Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Hospital Management System 1.0 (CVE-2022-46497)
Severidad: ALTA
Fecha de publicación: 07/03/2024
Fecha de última actualización: 28/03/2025
Se descubrió que Hospital Management System 1.0 contenía una vulnerabilidad de inyección SQL a través del parámetro pat_number en his_doc_view_single_patien.php.
Vulnerabilidad en Hospital Management System 1.0 (CVE-2022-46498)
Severidad: BAJA
Fecha de publicación: 07/03/2024
Fecha de última actualización: 28/03/2025
Se descubrió que Hospital Management System 1.0 contenía una vulnerabilidad de inyección SQL a través del parámetro doc_number en his_admin_view_single_employee.php.
Vulnerabilidad en Hospital Management System 1.0 (CVE-2022-46499)
Severidad: ALTA
Fecha de publicación: 07/03/2024
Fecha de última actualización: 28/03/2025
Se descubrió que Hospital Management System 1.0 contenía una vulnerabilidad de inyección SQL a través del parámetro pat_number en his_admin_view_single_patient.php.
Vulnerabilidad en Anchor CMS v0.12.7 (CVE-2024-29338)
Severidad: BAJA
Fecha de publicación: 22/03/2024
Fecha de última actualización: 28/03/2025
Se descubrió que Anchor CMS v0.12.7 contenía una Cross-Site Request Forgery (CSRF) a través de /anchor/admin/categories/delete/2.
Vulnerabilidad en Anchor CMS v0.12.7 (CVE-2024-29499)
Severidad: ALTA
Fecha de publicación: 22/03/2024
Fecha de última actualización: 28/03/2025
Se descubrió que Anchor CMS v0.12.7 contenía una Cross-Site Request Forgery (CSRF) a través de /anchor/admin/users/delete/2.
Vulnerabilidad en Microsoft Corporation (CVE-2024-43565)
Severidad: ALTA
Fecha de publicación: 08/10/2024
Fecha de última actualización: 28/03/2025
Vulnerabilidad de denegación de servicio de traducción de direcciones de red (NAT) de Windows
Vulnerabilidad en PHPGurukul Land Record System v1.0 (CVE-2024-57686)
Severidad: CRÍTICA
Fecha de publicación: 10/01/2025
Fecha de última actualización: 28/03/2025
Se encontró una vulnerabilidad de Cross Site Scripting (XSS) en /landrecordsys/admin/contactus.php en PHPGurukul Land Record System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro "pagetitle".
Vulnerabilidad en PHPGurukul Land Record System v1.0 (CVE-2024-57687)
Severidad: CRÍTICA
Fecha de publicación: 10/01/2025
Fecha de última actualización: 28/03/2025
Se encontró una vulnerabilidad de inyección de comandos del sistema operativo en /landrecordsys/admin/dashboard.php en PHPGurukul Land Record System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud GET "Cookie".
Vulnerabilidad en IBM Robotic Process Automation (CVE-2024-51456)
Severidad: MEDIA
Fecha de publicación: 12/01/2025
Fecha de última actualización: 28/03/2025
IBM Robotic Process Automation 21.0.0 a 21.0.7.19 y 23.0.0 a 23.0.19 podrían permitir que un atacante remoto obtenga datos confidenciales que pueden quedar expuestos a través de ciertos ataques criptoanalíticos.
Vulnerabilidad en CampCodes School Management Software 1.0 (CVE-2025-0625)
Severidad: BAJA
Fecha de publicación: 22/01/2025
Fecha de última actualización: 28/03/2025
CampCodes School Management Software 1.0 se ha detectado una vulnerabilidad clasificada como problemática. Afecta a una parte desconocida del componente Attachment Handler. La manipulación conduce a un control inadecuado de los identificadores de recursos. Es posible iniciar el ataque de forma remota. La complejidad del ataque es bastante alta. Se dice que la explotación es difícil. El exploit se ha hecho público y puede utilizarse.
Vulnerabilidad en Popup Maker Popup Maker (CVE-2025-24746)
Severidad: MEDIA
Fecha de publicación: 24/01/2025
Fecha de última actualización: 28/03/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Popup Maker Popup Maker permite XSS almacenado. Este problema afecta a Popup Maker: desde n/a hasta 1.20.2.
