Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Apache Airflow (CVE-2024-26280)
Severidad: MEDIA
Fecha de publicación: 01/03/2024
Fecha de última actualización: 13/05/2025
Apache Airflow, versiones anteriores a la 2.8.2, tiene una vulnerabilidad que permite a los usuarios autenticados de Ops y Viewers ver toda la información en los registros de auditoría, incluidos los nombres de dag y los nombres de usuario que no tenían permiso para ver. Con 2.8.2 y versiones posteriores, los usuarios de Ops y Viewer no tienen permiso de registro de auditoría de forma predeterminada; se les debe otorgar permisos explícitamente para ver los registros. De forma predeterminada, solo los usuarios administradores tienen permiso de registro de auditoría. Se recomienda a los usuarios de Apache Airflow actualizar a la versión 2.8.2 o posterior para mitigar el riesgo asociado con esta vulnerabilidad.
Vulnerabilidad en IBM MQ e IBM MQ Appliance (CVE-2024-25016)
Severidad: ALTA
Fecha de publicación: 03/03/2024
Fecha de última actualización: 12/05/2025
IBM MQ e IBM MQ Appliance 9.0, 9.1, 9.2, 9.3 LTS y 9.3 CD podrían permitir que un atacante remoto no autenticado provoque una denegación de servicio debido a una lógica de almacenamiento en búfer incorrecta. ID de IBM X-Force: 281279.
Vulnerabilidad en Employee Management System v.1.0 (CVE-2024-25325)
Severidad: ALTA
Fecha de publicación: 12/03/2024
Fecha de última actualización: 12/05/2025
Una vulnerabilidad de inyección SQL en Employee Management System v.1.0 permite a un atacante local obtener información confidencial a través de un payload manipulado en el parámetro txtemail en login.php.
Vulnerabilidad en Buttons Shortcode and Widget de WordPress (CVE-2024-0711)
Severidad: MEDIA
Fecha de publicación: 18/03/2024
Fecha de última actualización: 13/05/2025
El complemento Buttons Shortcode and Widget de WordPress hasta la versión 1.16 no valida ni escapa algunos de sus atributos de shortcode antes de devolverlos a una página/publicación donde está incrustado el shortcode, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar un ataque de Cross-Site Scripting Almacenado.
Vulnerabilidad en Tabs Shortcode and Widget de WordPress (CVE-2024-0719)
Severidad: MEDIA
Fecha de publicación: 18/03/2024
Fecha de última actualización: 13/05/2025
El complemento Tabs Shortcode and Widget de WordPress hasta la versión 1.17 no valida ni escapa algunos de sus atributos de shortcode antes de devolverlos a una página/publicación donde está incrustado el shortcode, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar un ataque de Cross-Site Scripting Almacenado
Vulnerabilidad en Employee Management System v1.0 (CVE-2024-28595)
Severidad: CRÍTICA
Fecha de publicación: 19/03/2024
Fecha de última actualización: 13/05/2025
La vulnerabilidad de inyección SQL en Employee Management System v1.0 permite a los atacantes ejecutar comandos SQL arbitrarios a través del parámetro admin_id en update-admin.php.
Vulnerabilidad en Social Media Share Buttons By Sygnoos Social Media Share Buttons (CVE-2024-2721)
Severidad: ALTA
Fecha de publicación: 20/03/2024
Fecha de última actualización: 13/05/2025
Vulnerabilidad de deserialización de datos no confiables enSocial Media Share Buttons By Sygnoos Social Media Share Buttons. Este problema afecta a los botones para compartir en redes sociales: desde n/a hasta 2.1.0.
Vulnerabilidad en Themify de WordPress (CVE-2024-2262)
Severidad: MEDIA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 13/05/2025
El complemento Themify de WordPress anterior a 1.4.4 no tiene verificación CSRF en su acción masiva, lo que podría permitir a los atacantes hacer que los usuarios registrados eliminen filtros arbitrarios mediante un ataque CSRF, siempre que conozcan los filtros relacionados.
Vulnerabilidad en Themify de WordPress (CVE-2024-2263)
Severidad: MEDIA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 13/05/2025
El complemento Themify de WordPress anterior a 1.4.4 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera una cross-site scripting reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
Vulnerabilidad en Page Builder Gutenberg Blocks de WordPress (CVE-2024-2369)
Severidad: MEDIA
Fecha de publicación: 02/04/2024
Fecha de última actualización: 13/05/2025
El complemento Page Builder Gutenberg Blocks de WordPress anterior a 3.1.7 no valida ni escapa algunas de sus opciones de bloqueo antes de devolverlas a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting
Vulnerabilidad en WUZHICMS (CVE-2024-31008)
Severidad: MEDIA
Fecha de publicación: 03/04/2024
Fecha de última actualización: 13/05/2025
Se descubrió un problema en la versión 4.1.0 de WUZHICMS que permite a un atacante ejecutar código arbitrario y obtener información confidencial a través del archivo index.php.
