Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Oracle Solaris (CVE-2022-43752)
    Severidad: ALTA
    Fecha de publicación: 31/10/2022
    Fecha de última actualización: 06/05/2025
    ** NO COMPATIBLE CUANDO ESTÁ ASIGNADO ** Oracle Solaris versión 10 1/13, cuando se utiliza Common Desktop Environment (CDE), es vulnerable a una vulnerabilidad de escalada de privilegios. Un usuario con pocos privilegios puede escalar a root creando una impresora maliciosa y haciendo doble clic en el ícono de la impresora creada.
  • Vulnerabilidad en Jenkins HTML Publisher (CVE-2024-28149)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 06/05/2025
    El complemento Jenkins HTML Publisher 1.16 a 1.32 (ambos inclusive) no sanitizada adecuadamente la entrada, lo que permite a los atacantes con permiso Elemento/Configurar implementar ataques de Cross-Site Scripting (XSS) y determinar si existe una ruta en el sistema de archivos del controlador Jenkins.
  • Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28150)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 06/05/2025
    Jenkins HTML Publisher Plugin 1.32 y versiones anteriores no escapan a los nombres de trabajos, nombres de informes y títulos de páginas de índice que se muestran como parte del frame del informe, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas que pueden explotar los atacantes con permiso Item/Configure.
  • Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2024-28151)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 06/05/2025
    Jenkins HTML Publisher Plugin 1.32 y versiones anteriores archiva enlaces simbólicos no válidos en directorios de informes de agentes y los recrea en el controlador, lo que permite a los atacantes con permiso Item/Configure determinar si existe una ruta en el sistema de archivos del controlador Jenkins, sin poder acceder a ella.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-22061)
    Severidad: CRÍTICA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de desbordamiento de montón en el componente WLInfoRailService de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto no autenticado ejecutar comandos arbitrarios
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-23529)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de lectura fuera de los límites en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3, en ciertas condiciones, puede permitir que un atacante remoto no autenticado lea información confidencial en la memoria.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-23530)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de lectura fuera de los límites en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3, en ciertas condiciones, puede permitir que un atacante remoto no autenticado lea información confidencial en la memoria.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-23531)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de desbordamiento de enteros en el componente WLInfoRailService de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto no autenticado realizar ataques de denegación de servicio. En determinadas condiciones raras, esto también podría llevar a leer contenido de la memoria.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-23532)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de lectura fuera de los límites en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado realizar ataques de denegación de servicio. En determinadas condiciones, esto también podría conducir a la ejecución remota de código.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-23533)
    Severidad: MEDIA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de lectura fuera de los límites en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3, en ciertas condiciones, puede permitir que un atacante remoto autenticado lea información confidencial en la memoria.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-23534)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de carga de archivos sin restricciones en el componente web de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado ejecutar comandos arbitrarios como SYSTEM.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-24993)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de condición de ejecución (TOCTOU) en el componente web de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado ejecutar comandos arbitrarios como SYSTEM.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-24995)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de condición de ejecución (TOCTOU) en el componente web de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado ejecutar comandos arbitrarios como SYSTEM.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-24996)
    Severidad: CRÍTICA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de desbordamiento de montón en el componente WLInfoRailService de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto no autenticado ejecutar comandos arbitrarios.
  • Vulnerabilidad en opennurbs.dll y atf_api.dll (CVE-2024-23140)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo 3DM y MODEL creado con fines malintencionados, cuando se analiza en opennurbs.dll y atf_api.dll mediante aplicaciones de Autodesk, puede forzar una lectura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en libodxdll (CVE-2024-23141)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo MODEL creado con fines malintencionados, cuando se analiza en libodxdll a través de aplicaciones de Autodesk, puede provocar una doble liberación. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el proceso actual.
  • Vulnerabilidad en atf_dwg_consumer.dll, rose_x64_vc15.dll y libodxdll (CVE-2024-23142)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo CATPART, STP y MODEL creado con fines malintencionados, cuando se analiza en atf_dwg_consumer.dll, rose_x64_vc15.dll y libodxdll a través de aplicaciones de Autodesk, puede provocar una vulnerabilidad de use-after-free. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el proceso actual.