Vulnerabilidad en HPE Aruba Networking Fabric Composer (CVE-2025-23055)
Severidad: MEDIA
Fecha de publicación: 28/01/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad en la interfaz de administración web de HPE Aruba Networking Fabric Composer podría permitir que un atacante remoto autenticado realice un ataque Cross-Site Scripting (XSS) Almacenado. Si se aprovecha con éxito, un actor de amenazas podría ejecutar código script arbitrario en el navegador web de una víctima dentro del contexto de la interfaz comprometida.
Vulnerabilidad en HPE Aruba Networking Fabric Composer (CVE-2025-23056)
Severidad: MEDIA
Fecha de publicación: 28/01/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad en la interfaz de administración web de HPE Aruba Networking Fabric Composer podría permitir que un atacante remoto autenticado realice un ataque Cross-Site Scripting (XSS) Almacenado. Si se aprovecha con éxito, un actor de amenazas podría ejecutar código script arbitrario en el navegador web de una víctima dentro del contexto de la interfaz comprometida.
Vulnerabilidad en HPE Aruba Networking Fabric Composer (CVE-2025-23057)
Severidad: MEDIA
Fecha de publicación: 28/01/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad en la interfaz de administración web de HPE Aruba Networking Fabric Composer podría permitir que un atacante remoto autenticado realice un ataque Cross-Site Scripting (XSS) Almacenado. Si se aprovecha con éxito, un actor de amenazas podría ejecutar código script arbitrario en el navegador web de una víctima dentro del contexto de la interfaz comprometida.
Vulnerabilidad en Ninja Tables para WordPress (CVE-2024-12772)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 28/03/2025
El complemento Ninja Tables para WordPress anterior a la versión 5.0.17 no Desinfectar ni escapa un parámetro antes de mostrarlo nuevamente en la página al importar un CSV, lo que genera una vulnerabilidad Cross Site Scripting.
Vulnerabilidad en PHPGURUKUL Online Birth Certificate System v1.0 (CVE-2024-57175)
Severidad: MEDIA
Fecha de publicación: 03/02/2025
Fecha de última actualización: 28/03/2025
Se identificó una vulnerabilidad Cross-Site Scripting (XSS) Almacenado en PHPGURUKUL Online Birth Certificate System v1.0 a través del nombre de perfil en /user/certificate-form.php.
Vulnerabilidad en ClearPass Policy Manager (CVE-2025-23058)
Severidad: ALTA
Fecha de publicación: 04/02/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager permite que un atacante remoto autenticado con privilegios bajos (solo lectura) obtenga acceso no autorizado a los datos y la capacidad de ejecutar funciones que deberían estar restringidas a los administradores con privilegios de lectura y escritura únicamente. Una explotación exitosa podría permitir que un usuario con privilegios bajos ejecute funciones administrativas, lo que llevaría a una escalada de privilegios.
Vulnerabilidad en HPE Aruba Networking ClearPass Policy Manager (CVE-2025-23059)
Severidad: MEDIA
Fecha de publicación: 04/02/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad en la interfaz de administración basada en web de HPE Aruba Networking ClearPass Policy Manager expone directorios que contienen información confidencial. Si se explota con éxito, esta vulnerabilidad permite que un atacante remoto autenticado con privilegios elevados acceda y recupere datos confidenciales, lo que podría comprometer la integridad y la seguridad de todo sistema.
Vulnerabilidad en Tenda W18E V16.01.0.8(1625) (CVE-2024-46429)
Severidad: ALTA
Fecha de publicación: 10/02/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad de credenciales codificadas en Tenda W18E V16.01.0.8(1625) permite a atacantes remotos no autenticados acceder al portal de administración web utilizando una cuenta de invitado predeterminada con privilegios administrativos.
Vulnerabilidad en CampCodes School Management Software 1.0 (CVE-2025-1159)
Severidad: MEDIA
Fecha de publicación: 10/02/2025
Fecha de última actualización: 28/03/2025
Se ha encontrado una vulnerabilidad en CampCodes School Management Software 1.0. Se ha declarado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /academic-calendar. La manipulación conduce a cross site scripting. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-12599)
Severidad: ALTA
Fecha de publicación: 11/02/2025
Fecha de última actualización: 28/03/2025
El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del widget Countdown del complemento en todas las versiones hasta la 2.8.1 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en Progress® Telerik® UI (CVE-2024-12251)
Severidad: ALTA
Fecha de publicación: 12/02/2025
Fecha de última actualización: 28/03/2025
En las versiones de Progress® Telerik® UI para WinUI anteriores a 2025 Q1 (3.0.0), es posible un ataque de inyección de comandos a través de la neutralización incorrecta de elementos de hipervínculo.
