcodes Legal Case Management System 1.0 (CVE-2024-4681)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Legal Case Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/general-setting del componente Configuration Handler es afectada por esta vulnerabilidad. La manipulación del argumento favicon/logo conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-263622 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4720)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0. Ha sido calificado como problemático. Una función desconocida del archivo /model/approve_petty_cash.php es afectada por esta vulnerabilidad. La manipulación del argumento admin_index conduce a Cross Site Scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-263798 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4721)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad ha sido encontrada en Campcodes Complete Web-Based School Management System 1.0 y clasificada como problemática. Esto afecta a una parte desconocida del archivo /model/add_student_subject.php. La manipulación del índice de argumentos conduce a Cross Site Scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-263799.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4722)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Complete Web-Based School Management System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo index.php. La manipulación de la categoría de argumento conduce a Cross Site Scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-263800.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4792)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Laundry Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /admin_class.php. La manipulación del argumento id/delete_category/delete_inv/delete_laundry/delete_supply/delete_user/login/save_inv/save_user conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-263891.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4793)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Laundry Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /manage_laundry.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-263892.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4794)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad ha sido encontrada en Campcodes Online Laundry Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /manage_receiving.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-263893.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4795)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Laundry Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /manage_user.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-263894 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4796)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Online Laundry Management System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /manage_inv.php. La manipulación del argumento id conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-263895.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4797)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Online Laundry Management System 1.0. Ha sido declarada problemática. Esta vulnerabilidad afecta a código desconocido del archivo /ajax.php. La manipulación del argumento nombre/nombre_cliente/nombre de usuario conduce a Cross Site Scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-263896.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4817)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad ha sido encontrada en Campcodes Online Laundry Management System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo enable_user.php del componente HTTP Request Parameter Handler. La manipulación del argumento id conduce a un control inadecuado de los identificadores de recursos. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-263938 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4818)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Online Laundry Management System 1.0 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo /index.php. La manipulación de la página de argumentos conduce a la inclusión del archivo. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-263939.
  • Vulnerabilidad en Campcodes Online Laundry Management System 1.0 (CVE-2024-4819)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Online Laundry Management System 1.0. Ha sido clasificada como problemática. Una función desconocida del archivo admin_class.php es afectada por esta vulnerabilidad. La manipulación del tipo de argumento con la entrada 1 conduce a una autorización inadecuada. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-263940.
  • Vulnerabilidad en Sydney Toolbox para WordPress (CVE-2024-4473)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 20/02/2025
    El complemento Sydney Toolbox para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget "aThemes: Portfolio" en todas las versiones hasta la 1.31 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4906)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Complete Web-Based School Management System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /view/show_student1.php. La manipulación del grado del argumento conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-264441.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4907)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad ha sido encontrada en Campcodes Complete Web-Based School Management System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /view/show_student2.php. La manipulación del grado del argumento conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-264442 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4908)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 20/02/2025
    Una vulnerabilidad fue encontrada en Campcodes Complete Web-Based School Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /view/student_attendance_history1.php. La manipulación del índice del argumento conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-264443.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4909)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /view/student_due_paid.php es afectada por esta vulnerabilidad. La manipulación del argumento debido_año conduce a la inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-264444.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4910)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0. Ha sido declarada crítica. Una función desconocida del archivo /view/student_exam_mark_insert_form1.php es afectada por esta vulnerabilidad. La manipulación del grado del argumento conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-264445.
  • Vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0 (CVE-2024-4911)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Complete Web-Based School Management System 1.0. Ha sido calificado como crítico. Una función desconocida del archivo /view/student_exam_mark_update_form.php es afectada por esta vulnerabilidad. La manipulación del examen de argumentos conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-264446 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Campcodes Online Examination System 1.0 (CVE-2024-4919)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 20/02/2025
    Se encontró una vulnerabilidad en Campcodes Online Examination System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a código desconocido del archivo /adminpanel/admin/query/addCourseExe.php. La manipulación del argumento nombre_curso conduce a la inyección SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-264454 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Welcart e-Commerce para WordPress (CVE-2025-0511)
    Severidad: ALTA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    El complemento Welcart e-Commerce para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'nombre' en todas las versiones hasta 2.11.9 incluida, debido a un escape de entrada desinfección y de salida insuficiente. Esto hace posible que atacantes no autenticados inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-1195)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en code-projects Real Estate Property Management System 1.0. Este problema afecta a algunos procesamientos desconocidos del archivo /Admin/EditCategory. La manipulación del argumento CategoryId conduce a Cross Site Scripting. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-1196)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en code-projects Real Estate Property Management System 1.0. Se ve afectada una función desconocida del archivo /search.php. La manipulación del argumento PropertyName da lugar a Cross Site Scripting. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en Brizy – Page Builder para WordPress (CVE-2024-10322)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    El complemento Brizy – Page Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de las cargas de archivos SVG de la API REST en todas las versiones hasta 2.6.8 incluida, debido a una depuración de entrada insuficiente y al escape de salida insuficientes. Esto hace posible que los atacantes autenticados, con acceso de nivel de autor y superior, inyecten scripts web arbitraria en las páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
  • Vulnerabilidad en Codezips Gym Management System 1.0 (CVE-2025-1206)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    Se ha encontrado una vulnerabilidad en Codezips Gym Management System 1.0. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo /dashboard/admin/viewdetailroutine.php. La manipulación del argumento id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Progress® Telerik® Document Processing Libraries (CVE-2024-11343)
    Severidad: ALTA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    En Progress® Telerik® Document Processing Libraries, versiones anteriores a 2025 Q1 (2025.1.205), descomprimir un archivo puede generar un acceso arbitrario al archivo sistema.
  • Vulnerabilidad en Progress® Telerik® KendoReact (CVE-2024-12629)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    En las versiones v3.5.0 a v9.4.0 de Progress® Telerik® KendoReact, un atacante puede introducir o modificar propiedades dentro de la cadena de prototipos global, lo que puede resultar en una denegación de servicio o una inyección de comandos.
  • Vulnerabilidad en Progress® Telerik® Report Server (CVE-2025-0556)
    Severidad: ALTA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/02/2025
    En Progress® Telerik® Report Server, versiones anteriores a 2025 Q1 (11.0.25.211) cuando se utiliza la implementación .NET framework más antigua, la comunicación de información no confidencial entre el proceso del agente de servicio y el proceso del host de la aplicación se produce a través de un túnel no cifrado, que puede estar sujeto al rastreo del tráfico de la red local.