  • Vulnerabilidad en ASMkern229A.dll y ASMBASE229A.dll (CVE-2024-23143)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo 3DM, MODEL y X_B creado con fines malintencionados, cuando se analiza en ASMkern229A.dll y ASMBASE229A.dll a través de aplicaciones de Autodesk, puede forzar una lectura fuera de los límites y/o una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en CC5Dll.dll y ASMBASE228A.dll (CVE-2024-23144)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo CATPART creado con fines malintencionados, cuando se analiza en CC5Dll.dll y ASMBASE228A.dll mediante aplicaciones de Autodesk, puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en opennurbs.dll (CVE-2024-23145)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo PRT creado con fines malintencionados, cuando se analiza en opennurbs.dll a través de aplicaciones de Autodesk, puede forzar una lectura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en pskernel.DLL (CVE-2024-23146)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo X_B y X_T creado con fines malintencionados, cuando se analiza en pskernel.DLL a través de aplicaciones de Autodesk, puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en ASMKERN228A.dll y ASMKERN229A.dll (CVE-2024-23147)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un CATPART, X_B y STEP creados con fines malintencionados, cuando se analizan en ASMKERN228A.dll y ASMKERN229A.dll a través de aplicaciones de Autodesk, pueden provocar una vulnerabilidad de corrupción de memoria por infracción de acceso de escritura. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el contexto del proceso actual.
  • Vulnerabilidad en CC5Dll.dll (CVE-2024-23148)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo CATPRODUCT creado con fines malintencionados, cuando se analiza en CC5Dll.dll a través de aplicaciones de Autodesk, puede provocar una vulnerabilidad de corrupción de memoria por infracción de acceso de escritura. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el contexto del proceso actual.
  • Vulnerabilidad en ODXSW_DLL.dll (CVE-2024-23149)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo SLDDRW creado con fines malintencionados, cuando se analiza en ODXSW_DLL.dll a través de aplicaciones de Autodesk, puede forzar una lectura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en pskernel.DLL (CVE-2024-37000)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo X_B creado con fines malintencionados, cuando se analiza en pskernel.DLL a través de aplicaciones de Autodesk, puede provocar una vulnerabilidad de corrupción de memoria por infracción de acceso de escritura. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el contexto del proceso actual.
  • Vulnerabilidad en opennurbs.dll (CVE-2024-37001)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    [Un archivo 3DM creado con fines malintencionados, cuando se analiza en opennurbs.dll a través de aplicaciones de Autodesk, se puede utilizar para provocar un desbordamiento basado en montón. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en ASMkern229A.dll (CVE-2024-37002)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo MODEL creado con fines malintencionados, cuando se analiza en ASMkern229A.dll a través de aplicaciones de Autodesk, se puede utilizar para variables no inicializadas. Esta vulnerabilidad, junto con otras vulnerabilidades, podría provocar la ejecución de código en el proceso actual.
  • Vulnerabilidad en odxug_dll.dll (CVE-2024-23150)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo PRT creado con fines malintencionados, cuando se analiza en odxug_dll.dll a través de aplicaciones de Autodesk, puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en ASMkern229A.dll (CVE-2024-23151)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo 3DM creado con fines malintencionados, cuando se analiza en ASMkern229A.dll a través de aplicaciones de Autodesk, puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en opennurbs.dll (CVE-2024-23152)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo 3DM creado con fines malintencionados, cuando se analiza en opennurbs.dll a través de aplicaciones de Autodesk, puede forzar una lectura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en libodx.dll (CVE-2024-23153)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo MODEL creado con fines malintencionados, cuando se analiza en libodx.dll a través de aplicaciones de Autodesk, puede forzar una lectura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en ODXSW_DLL.dll (CVE-2024-23154)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo SLDPRT creado con fines malintencionados, cuando se analiza en ODXSW_DLL.dll a través de aplicaciones de Autodesk, se puede utilizar para provocar un desbordamiento basado en montón. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en atf_asm_interface.dll (CVE-2024-23155)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo MODEL creado con fines malintencionados, cuando se analiza en atf_asm_interface.dll a través de aplicaciones de Autodesk, se puede utilizar para provocar un desbordamiento de búfer basado en montón. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en opennurbs.dll y ASMkern229A.dll (CVE-2024-23156)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo 3DM creado con fines malintencionados, cuando se analiza en opennurbs.dll y ASMkern229A.dll a través de aplicaciones de Autodesk, puede provocar una vulnerabilidad de corrupción de memoria por infracción de acceso de escritura. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el proceso actual.
  • Vulnerabilidad en ODXSW_DLL.dll (CVE-2024-23157)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo SLDASM o SLDPRT creado con fines malintencionados, cuando se analiza en ODXSW_DLL.dll a través de aplicaciones de Autodesk, puede provocar una vulnerabilidad de corrupción de memoria por infracción de acceso de escritura. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el proceso actual.
  • Vulnerabilidad en ASMImport229A.dll (CVE-2024-23158)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo IGES creado con fines malintencionados, cuando se analiza en ASMImport229A.dll a través de aplicaciones de Autodesk, puede usarse para provocar una vulnerabilidad de use-after-free. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en stp_aim_x64_vc15d.dll (CVE-2024-23159)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo STP creado con fines malintencionados, cuando se analiza en stp_aim_x64_vc15d.dll a través de aplicaciones de Autodesk, se puede utilizar para variables no inicializadas. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el proceso actual.