Vulnerabilidad en PHPGurukul Land Record System v1.0 (CVE-2025-25387)
Severidad: ALTA
Fecha de publicación: 13/02/2025
Fecha de última actualización: 28/03/2025
Se encontró una vulnerabilidad de inyección SQL en /admin/manage-propertytype.php en PHPGurukul Land Record System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST propertytype.
Vulnerabilidad en PHPGurukul Land Record System v1.0 (CVE-2025-25388)
Severidad: CRÍTICA
Fecha de publicación: 13/02/2025
Fecha de última actualización: 28/03/2025
Se encontró una vulnerabilidad de inyección SQL en /admin/edit-propertytype.php en PHPGurukul Land Record System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud GET editid.
Vulnerabilidad en Phpgurukul Land Record System v1.0 (CVE-2025-25389)
Severidad: CRÍTICA
Fecha de publicación: 13/02/2025
Fecha de última actualización: 28/03/2025
Se encontró una vulnerabilidad de inyección SQL en /admin/forgot-password.php en Phpgurukul Land Record System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST contactno.
Vulnerabilidad en Firefox (CVE-2025-1414)
Severidad: MEDIA
Fecha de publicación: 18/02/2025
Fecha de última actualización: 28/03/2025
Los errores de seguridad de la memoria presentes en Firefox 135. Algunos de estos errores mostraron evidencia de corrupción de la memoria y suponemos que con suficiente esfuerzo, algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox <135.0.1.
Vulnerabilidad en MRCMS v3.1.2 (CVE-2025-25765)
Severidad: MEDIA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
Se descubrió que MRCMS v3.1.2 contenía una vulnerabilidad de escritura de archivos arbitrarios a través del componente /file/save.do.
Vulnerabilidad en MRCMS v3.1.2 (CVE-2025-25766)
Severidad: MEDIA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad de carga de archivos arbitrarios en el componente /file/savefile.do de MRCMS v3.1.2 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo .jsp manipulado específicamente.
Vulnerabilidad en ITSourcecode Simple ChatBox (CVE-2025-25875)
Severidad: MEDIA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
Se ha detectado una vulnerabilidad en ITSourcecode Simple ChatBox hasta la versión 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /message.php. El ataque puede utilizar la inyección SQL para obtener datos confidenciales.
Vulnerabilidad en ITSourcecode Simple ChatBox (CVE-2025-25876)
Severidad: ALTA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
Se ha detectado una vulnerabilidad en ITSourcecode Simple ChatBox hasta la versión 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /delete.php. El ataque puede utilizar la inyección SQL para obtener datos confidenciales.
Vulnerabilidad en Wangmarket (CVE-2025-25769)
Severidad: ALTA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
Se descubrió que Wangmarket v4.10 a v5.0 contenía un Cross-Site Request Forgery (CSRF) a través del componente /controller/UserController.java.
Vulnerabilidad en Wangmarket (CVE-2025-25770)
Severidad: MEDIA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
Se descubrió que Wangmarket v4.10 a v5.0 contenía un Cross-Site Request Forgery (CSRF) a través del componente /agency/AgencyUserController.java.
Vulnerabilidad en vyper (CVE-2025-26622)
Severidad: BAJA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
vyper es un lenguaje de contrato inteligente Pythonic para EVM. La función incorporada `sqrt()` de Vyper utiliza el método babilónico para calcular raíces cuadradas de decimales. Lamentablemente, la gestión inadecuada de los estados finales oscilantes puede provocar que sqrt devuelva incorrectamente resultados redondeados. Este problema se está solucionando y se espera una solución en la versión 0.4.1. Se recomienda a los usuarios que actualicen la versión tan pronto como esté disponible la versión parcheada. No se conocen workarounds para esta vulnerabilidad.
