Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Osclass 5.1.2 (CVE-2024-27515)
    Severidad: ALTA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 05/05/2025
    Osclass 5.1.2 es vulnerable a la inyección SQL.
  • Vulnerabilidad en PrestaShop (CVE-2024-25847)
    Severidad: CRÍTICA
    Fecha de publicación: 03/03/2024
    Fecha de última actualización: 05/05/2025
    Vulnerabilidad de inyección SQL en los módulos MyPrestaModules "Importación de catálogo de productos (CSV, Excel)" (simpleimportproduct) para las versiones de PrestaShop 6.5.0 y anteriores, permite a los atacantes escalar privilegios y obtener información confidencial a través de los métodos Send::__construct() e importProducts::_addDataToDb .
  • Vulnerabilidad en Student Enrollment In PHP v1.0 (CVE-2023-41503)
    Severidad: CRÍTICA
    Fecha de publicación: 07/03/2024
    Fecha de última actualización: 05/05/2025
    Se descubrió que Student Enrollment In PHP v1.0 contiene una vulnerabilidad de inyección SQL a través de la función de inicio de sesión.
  • Vulnerabilidad en Cleanpresta.com para PrestaShop (CVE-2024-25845)
    Severidad: CRÍTICA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/05/2025
    En el módulo "CD Custom Fields 4 Orders" (cdcustomfields4orders) <= 1.0.0 de Cleanpresta.com para PrestaShop, un invitado puede realizar inyección SQL en las versiones afectadas.
  • Vulnerabilidad en Team Ever para PrestaShop (CVE-2024-25848)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/05/2025
    En el módulo "Ever Ultimate SEO" (everpsseo) <= 8.1.2 de Team Ever para PrestaShop, un invitado puede realizar una inyección SQL en las versiones afectadas.
  • Vulnerabilidad en PrestaToolKit para PrestaShop (CVE-2024-25849)
    Severidad: CRÍTICA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/05/2025
    En el módulo "Hacer una oferta" (makeanoffer) <= 1.7.1 de PrestaToolKit para PrestaShop, un invitado puede realizar una inyección SQL a través de MakeOffers::checkUserExistingOffer()` y `MakeOffers::addUserOffer()`.
  • Vulnerabilidad en Fancy Product Designer de WordPress (CVE-2024-0365)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 05/05/2025
    El complemento Fancy Product Designer de WordPress anterior a 6.1.5 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que genera una inyección de SQL explotable por los administradores.
  • Vulnerabilidad en Horizon Business Services Inc. Caterease (CVE-2024-38882)
    Severidad: CRÍTICA
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 05/05/2025
    Un problema en Horizon Business Services Inc. Caterease 16.0.1.1663 hasta 24.0.1.2405 y posiblemente versiones posteriores, permite a un atacante remoto realizar la ejecución de línea de comando a través de inyección SQL debido a una neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo.
  • Vulnerabilidad en liujianview gymxmjpa 1.0 (CVE-2025-0405)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 05/05/2025
    Se encontró una vulnerabilidad en liujianview gymxmjpa 1.0 y se clasificó como crítica. Este problema afecta a la función GoodsDaoImpl del archivo src/main/java/com/liujian/gymxmjpa/controller/GoodsController.java. La manipulación del argumento goodsName conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en liujianview gymxmjpa 1.0 (CVE-2025-0406)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad en liujianview gymxmjpa 1.0. Se ha clasificado como crítica. La función SubjectDaoImpl del archivo src/main/java/com/liujian/gymxmjpa/controller/SubjectController.java está afectada. La manipulación del argumento subname provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en liujianview gymxmjpa 1.0 (CVE-2025-0407)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad en liujianview gymxmjpa 1.0. Se ha declarado como crítica. La función EquipmentDaoImpl del archivo src/main/java/com/liujian/gymxmjpa/controller/EquipmentController.java se ve afectada por esta vulnerabilidad. La manipulación del argumento hyname provoca una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en liujianview gymxmjpa 1.0 (CVE-2025-0408)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad en liujianview gymxmjpa 1.0. Se ha calificado como crítica. La función LoosDaoImpl del archivo src/main/java/com/liujian/gymxmjpa/controller/LoosController.java se ve afectada por este problema. La manipulación del argumento loosName provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en liujianview gymxmjpa 1.0 (CVE-2025-0409)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en liujianview gymxmjpa 1.0. Afecta a la función MembertypeDaoImpl del archivo src/main/java/com/liujian/gymxmjpa/controller/MembertypeController.java. La manipulación del argumento typeName provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en liujianview gymxmjpa 1.0 (CVE-2025-0410)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en liujianview gymxmjpa 1.0. Esta vulnerabilidad afecta a la función MenberDaoInpl del archivo src/main/java/com/liujian/gymxmjpa/controller/MenberConntroller.java. La manipulación del argumento hyname conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en Fanli2012 native-php-cms 1.0 (CVE-2025-0488)
    Severidad: MEDIA
    Fecha de publicación: 15/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en Fanli2012 native-php-cms 1.0. Afecta a una parte desconocida del archivo product_list.php. La manipulación del argumento cat provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Fanli2012 native-php-cms 1.0 (CVE-2025-0489)
    Severidad: MEDIA
    Fecha de publicación: 15/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en Fanli2012 native-php-cms 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /fladmin/friendlink_dodel.php. La manipulación del argumento id conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en Fanli2012 native-php-cms 1.0 (CVE-2025-0490)
    Severidad: MEDIA
    Fecha de publicación: 15/01/2025
    Fecha de última actualización: 05/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en Fanli2012 native-php-cms 1.0. Este problema afecta a algunos procesos desconocidos del archivo /fladmin/article_dodel.php. La manipulación del argumento id provoca una inyección SQL. El ataque puede iniciarse de forma remota. La vulnerabilidad se ha hecho pública y puede utilizarse.
  • Vulnerabilidad en WP Triggers Lite para WordPress (CVE-2024-13095)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 05/05/2025
    El complemento WP Triggers Lite para WordPress hasta la versión 2.5.3 no desinfecta ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL.
  • Vulnerabilidad en Product Labels For Woocommerce de WordPress (CVE-2024-10638)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 05/05/2025
    El complemento Product Labels For Woocommerce (Sale Badges) de WordPress anterior a la versión 1.5.11 no depura ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL.
  • Vulnerabilidad en ColdFusion (CVE-2025-30290)
    Severidad: ALTA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 05/05/2025
    Las versiones 2023.12, 2021.18, 2025.0 y anteriores de ColdFusion se ven afectadas por una vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido («Path Traversal»), que podría provocar la omisión de una función de seguridad. Un atacante podría explotar esta vulnerabilidad para acceder a archivos y directorios almacenados fuera del directorio restringido previsto. Para explotar este problema, se requiere la interacción del usuario.