Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Mollie Mollie Payments para WooCommerce (CVE-2023-6090)
    Severidad: CRÍTICA
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 26/02/2025
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en Mollie Mollie Payments para WooCommerce. Este problema afecta a Mollie Payments para WooCommerce: desde n/a hasta 7.3.11.
  • Vulnerabilidad en Jordy Meow Media Alt Renamer (CVE-2024-1434)
    Severidad: MEDIA
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 26/02/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Jordy Meow Media Alt Renamer permite almacenar XSS. Este problema afecta a Media Alt Renamer: desde n/a hasta 0.0.1.
  • Vulnerabilidad en IBM WebSphere Application Server Liberty (CVE-2023-50312)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 26/02/2025
    IBM WebSphere Application Server Liberty 17.0.0.3 a 24.0.0.2 podría proporcionar una seguridad más débil de lo esperado para las conexiones TLS salientes causadas por una falla al respetar la configuración del usuario. ID de IBM X-Force: 274711.
  • Vulnerabilidad en Flusity-CMS v2.33 (CVE-2024-27668)
    Severidad: MEDIA
    Fecha de publicación: 04/03/2024
    Fecha de última actualización: 26/02/2025
    Flusity-CMS v2.33 se ve afectado por: Cross Site Scripting (XSS) en 'Bloques personalizados'.
  • Vulnerabilidad en Elink Smart eSmartCam (CVE-2024-25731)
    Severidad: ALTA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 26/02/2025
    La aplicación Elink Smart eSmartCam (com.cn.dq.ipc) 2.1.5 para Android contiene claves de cifrado AES codificadas que se pueden extraer de un archivo binario. Por lo tanto, el cifrado puede ser derrotado por un atacante que pueda observar los paquetes de datos (por ejemplo, a través de Wi-Fi).
  • Vulnerabilidad en VMware ESXi, Workstation y Fusion (CVE-2024-22252)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 26/02/2025
    VMware ESXi, Workstation y Fusion contienen una vulnerabilidad de Use After Free en el controlador USB XHCI. Un actor malintencionado con privilegios administrativos locales en una máquina virtual puede aprovechar este problema para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. En ESXi, la explotación está contenida dentro del entorno limitado de VMX, mientras que, en Workstation y Fusion, esto puede provocar la ejecución de código en la máquina donde está instalado Workstation o Fusion.
  • Vulnerabilidad en Gophish (CVE-2024-2211)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad almacenada de Cross-Site Scripting en Gophish que afecta a la versión 0.12.1. Esta vulnerabilidad podría permitir a un atacante almacenar un payload de JavaScript maliciosa en el menú de la campaña y activar payload cuando la campaña se elimine del menú.
  • Vulnerabilidad en CasaOS-UserService (CVE-2024-24765)
    Severidad: ALTA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 26/02/2025
    CasaOS-UserService proporciona funcionalidades de gestión de usuarios a CasaOS. Antes de la versión 0.4.7, el filtrado de rutas de la URL para los archivos de imágenes de avatar de usuario no era estricto, lo que hacía posible obtener cualquier archivo en el sistema. Esto podría permitir que un actor no autorizado acceda, por ejemplo, a la base de datos de usuarios de CasaOS y posiblemente obtenga privilegios de raíz del sistema. La versión 0.4.7 soluciona este problema.
  • Vulnerabilidad en CasaOS-UserService (CVE-2024-24767)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 26/02/2025
    CasaOS-UserService proporciona funcionalidades de gestión de usuarios a CasaOS. A partir de la versión 0.4.4.3 y anteriores a la versión 0.4.7, CasaOS no defiende contra ataques de fuerza bruta a contraseñas, lo que lleva a tener acceso completo al servidor. La aplicación web carece de control sobre los intentos de inicio de sesión. Esta vulnerabilidad permite a los atacantes obtener acceso a nivel de superusuario al servidor. La versión 0.4.7 contiene un parche para este problema.