Vulnerabilidad en vyper (CVE-2025-27104)
Severidad: BAJA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
vyper es un lenguaje de contrato inteligente Pythonic para EVM. Es posible la evaluación múltiple de una sola expresión en el destino del iterador de un bucle for. Si bien la expresión del iterador no puede producir múltiples escrituras, puede consumir efectos secundarios producidos en el cuerpo del bucle (por ejemplo, leer una variable de almacenamiento actualizada en el cuerpo del bucle) y, por lo tanto, provocar un comportamiento inesperado del programa. Específicamente, las lecturas en iteradores que contienen una ifexp (por ejemplo, `for s: uint256 in ([read(), read()] if True else [])`) pueden intercalar lecturas con escrituras en el cuerpo del bucle. Los bucles for de Vyper permiten dos tipos de destinos de iterador, a saber, el `range()` incorporado y un tipo iterable, como SArray y DArray. Durante la generación de código, se requiere que las listas iterables no produzcan ningún efecto secundario (en el siguiente código, `range_scope` obliga a que `iter_list` se analice en un contexto constante, que se verifica con `is_constant`). Sin embargo, esto no evita que el iterador consuma los efectos secundarios proporcionados por el cuerpo del bucle. Por otro lado, para los SArrays, `iter_list` se instancia en el cuerpo de un iterador `repeat`, por lo que se puede evaluar varias veces. Este problema se está solucionando y se espera que esté disponible en la versión 0.4.1. Se recomienda a los usuarios que actualicen tan pronto como esté disponible la versión parcheada. No se conocen workarounds para esta vulnerabilidad.
Vulnerabilidad en vyper (CVE-2025-27105)
Severidad: BAJA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 28/03/2025
vyper es un lenguaje de contrato inteligente Pythonic para EVM. Vyper gestiona las instrucciones AugAssign almacenando primero en caché la ubicación de destino para evitar una doble evaluación. Sin embargo, en el caso en que el destino sea un acceso a un DynArray y el rhs modifique la matriz, el destino almacenado en caché se evaluará primero y la verificación de límites no se volverá a evaluar durante la parte de escritura de la instrucción. Este problema se ha solucionado en la versión 0.4.1 y se recomienda a todos los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.
Vulnerabilidad en PHPGurukul Land Record System Project en PHP v1.0 (CVE-2025-25462)
Severidad: MEDIA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 28/03/2025
Se encontró una vulnerabilidad de inyección SQL en /admin/add-propertytype.php en PHPGurukul Land Record System Project en PHP v1.0 que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST propertytype.
Vulnerabilidad en Firefox (CVE-2025-1941)
Severidad: CRÍTICA
Fecha de publicación: 04/03/2025
Fecha de última actualización: 28/03/2025
En determinadas circunstancias, se podría haber omitido una configuración de usuario que indicaba que Focus debía requerir autenticación antes de su uso (distinto de CVE-2025-0245). Esta vulnerabilidad afecta a Firefox < 136.
Vulnerabilidad en Firefox y Thunderbird (CVE-2025-1942)
Severidad: CRÍTICA
Fecha de publicación: 04/03/2025
Fecha de última actualización: 28/03/2025
Cuando String.toUpperCase() hacía que una cadena se hiciera más larga, era posible que la memoria no inicializada se incorporara a la cadena de resultado. Esta vulnerabilidad afecta a Firefox < 136 y Thunderbird < 136.
Vulnerabilidad en Firefox (CVE-2025-27424)
Severidad: MEDIA
Fecha de publicación: 04/03/2025
Fecha de última actualización: 28/03/2025
Los sitios web que redireccionan a una URL con un esquema que no sea HTTP podrían permitir que la dirección de un sitio web se falsifique para una página maliciosa. Esta vulnerabilidad afecta a Firefox para iOS < 136.
Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-1932)
Severidad: ALTA
Fecha de publicación: 04/03/2025
Fecha de última actualización: 28/03/2025
Un comparador incoherente en xslt/txNodeSorter podría haber dado lugar a un acceso fuera de los límites potencialmente explotable. Solo afecta a la versión 122 y posteriores. Esta vulnerabilidad afecta a Firefox < 136, Firefox ESR < 128.8, Thunderbird < 136 y Thunderbird < 128.8.
Vulnerabilidad en PHPGurukul User Registration & Login and User Management System V3.3 (CVE-2025-28015)
Severidad: MEDIA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 28/03/2025
Se encontró una vulnerabilidad de inyección HTML en loginsystem/edit-profile.php de PHPGurukul User Registration & Login and User Management System V3.3. Esta vulnerabilidad permite a atacantes remotos ejecutar código HTML arbitrario mediante los parámetros fname, lname y contact.
Vulnerabilidad en DataEase (CVE-2025-27103)
Severidad: ALTA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 28/03/2025
DataEase es una herramienta de código abierto de inteligencia empresarial y visualización de datos. Antes de la versión 2.10.6, una omisión del parche para CVE-2024-55953 permitía a los usuarios autenticados leer y deserializar archivos arbitrarios mediante la conexión JDBC en segundo plano. La vulnerabilidad se ha corregido en la versión 2.10.6. No se conocen workarounds.
