Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Impresora HP Deskjet serie 2540 (CVE-2022-48311)
    Severidad: CRÍTICA
    Fecha de publicación: 06/02/2023
    Fecha de última actualización: 26/03/2025
    **NO COMPATIBLE CUANDO SE ASIGNÓ ** Cross Site Scripting (XSS) en la impresora HP Deskjet serie 2540, versión de firmware CEP1FN1418BR y número de modelo de producto A9U23B, permite a un atacante autenticado inyectar su propio script en la página a través de la página de configuración HTTP. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante.
  • Vulnerabilidad en kernel de Linux (CVE-2023-52461)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2024
    Fecha de última actualización: 26/03/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/sched: corrige los límites que limitan cuando se proporciona una entidad con formato incorrecto. Si se nos proporciona una entidad con formato incorrecto en drm_sched_entity_init(), no debería suceder, pero lo verificamos, sin valor de prioridad de los límites, lo configuramos en un valor permitido. Fije la expresión que establece este límite.
  • Vulnerabilidad en Flusity-CMS v2.33 (CVE-2024-27680)
    Severidad: MEDIA
    Fecha de publicación: 04/03/2024
    Fecha de última actualización: 26/03/2025
    Flusity-CMS v2.33 es vulnerable a Cross Site Scripting (XSS) en el "formulario de contacto".
  • Vulnerabilidad en Netty (CVE-2025-25193)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2025
    Fecha de última actualización: 26/03/2025
    Netty, un framework de aplicación de red asincrónico y controlado por eventos, tiene una vulnerabilidad en las versiones hasta la 4.1.118.Final incluida. Una lectura no segura del archivo de entorno podría causar una denegación de servicio en Netty. Cuando se carga en una aplicación de Windows, Netty intenta cargar un archivo que no existe. Si un atacante crea un archivo tan grande, la aplicación Netty se bloquea. Anteriormente se informó de un problema similar como CVE-2024-47535. Este problema se solucionó, pero la solución estaba incompleta porque los bytes nulos no se contabilizaban en el límite de entrada. El commit d1fbda62d3a47835d3fb35db8bd42ecc205a5386 contiene una solución actualizada.
  • Vulnerabilidad en SourceCodester Employee and Visitor Gate Pass Logging System 1.0 (CVE-2025-2652)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2025
    Fecha de última actualización: 26/03/2025
    Se ha detectado una vulnerabilidad en SourceCodester Employee and Visitor Gate Pass Logging System 1.0, clasificada como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida. La manipulación expone información a través de listados de directorios. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se recomienda cambiar la configuración. Varios subdirectorios están afectados.
  • Vulnerabilidad en nossrf (CVE-2025-2691)
    Severidad: ALTA
    Fecha de publicación: 23/03/2025
    Fecha de última actualización: 26/03/2025
    Las versiones del paquete nossrf anteriores a 1.0.4 son vulnerables a Server-Side Request Forgery (SSRF), donde un atacante puede proporcionar un nombre de host que se resuelve en un espacio de dirección IP local o reservado y eludir el mecanismo de protección SSRF.
  • Vulnerabilidad en SourceCodester AC Repair and Services System 1.0 (CVE-2025-2654)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2025
    Fecha de última actualización: 26/03/2025
    Se encontró una vulnerabilidad en SourceCodester AC Repair and Services System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/services/manage_service.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-29806)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2025
    Fecha de última actualización: 26/03/2025
    No hay solución para este problema en Microsoft Edge (basado en Chromium) que permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Apache Commons VFS (CVE-2025-27553)
    Severidad: ALTA
    Fecha de publicación: 23/03/2025
    Fecha de última actualización: 26/03/2025
    Vulnerabilidad de Path Traversal relativo en Apache Commons VFS anterior a la versión 2.10.0. La API FileObject de Commons VFS incluye un método "resolveFile" que utiliza el parámetro "scope". Especificar "NameScope.DESCENDENT" implica que se lanzará una excepción si el archivo resuelto no es descendiente del archivo base. Sin embargo, si la ruta contiene caracteres ".." codificados (por ejemplo, "%2E%2E/bar.txt"), podría devolver objetos de archivo que no son descendientes del archivo base, sin lanzar una excepción. Este problema afecta a Apache Commons VFS anterior a la versión 2.10.0. Se recomienda actualizar a la versión 2.10.0, que soluciona el problema.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-2672)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2025
    Fecha de última actualización: 26/03/2025
    Se encontró una vulnerabilidad en code-projects Payroll Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /add_deductions.php. La manipulación del argumento bir provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-2673)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en code-projects Payroll Management System 1.0. Se ve afectada una función desconocida del archivo /home_employee.php. La manipulación de la división de argumentos provoca ataques de cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2674)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se encontró una vulnerabilidad crítica en PHPGurukul Bank Locker Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /aboutus.php. La manipulación del argumento pagetitle provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2675)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en PHPGurukul Bank Locker Management System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /add-lockertype.php. La manipulación del argumento lockerprice provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2676)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Bank Locker Management System 1.0. Esta afecta a una parte desconocida del archivo /add-subadmin.php. La manipulación del argumento sadminusername provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2677)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Bank Locker Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /changeidproof.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2678)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se encontró una vulnerabilidad en PHPGurukul Bank Locker Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /changeimage1.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2679)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se encontró una vulnerabilidad en PHPGurukul Bank Locker Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /contact-us.php. La manipulación del argumento pagetitle provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2680)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 26/03/2025
    Se encontró una vulnerabilidad en PHPGurukul Bank Locker Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /edit-assign-locker.php?ltid=1. La manipulación del argumento "mobilenumber" provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.