  • Vulnerabilidad en Squid (CVE-2024-25111)
    Severidad: ALTA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 26/02/2025
    Squid es un caché de proxy web. A partir de la versión 3.5.27 y antes de la versión 6.8, Squid puede ser vulnerable a un ataque de denegación de servicio contra el decodificador HTTP fragmentado debido a un error de recursividad no controlado. Este problema permite a un atacante remoto provocar una denegación de servicio al enviar un mensaje HTTP codificado, fragmentado y manipulado. Este error se solucionó en la versión 6.8 de Squid. Además, los parches que solucionan este problema para las versiones estables se pueden encontrar en los archivos de parches de Squid. No hay workaround para este problema.
  • Vulnerabilidad en Django MarkdownX (CVE-2024-2319)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en el proyecto Django MarkdownX, que afecta a la versión 4.0.2. Un atacante podría almacenar un payload de JavaScript especialmente manipulado en la funcionalidad de carga debido a la falta de una desinfección adecuada de los elementos de JavaScript.
  • Vulnerabilidad en SourceCodester Tourist Reservation System 1.0 (CVE-2024-2331)
    Severidad: MEDIA
    Fecha de publicación: 09/03/2024
    Fecha de última actualización: 26/02/2025
    Se encontró una vulnerabilidad en SourceCodester Tourist Reservation System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a la función ad_writedata del archivo System.cpp. La manipulación del argumento ad_code provoca un desbordamiento del búfer. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-256282 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en CodeAstro Membership Management System 1.0 (CVE-2024-2333)
    Severidad: MEDIA
    Fecha de publicación: 09/03/2024
    Fecha de última actualización: 26/02/2025
    Una vulnerabilidad ha sido encontrada en CodeAstro Membership Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /add_members.php es afectada por esta vulnerabilidad. La manipulación del argumento nombre completo conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-256284.
  • Vulnerabilidad en CodeAstro Ecommerce Site 1.0 (CVE-2024-2351)
    Severidad: MEDIA
    Fecha de publicación: 09/03/2024
    Fecha de última actualización: 26/02/2025
    Una vulnerabilidad fue encontrada en CodeAstro Ecommerce Site 1.0 y clasificada como crítica. Una función desconocida del archivo action.php del componente Search es afectada por esta vulnerabilidad. La manipulación del argumento cat_id/brand_id/keyword conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-256303.
  • Vulnerabilidad en libexpat (CVE-2024-28757)
    Severidad: ALTA
    Fecha de publicación: 10/03/2024
    Fecha de última actualización: 26/02/2025
    libexpat hasta 2.6.1 permite un ataque de expansión de entidad XML cuando hay un uso aislado de analizadores externos (creados a través de XML_ExternalEntityParserCreate).
  • Vulnerabilidad en Dreamer CMS (CVE-2024-2354)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2024
    Fecha de última actualización: 26/02/2025
    Una vulnerabilidad fue encontrada en Dreamer CMS 4.1.3 y clasificada como problemática. Una función desconocida del archivo /admin/menu/toEdit es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a cross-site request forgery. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-256314 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Musicshelf 1.0/1.1 (CVE-2024-2365)
    Severidad: BAJA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 26/02/2025
    Una vulnerabilidad fue encontrada en Musicshelf 1.0/1.1 en Android y clasificada como problemática. Una función desconocida del archivo io\fabric\sdk\android\services\network\PinningTrustManager.java del componente SHA-1 Handler es afectada por esta vulnerabilidad. La manipulación conduce a un hash de contraseña con un esfuerzo computacional insuficiente. Es posible lanzar el ataque al dispositivo físico. La complejidad de un ataque es bastante alta. La explotación parece difícil. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-256321.
  • Vulnerabilidad en SOY CMS (CVE-2024-28187)
    Severidad: ALTA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 26/02/2025
    SOY CMS es un CMS (sistema de gestión de contenidos) de código abierto que le permite crear blogs y tiendas en línea. Las versiones de SOY CMS anteriores a la 3.14.2 son afectados por una vulnerabilidad de inyección de comandos del sistema operativo dentro de la función de carga de archivos cuando un administrador accede a ella. La vulnerabilidad permite la ejecución de comandos arbitrarios del sistema operativo a través de nombres de archivos especialmente manipulados que contienen un punto y coma, lo que afecta la funcionalidad jpegoptim. Esta vulnerabilidad ha sido parcheada en la versión 3.14.2. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en OpenOlat (CVE-2024-28198)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 26/02/2025
    OpenOlat es una plataforma de aprendizaje electrónico basada en web de código abierto para la enseñanza, el aprendizaje, la evaluación y la comunicación. Al manipular manualmente las solicitudes http cuando se utiliza la integración de draw.io, es posible leer archivos arbitrarios como el usuario del sistema configurado y SSRF. El problema se solucionó en las versiones 18.1.6 y 18.2.2. Se recomienda actualizar a la última versión de 18.1.x o 18.2.x. Los usuarios que no puedan actualizar pueden solucionar este problema deshabilitando el módulo Draw.io o toda la API REST que protegerá el sistema.