Vulnerabilidad en PHPGurukul User Registration & Login and User Management System v3.3 (CVE-2025-28011)
Severidad: MEDIA
Fecha de publicación: 13/03/2025
Fecha de última actualización: 28/03/2025
Se encontró una inyección SQL en loginsystem/change-password.php en PHPGurukul User Registration & Login and User Management System v3.3 que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST currentpassword.
Vulnerabilidad en School Management System – WPSchoolPress para WordPress (CVE-2025-1668)
Severidad: MEDIA
Fecha de publicación: 15/03/2025
Fecha de última actualización: 28/03/2025
El complemento School Management System – WPSchoolPress para WordPress, es vulnerable a la eliminación arbitraria de usuarios debido a la falta de una comprobación de capacidad en la función wpsp_DeleteUser() en todas las versiones hasta la 2.2.16 incluida. Esto permite que atacantes autenticados, con acceso de profesor o superior, eliminen cuentas de usuario arbitrarias.
Vulnerabilidad en School Management System – WPSchoolPress para WordPress (CVE-2025-1669)
Severidad: MEDIA
Fecha de publicación: 15/03/2025
Fecha de última actualización: 28/03/2025
El complemento School Management System – WPSchoolPress para WordPress, es vulnerable a la inyección SQL mediante la acción "addNotify" en todas las versiones hasta la 2.2.16 incluida, debido a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de profesor o superior, añadir consultas SQL adicionales a las consultas existentes, que pueden utilizarse para extraer información confidencial de la base de datos.
Vulnerabilidad en School Management System – WPSchoolPress para WordPress (CVE-2025-1670)
Severidad: MEDIA
Fecha de publicación: 15/03/2025
Fecha de última actualización: 28/03/2025
El complemento School Management System – WPSchoolPress para WordPress, es vulnerable a la inyección SQL mediante el parámetro 'cid' en todas las versiones hasta la 2.2.16 incluida, debido a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de nivel personalizado o superior, añadir consultas SQL adicionales a las consultas existentes, que pueden utilizarse para extraer información confidencial de la base de datos.
Vulnerabilidad en Zoorum Comments para WordPress (CVE-2025-2163)
Severidad: MEDIA
Fecha de publicación: 15/03/2025
Fecha de última actualización: 28/03/2025
El complemento Zoorum Comments para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 0.9 incluida. Esto se debe a la falta o a una validación incorrecta de nonce en la función zoorum_set_options(). Esto permite que atacantes no autenticados actualicen la configuración e inyecten scripts web maliciosos mediante una solicitud falsificada, ya que pueden engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
Vulnerabilidad en Code-projects Online Class and Exam Scheduling System V1.0 (CVE-2025-29427)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 28/03/2025
Code-projects Online Class and Exam Scheduling System V1.0 es vulnerable a cross site scripting (XSS) en profile.php a través de los parámetros member_first y member_last.
Vulnerabilidad en Mart Developers iBanking v2.0.0 (CVE-2025-29411)
Severidad: CRÍTICA
Fecha de publicación: 20/03/2025
Fecha de última actualización: 28/03/2025
Una vulnerabilidad de carga de archivos arbitrarios en la sección actualización de perfil de cliente de Mart Developers iBanking v2.0.0 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo PHP manipulado.
Vulnerabilidad en D-Link DSL-3788 revA1 1.01R1B036_EU_EN (CVE-2024-57440)
Severidad: ALTA
Fecha de publicación: 20/03/2025
Fecha de última actualización: 28/03/2025
D-Link DSL-3788 revA1 1.01R1B036_EU_EN es vulnerable a un desbordamiento de búfer a través de la función COMM_MAKECustomMsg del cgi del procedimiento web.
Vulnerabilidad en Tenda AC6 V15.03.05.16 (CVE-2025-29121)
Severidad: ALTA
Fecha de publicación: 20/03/2025
Fecha de última actualización: 28/03/2025
Se detectó una vulnerabilidad en Tenda AC6 V15.03.05.16. Esta vulnerabilidad afecta la funcionalidad del archivo /goform/fast_setting_wifi_set. El uso del parámetro timeZone provoca un desbordamiento del búfer en la pila.
Vulnerabilidad en JIZHICMS (CVE-2025-2639)
Severidad: MEDIA
Fecha de publicación: 23/03/2025
Fecha de última actualización: 28/03/2025
Se ha detectado una vulnerabilidad en JIZHICMS hasta la versión 1.7.0, clasificada como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /user/release.html del componente Article Handler. La manipulación provoca una autorización indebida. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.