Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 (CVE-2024-2530)
    Severidad: BAJA
    Fecha de publicación: 16/03/2024
    Fecha de última actualización: 03/03/2025
    Se encontró una vulnerabilidad en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0. Ha sido calificada como problemática. Este problema afecta un procesamiento desconocido del archivo /admin/update-rooms.php. La manipulación del argumento id conduce a cross-site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-256967. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 (CVE-2024-2531)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad ha sido encontrada en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/update-rooms.php es afectada por esta vulnerabilidad. La manipulación conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-256968. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 (CVE-2024-2533)
    Severidad: BAJA
    Fecha de publicación: 16/03/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad fue encontrada en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 y clasificada como problemática. Una función desconocida del archivo /admin/update-users.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a cross-site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-256970 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 (CVE-2024-2534)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad fue encontrada en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /admin/users.php. La manipulación del argumento user_id conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-256971. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 (CVE-2024-2535)
    Severidad: BAJA
    Fecha de publicación: 17/03/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad ha sido encontrada en MAGESH-K21 Online-College-Event-Hall-Reservation-System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a código desconocido del archivo /admin/users.php. La manipulación del argumento id conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-256972. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en code-projects Online Book System 1.0 (CVE-2024-3003)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad ha sido encontrada en code-projects Online Book System 1.0 y clasificada como crítica. Una función desconocida del archivo /cart.php es afectada por esta vulnerabilidad. La manipulación del argumento cantidad/eliminar conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-258205.
  • Vulnerabilidad en code-projects Online Book System 1.0 (CVE-2024-3004)
    Severidad: BAJA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad fue encontrada en code-projects Online Book System 1.0 y clasificada como problemática. Una función desconocida del archivo /Product.php es afectada por esta vulnerabilidad. La manipulación del valor del argumento conduce a cross-site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-258206 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en code-projects Budget Management 1.0 (CVE-2024-5048)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad fue encontrada en code-projects Budget Management 1.0 y clasificada como crítica. Una función desconocida del archivo /index.php es afectada por esta vulnerabilidad. La manipulación del argumento edit conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-264745.
  • Vulnerabilidad en PHPGurukul Online Course Registration System 3.1 (CVE-2024-5064)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 03/03/2025
    Se encontró una vulnerabilidad en PHPGurukul Online Course Registration System 3.1. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo news-details.php. La manipulación del argumento nid conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-264923.
  • Vulnerabilidad en PHPGurukul Online Course Registration System 3.1 (CVE-2024-5065)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad ha sido encontrada en PHPGurukul Online Course Registration System 3.1 y clasificada como crítica. Una función desconocida del archivo /onlinecourse/ es afectada por esta vulnerabilidad. La manipulación del argumento regno conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-264924.
  • Vulnerabilidad en PHPGurukul Online Course Registration System 3.1 (CVE-2024-5066)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 03/03/2025
    Una vulnerabilidad fue encontrada en PHPGurukul Online Course Registration System 3.1 y clasificada como crítica. Una función desconocida del archivo /pincode-verification.php es afectada por esta vulnerabilidad. La manipulación del argumento PINcode conduce a la inyección SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-264925.
  • Vulnerabilidad en Simple Task List 1.0 (CVE-2024-6653)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2024
    Fecha de última actualización: 03/03/2025
    Se encontró una vulnerabilidad en los proyectos de código Simple Task List 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo loginForm.php del componente Login. La manipulación del argumento username conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-271060.
  • Vulnerabilidad en code-projects Online Car Rental System 1.0 (CVE-2024-12998)
    Severidad: MEDIA
    Fecha de publicación: 28/12/2024
    Fecha de última actualización: 03/03/2025
    En code-projects Online Car Rental System 1.0 se ha encontrado una vulnerabilidad clasificada como problemática. Afecta a una parte desconocida del archivo /index.php del componente GET Parameter Handler. La manipulación provoca cross site scripting. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects Online Bike Rental 1.0 (CVE-2025-0339)
    Severidad: MEDIA
    Fecha de publicación: 09/01/2025
    Fecha de última actualización: 03/03/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en code-projects Online Bike Rental 1.0. Se ve afectada una función desconocida del archivo /vehical-details.php del componente HTTP GET Request Handler. La manipulación conduce a cross site scripting. Es posible lanzar el ataque de forma remota.
  • Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-1170)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en code-projects Real Estate Property Management System 1.0. Se ve afectada una función desconocida del archivo /Admin/Category.php. La manipulación del argumento Desc conduce a Cross Site Scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en InDesign Desktop (CVE-2025-21121)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones ID20.0, ID19.5.1 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2025-21123)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones ID20.0, ID19.5.1 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2025-21124)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones ID20.0, ID19.5.1 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2025-21125)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones ID20.0, ID19.5.1 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desreferencia de puntero nulo que podría provocar una denegación de servicio de la aplicación. Un atacante podría aprovechar esta vulnerabilidad para bloquear la aplicación, lo que provocaría una condición de denegación de servicio. Para aprovechar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2025-21126)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones ID20.0, ID19.5.1 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de validación de entrada incorrecta que podría generar una condición de denegación de servicio de la aplicación. Un atacante podría aprovechar esta vulnerabilidad para provocar el bloqueo de la aplicación, lo que generaría una denegación de servicio. Para aprovechar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2025-21157)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones ID20.0, ID19.5.1 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2025-21158)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones ID20.0, ID19.5.1 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24428)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar secuencias de comandos maliciosas en los campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24429)
    Severidad: BAJA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar la omisión de una función de seguridad. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-24430)
    Severidad: BAJA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de condición de ejecución de tiempo de verificación y tiempo de uso (TOCTOU) que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta condición de ejecución para modificar una condición después de que se haya verificado pero antes de que se utilice, lo que podría eludir los mecanismos de seguridad. La explotación de este problema requiere la interacción del usuario.
  • Vulnerabilidad en Adobe CommerceAdobe Commerce (CVE-2025-24432)
    Severidad: BAJA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 03/03/2025
    Las versiones 2.4.7-beta1, 2.4.7-p3, 2.4.6-p8, 2.4.5-p10, 2.4.4-p11 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de condición de ejecución de tiempo de verificación y tiempo de uso (TOCTOU) que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta condición de ejecución para modificar una condición después de que se haya verificado pero antes de que se utilice, lo que podría eludir los mecanismos de seguridad. La explotación de este problema requiere la interacción del usuario.
  • Vulnerabilidad en code-projects Real Estate Property Management System 1.0 (CVE-2025-1576)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2025
    Fecha de última actualización: 03/03/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Real Estate Property Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /ajax_state.php. La manipulación del argumento StateName como parte de String provoca una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects Blood Bank System 1.0 (CVE-2025-1577)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2025
    Fecha de última actualización: 03/03/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en code-projects Blood Bank System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /prostatus.php. La manipulación del argumento message provoca cross site scripting. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.