  • Vulnerabilidad en Nix (CVE-2024-27297)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 26/02/2025
    Nix es un administrador de paquetes para Linux y otros sistemas Unix. Una derivación de salida fija en Linux puede enviar descriptores de archivos en el almacén Nix a otro programa que se ejecuta en el host (u otra derivación de salida fija) a través de sockets de dominio Unix en el espacio de nombres abstracto. Esto permite modificar la salida de la derivación, después de que Nix haya registrado la ruta como "válida" e inmutable en la base de datos de Nix. En particular, esto permite modificar la salida de derivaciones de salida fija respecto de su contenido esperado. Este problema se solucionó en las versiones 2.3.18 2.18.2 2.19.4 y 2.20.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Postal (CVE-2024-27938)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 26/02/2025
    Postal es un servidor SMTP de código abierto. Las versiones postales inferiores a 3.0.0 son vulnerables a ataques de contrabando SMTP que pueden permitir que los correos electrónicos entrantes sean falsificados. Esto, junto con un servicio SMTP saliente cooperativo, permitiría recibir un correo electrónico entrante por correo postal con dirección desde un servidor que un usuario ha "autorizado" a enviar correo en su nombre pero que no es el verdadero autor del correo electrónico. -correo. Postal no se ve afectado para el envío de correos electrónicos salientes, ya que el correo electrónico se vuelve a codificar con finales de línea `` cuando se transmite a través de SMTP. Este problema se solucionó y los usuarios deben actualizar a Postal v3.0.0 o superior. Una vez actualizado, Postal solo aceptará secuencias de fin de DATOS que sean explícitamente `.`. Si se detecta una secuencia no compatible, se registrará en el registro del servidor SMTP. No existen soluciones alternativas para este problema.
  • Vulnerabilidad en codeium-chrome (CVE-2024-28120)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 26/02/2025
    codeium-chrome es un complemento de finalización de código fuente abierto para el navegador web Chrome. El trabajador de servicio de la extensión codeium-chrome no verifica al remitente cuando recibe un mensaje externo. Esto permite a un atacante alojar un sitio web que robará la clave API de Codeium del usuario y, por lo tanto, se hará pasar por el usuario en el servidor de autocompletar backend. Esta cuestión no se ha abordado. Se recomienda a los usuarios que supervisen el uso de su clave API.
  • Vulnerabilidad en Phlex (CVE-2024-28199)
    Severidad: ALTA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 26/02/2025
    Phlex es un framework de código abierto para crear vistas orientadas a objetos en Ruby. Existe una posible vulnerabilidad de secuencias de comandos entre sitios (XSS) que puede explotarse mediante datos de usuario creados con fines malintencionados. Esto se debió a una distinción inadecuada entre mayúsculas y minúsculas en el código destinado a prevenir estos ataques. Si representa una etiqueta `` con un atributo `href` establecido en un enlace proporcionado por el usuario, ese enlace podría potencialmente ejecutar JavaScript cuando otro usuario haga clic en él. Si agrega atributos proporcionados por el usuario al representar cualquier etiqueta HTML, se podrían incluir atributos de eventos maliciosos en la salida, ejecutando JavaScript cuando los eventos sean activados por otro usuario. Los parches están disponibles en RubyGems para todas las versiones menores 1.x. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben considerar configurar una política de seguridad de contenido que no permita "inseguro en línea".