  • Vulnerabilidad en opennurbs.dll (CVE-2024-36999)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo 3DM creado con fines malintencionados, cuando se analiza en opennurbs.dll a través de aplicaciones de Autodesk, puede forzar una escritura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, escribir datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en opennurbs.dll y ODXSW_DLL.dll (CVE-2024-37003)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo DWG y SLDPRT creado con fines malintencionados, cuando se analiza en opennurbs.dll y ODXSW_DLL.dll a través de aplicaciones de Autodesk, se puede utilizar para provocar un desbordamiento basado en pila. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en ASMKERN229A.dll (CVE-2024-37004)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo SLDPRT creado con fines malintencionados, cuando se analiza en ASMKERN229A.dll a través de aplicaciones de Autodesk, puede provocar una vulnerabilidad de use-after-free. Esta vulnerabilidad, junto con otras vulnerabilidades, podría provocar la ejecución de código en el proceso actual.
  • Vulnerabilidad en pskernel.DLL (CVE-2024-37005)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo X_B y X_T creado con fines malintencionados, cuando se analiza en pskernel.DLL a través de aplicaciones de Autodesk, puede forzar una lectura fuera de los límites. Un actor malintencionado puede aprovechar esta vulnerabilidad para provocar un bloqueo, leer datos confidenciales o ejecutar código arbitrario en el contexto del proceso actual.
  • Vulnerabilidad en CATPRODUCT (CVE-2024-37006)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 06/05/2025
    Un archivo CATPRODUCT creado con fines malintencionados, cuando se analiza en CC5Dll.dll a través de aplicaciones de Autodesk, puede provocar una vulnerabilidad de corrupción de memoria por infracción de acceso de escritura. Esta vulnerabilidad, junto con otras vulnerabilidades, puede provocar la ejecución de código en el contexto del proceso actual.
  • Vulnerabilidad en Best courier management system in php v.1.0 (CVE-2024-48581)
    Severidad: CRÍTICA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 06/05/2025
    La vulnerabilidad de carga de archivos en Best courier management system in php v.1.0 permite a un atacante remoto ejecutar código arbitrario a través del componente admin_class.php.
  • Vulnerabilidad en Prison Management System v.1.0 (CVE-2024-48594)
    Severidad: ALTA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 06/05/2025
    La vulnerabilidad de carga de archivos en Prison Management System v.1.0 permite a un atacante remoto ejecutar código arbitrario a través del componente de carga de archivos.
  • Vulnerabilidad en Eladmin v2.7 (CVE-2024-51243)
    Severidad: ALTA
    Fecha de publicación: 30/10/2024
    Fecha de última actualización: 06/05/2025
    Eladmin v2.7 y anteriores contienen una vulnerabilidad de ejecución remota de código (RCE) que puede controlar todos los servidores de implementación de aplicaciones de este sistema de administración a través de DeployController.java.
  • Vulnerabilidad en Projectworlds Online Admission System v1 (CVE-2024-51060)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 06/05/2025
    Projectworlds Online Admission System v1 es vulnerable a la inyección SQL en index.php a través del parámetro 'a_id'.
  • Vulnerabilidad en Quiz and Survey Master de WordPress (CVE-2024-10679)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    El complemento Quiz and Survey Master (QSM) de WordPress anterior a la versión 9.2.1 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en Smart Maintenance Mode de WordPress (CVE-2024-12682)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    El complemento Smart Maintenance Mode de WordPress anterior a la versión 1.5.2 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en IP Based Login de WordPress (CVE-2024-13118)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    El complemento IP Based Login de WordPress anterior a la versión 2.4.1 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios conectados eliminen todos los registros mediante un ataque CSRF.
  • Vulnerabilidad en Favorites de WordPress (CVE-2025-1452)
    Severidad: BAJA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    El complemento Favorites de WordPress anterior a la versión 2.3.5 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en PHPGurukul Old Age Home Management System 1.0 (CVE-2025-2737)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Old Age Home Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/contactus.php. La manipulación del argumento pagetitle provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Old Age Home Management System 1.0 (CVE-2025-2738)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Old Age Home Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/manage-scdetails.php. La manipulación del argumento namesc provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Old Age Home Management System 1.0 (CVE-2025-2739)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Old Age Home Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/manage-services.php. La manipulación del argumento sertitle provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en CryptoLib (CVE-2025-30216)
    Severidad: CRÍTICA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    CryptoLib ofrece una solución exclusivamente de software que utiliza el Protocolo de Seguridad de Enlace de Datos Espaciales CCSDS - Procedimientos Extendidos (SDLS-EP) para proteger las comunicaciones entre una nave espacial que ejecuta el Sistema de Vuelo (cFS) y una estación terrestre. En las versiones 1.3.3 y anteriores, se produce una vulnerabilidad de desbordamiento de pila en la función `Crypto_TM_ProcessSecurity` (`crypto_tm.c:1735:8`). Al procesar la longitud de la cabecera secundaria de un paquete del protocolo TM, si esta supera la longitud total del paquete, se produce un desbordamiento de pila durante la operación memcpy, que copia los datos del paquete en el búfer asignado dinámicamente `p_new_dec_frame`. Esto permite a un atacante sobrescribir la memoria de pila adyacente, lo que podría provocar la ejecución de código arbitrario o la inestabilidad del sistema. Hay un parche disponible en el commit 810fd66d592c883125272fef123c3240db2f170f.