  • Vulnerabilidad en NextChat (CVE-2023-49785)
    Severidad: CRÍTICA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    NextChat, también conocido como ChatGPT-Next-Web, es una interfaz de usuario de chat multiplataforma para usar con ChatGPT. Las versiones 2.11.2 y anteriores son vulnerables a la server-side request forgery y a cross-site scripting. Esta vulnerabilidad permite el acceso de lectura a endpoints HTTP internos, pero también el acceso de escritura mediante HTTP POST, PUT y otros métodos. Los atacantes también pueden utilizar esta vulnerabilidad para enmascarar su IP de origen reenviando tráfico malicioso destinado a otros objetivos de Internet a través de estos servidores proxy abiertos. Al momento de la publicación, no hay ningún parche disponible, pero sí otras estrategias de mitigación. Los usuarios pueden evitar exponer la aplicación a la Internet pública o, si exponen la aplicación a Internet, asegurarse de que sea una red aislada sin acceso a ningún otro recurso interno.
  • Vulnerabilidad en SAP Fiori Front End Server (CVE-2024-22133)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    SAP Fiori Front End Server: versión 605, permite modificar los detalles del aprobador en el campo de solo lectura al enviar información de solicitud de licencia. Esto podría dar lugar a la creación de una solicitud con un aprobador incorrecto, lo que provocaría un bajo impacto en la confidencialidad y la integridad, sin ningún impacto en la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP NetWeaver WSRM (CVE-2024-25644)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Bajo ciertas condiciones, SAP NetWeaver WSRM - versión 7.50, permite que un atacante acceda a información que de otro modo estaría restringida, lo que causa un bajo impacto en la confidencialidad sin ningún impacto en la integridad y disponibilidad de la aplicación.
  • Vulnerabilidad en SAP ABAP Platform (CVE-2024-27900)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Debido a la falta de verificación de autorización, un atacante con cuenta de usuario empresarial en SAP ABAP Platform (versión 758, 795) puede cambiar la configuración de privacidad de las plantillas de trabajo de compartida a privada. Como resultado, solo el propietario podrá acceder a la plantilla seleccionada.
  • Vulnerabilidad en SAP GUI para HTML en SAP NetWeaver AS ABAP (CVE-2024-27902)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Las aplicaciones basadas en SAP GUI para HTML en SAP NetWeaver AS ABAP (versiones 7.89, 7.93) no codifican suficientemente las entradas controladas por el usuario, lo que genera una vulnerabilidad de cross-site scripting (XSS). Un ataque exitoso puede permitir que un atacante malintencionado acceda y modifique datos a través de su capacidad para ejecutar código en el navegador de un usuario. No hay impacto en la disponibilidad del sistema.
  • Vulnerabilidad en Pleasanter (CVE-2024-21584)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Pleasanter 1.3.49.0 y anteriores contienen una vulnerabilidad de cross-site scripting. Si un atacante engaña al usuario para que acceda al producto con una URL especialmente manipulada y realice una operación específica, se puede ejecutar un script arbitrario en el navegador web del usuario.
  • Vulnerabilidad en EVE-NG 5.0.1-13 (CVE-2024-2391)
    Severidad: BAJA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Una vulnerabilidad fue encontrada en EVE-NG 5.0.1-13 y clasificada como problemática. Una función desconocida del componente Lab Handler es afectada por esta vulnerabilidad. La manipulación conduce a cross site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-256442 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en SourceCodester Employee Management System 1.0 (CVE-2024-2394)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Se encontró una vulnerabilidad en SourceCodester Employee Management System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /Admin/add-admin.php es afectada por esta vulnerabilidad. La manipulación del argumento avatar conduce a una carga sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-256454 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Badger Meter Monitool (CVE-2024-1301)
    Severidad: CRÍTICA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de inyección SQL en Badger Meter Monitool que afecta a las versiones 4.6.3 y anteriores. Un atacante remoto podría enviar una consulta SQL especialmente manipulada al servidor a través del parámetro j_username y recuperar la información almacenada en la base de datos.
  • Vulnerabilidad en Badger Meter Monitool (CVE-2024-1302)
    Severidad: ALTA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de exposición de información en Badger Meter Monitool que afecta a versiones hasta 4.6.3 y anteriores. Un atacante local podría cambiar el parámetro del archivo de la aplicación a un archivo de registro obteniendo toda la información confidencial, como las credenciales de la base de datos.
  • Vulnerabilidad en Badger Meter Monitool (CVE-2024-1303)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Limitación incorrecta de la ruta a una vulnerabilidad de directorio restringido en Badger Meter Monitool que afecta a versiones hasta 4.6.3 y anteriores. Esta vulnerabilidad permite a un atacante autenticado recuperar cualquier archivo del dispositivo mediante la función de descarga de archivos.