  • Vulnerabilidad en OpenEMR (CVE-2025-29789)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 06/05/2025
    OpenEMR es una aplicación gratuita y de código abierto para la gestión de historiales médicos electrónicos y consultas médicas. Las versiones anteriores a la 7.3.0 presentan vulnerabilidades de Directory Traversal en la función de carga de código. La versión 7.3.0 incluye un parche para solucionar este problema.
  • Vulnerabilidad en Smart Maintenance Mode de WordPress (CVE-2024-12683)
    Severidad: BAJA
    Fecha de publicación: 26/03/2025
    Fecha de última actualización: 06/05/2025
    El complemento Smart Maintenance Mode de WordPress anterior a la versión 1.5.2 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en elunez eladmin (CVE-2025-2855)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2025
    Fecha de última actualización: 06/05/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en elunez eladmin hasta la versión 2.7. Este problema afecta a la función checkFile del archivo /api/deploy/upload. La manipulación de los servidores de argumentos provoca la deserialización. El ataque puede ejecutarse remotamente.
  • Vulnerabilidad en Commvault Command Center Innovation Release (CVE-2025-34028)
    Severidad: CRÍTICA
    Fecha de publicación: 22/04/2025
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de path traversal en Commvault Command Center Innovation Release permite que un agente no autenticado cargue archivos ZIP que, al ser expandidos por el servidor objetivo, provocan la ejecución remota de código. Este problema afecta a Command Center Innovation Release: 11.38.
  • Vulnerabilidad en TOTOLINK A800R (CVE-2025-28017)
    Severidad: MEDIA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    TOTOLINK A800R V4.1.2cu.5032_B20200408 es vulnerable a la inyección de comandos en downloadFile.cgi a través del parámetro QUERY_STRING.
  • Vulnerabilidad en TOTOLINK A800R (CVE-2025-28018)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    Se descubrió que TOTOLINK A800R V4.1.2cu.5137_B20200730 contenía una vulnerabilidad de desbordamiento de búfer en downloadFile.cgi a través del parámetro v14.
  • Vulnerabilidad en TOTOLINK A800R (CVE-2025-28019)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    Se descubrió que TOTOLINK A800R V4.1.2cu.5137_B20200730 contenía una vulnerabilidad de desbordamiento de búfer en el componente downloadFile.cgi
  • Vulnerabilidad en TOTOLINK A800R (CVE-2025-28020)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    Se descubrió que TOTOLINK A800R V4.1.2cu.5137_B20200730 contenía una vulnerabilidad de desbordamiento de búfer en downloadFile.cgi a través del parámetro v25.
  • Vulnerabilidad en TOTOLINK A810R (CVE-2025-28021)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    Se descubrió que TOTOLINK A810R V4.1.2cu.5182_B20201026 contenía una vulnerabilidad de desbordamiento de búfer en downloadFile.cgi a través de los parámetros v14 y v3.
  • Vulnerabilidad en TOTOLINK A810R (CVE-2025-28022)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    Se descubrió que TOTOLINK A810R V4.1.2cu.5182_B20201026 contenía una vulnerabilidad de desbordamiento de búfer en downloadFile.cgi a través del parámetro v25.
  • Vulnerabilidad en TOTOLINK A830R (CVE-2025-28025)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    Se descubrió que TOTOLINK A830R V4.1.2cu.5182_B20201102, A950RG V4.1.2cu.5161_B20200903, A3000RU V5.9c.5185_B20201128 y A3100R V4.1.2cu.5247_B20211129 contenían una vulnerabilidad de desbordamiento de búfer en downloadFile.cgi a través del parámetro v14.
  • Vulnerabilidad en TOTOLINK A830R (CVE-2025-28028)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 06/05/2025
    Se descubrió que TOTOLINK A830R V4.1.2cu.5182_B20201102, A950RG V4.1.2cu.5161_B20200903, A3000RU V5.9c.5185_B20201128 y A3100R V4.1.2cu.5247_B20211129 contenían una vulnerabilidad de desbordamiento de búfer en downloadFile.cgi a través del parámetro v5.