  • Vulnerabilidad en Badger Meter Monitool (CVE-2024-1304)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de Cross Site Scripting en Badger Meter Monitool que afecta a versiones hasta 4.6.3 y anteriores. Esta vulnerabilidad permite a un atacante remoto enviar un payload de JavaScript especialmente manipulado a un usuario autenticado y secuestrar parcialmente su sesión de navegador.
  • Vulnerabilidad en CMS Made Simple (CVE-2024-1527)
    Severidad: CRÍTICA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de carga de archivos sin restricciones en CMS Made Simple, que afecta a la versión 2.2.14. Esta vulnerabilidad permite a un usuario autenticado eludir las medidas de seguridad de la funcionalidad de carga y potencialmente crear una ejecución remota de comandos a través de webshell.
  • Vulnerabilidad en CMS Made Simple (CVE-2024-1528)
    Severidad: ALTA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    CMS Made Simple versión 2.2.14 no codifica suficientemente la entrada controlada por el usuario, lo que genera una vulnerabilidad de Cross Site Scripting (XSS) a través de /admin/moduleinterface.php, en múltiples parámetros. Esta vulnerabilidad podría permitir a un atacante remoto enviar un payload de JavaScript especialmente manipulado a un usuario autenticado y secuestrar parcialmente su sesión de navegador.
  • Vulnerabilidad en CMS Made Simple (CVE-2024-1529)
    Severidad: ALTA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad en CMS Made Simple 2.2.14, que no codifica suficientemente la entrada controlada por el usuario, lo que resulta en una vulnerabilidad de Cross Site Scripting (XSS) a través de /admin/adduser.php, en múltiples parámetros. Esta vulnerabilidad podría permitir que un atacante remoto envíe un payload de JavaScript especialmente manipulada a un usuario autenticado y se apodere parcialmente de su sesión de navegador.
  • Vulnerabilidad en Emlog Pro (CVE-2024-13132)
    Severidad: MEDIA
    Fecha de publicación: 05/01/2025
    Fecha de última actualización: 25/02/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en Emlog Pro hasta la versión 2.4.3. Esta vulnerabilidad afecta al código desconocido del archivo /admin/article.php del componente Subpage Handler. La manipulación conduce a cross site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21368)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de ejecución remota de código en la autenticación de Microsoft Digest
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21369)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de ejecución remota de código en la autenticación de Microsoft Digest
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21371)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de ejecución remota de código en el servicio de telefonía de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21373)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de elevación de privilegios en Windows Installer
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21375)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de elevación de privilegios en el controlador de servicio de transmisión de kernel WOW Thunk
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21376)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de ejecución remota de código en el Protocolo ligero de acceso a directorios (LDAP) de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21392)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Office
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24434)
    Severidad: CRÍTICA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de autorización incorrecta que podría provocar una escalada de privilegios. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario. Un atacante con éxito puede aprovechar esto para lograr la toma de control de la sesión, lo que aumenta el impacto en la confidencialidad y la integridad.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24435)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar una escalada de privilegios. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado para modificar campos limitados. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24436)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar una escalada de privilegios. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24437)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar una escalada de privilegios. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener privilegios elevados. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24438)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 26/02/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar código JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable. Un atacante con éxito puede aprovechar esto para lograr la toma de control de la sesión, lo que aumenta el impacto en la confidencialidad y la integridad.
  • Vulnerabilidad en DeBounce Email Validator para WordPress (CVE-2024-13339)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2025
    Fecha de última actualización: 26/02/2025
    El complemento DeBounce Email Validator para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 5.6.6 incluida. Esto se debe a la falta o la validación incorrecta de nonce en la página 'debounce_email_validator'. Esto permite que atacantes no autenticados actualicen configuraciones e inyecten scripts web maliciosos a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Raptive Ads para WordPress (CVE-2024-13363)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2025
    Fecha de última actualización: 26/02/2025
    El complemento Raptive Ads para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'POC' en todas las versiones hasta 3.6.3 incluida, debido a una depuración de entrada insuficiente y al escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán si logran engañar con éxito a un usuario para que realice una acción como hacer clic en un enlace.