Vulnerabilidad en SiYuan (CVE-2024-2692)
Severidad: CRÍTICA
Fecha de publicación: 04/04/2024
Fecha de última actualización: 13/05/2025
La versión 3.0.3 de SiYuan permite ejecutar comandos arbitrarios en el servidor. Esto es posible porque la aplicación es vulnerable al Server Side XSS.
Vulnerabilidad en Gutenberg Blocks by Kadence Blocks de WordPress (CVE-2024-2509)
Severidad: MEDIA
Fecha de publicación: 05/04/2024
Fecha de última actualización: 13/05/2025
El complemento Gutenberg Blocks by Kadence Blocks de WordPress anterior a 3.2.26 no valida ni escapa algunas de sus opciones de bloqueo antes de devolverlas a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realiza ataques de Cross-Site Scripting Almacenado
Vulnerabilidad en Ollama (CVE-2024-28224)
Severidad: MEDIA
Fecha de publicación: 08/04/2024
Fecha de última actualización: 13/05/2025
Ollama anterior a 0.1.29 tiene una vulnerabilidad de vinculación de DNS que puede permitir inadvertidamente el acceso remoto a la API completa, permitiendo así que un usuario no autorizado converse con un modelo de lenguaje grande, elimine un modelo o provoque una denegación de servicio (agotamiento de recursos).
Vulnerabilidad en Responsive Gallery Grid de WordPress (CVE-2024-1664)
Severidad: MEDIA
Fecha de publicación: 09/04/2024
Fecha de última actualización: 13/05/2025
El complemento Responsive Gallery Grid de WordPress anterior a 2.3.11 no sanitiza ni escapa algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de cross-site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en configuración multisitio).
Vulnerabilidad en Responsive Tabs para WordPress (CVE-2024-1846)
Severidad: MEDIA
Fecha de publicación: 15/04/2024
Fecha de última actualización: 13/05/2025
El complemento Responsive Tabs para WordPress anterior a 4.0.7 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superiores realizar ataques de Cross-Site Scripting Almacenado
Vulnerabilidad en TOTOLINK EX200 V4.0.3c.7646_B20201211 (CVE-2024-32325)
Severidad: BAJA
Fecha de publicación: 18/04/2024
Fecha de última actualización: 13/05/2025
TOTOLINK EX200 V4.0.3c.7646_B20201211 contiene una vulnerabilidad de Cross Site Scripting (XSS) a través del parámetro ssid en la función setWiFiExtenderConfig.
Vulnerabilidad en kernel de Linux (CVE-2021-47304)
Severidad: MEDIA
Fecha de publicación: 21/05/2024
Fecha de última actualización: 12/05/2025
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: corrige tcp_init_transfer() para no restablecer icsk_ca_initialized Esta confirmación corrige un error (encontrado por syzkaller) que podría causar dobles inicializaciones falsas para los módulos de control de congestión, lo que podría causar pérdidas de memoria o Otros problemas para los módulos de control de congestión (como CDG) que asignan memoria en sus funciones de inicio. El escenario con errores construido por syzkaller era algo así como: (1) crear un socket TCP (2) iniciar una conexión TFO a través de sendto() (3) mientras el socket está en TCP_SYN_SENT, llamar a setsockopt(TCP_CONGESTION), que llama a: tcp_set_congestion_control() - > tcp_reinit_congestion_control() -> tcp_init_congestion_control() (4) recibe ACK, se establece la conexión, llama a tcp_init_transfer(), establece icsk_ca_initialized=0 (sin llamar primero a cc->release()), llama a tcp_init_congestion_control() nuevamente. Tenga en cuenta que en esta secuencia tcp_init_congestion_control() se llama dos veces sin una llamada cc->release() en el medio. Por lo tanto, para los módulos CC que asignan memoria en su función init(), por ejemplo, CDG, puede ocurrir una pérdida de memoria. La herramienta syzkaller logró encontrar un reproductor que desencadenó dicha filtración en CDG. El error se introdujo cuando la confirmación 8919a9b31eb4 ("tcp: solo inicia el control de congestión si aún no está inicializado") introdujo icsk_ca_initialized y estableció icsk_ca_initialized en 0 en tcp_init_transfer(), perdiendo la posibilidad de una secuencia como la anterior, donde un proceso podría llamar setsockopt(TCP_CONGESTION) en el estado TCP_SYN_SENT (es decir, después de connect() o TFO open sendmsg()), que llamaría a tcp_init_congestion_control(). No tenía la intención de restablecer ninguna inicialización que el usuario ya hubiera realizado explícitamente; simplemente perdió la posibilidad de esa secuencia particular (que Syzkaller logró encontrar).
Vulnerabilidad en kernel de Linux (CVE-2021-47305)
Severidad: MEDIA
Fecha de publicación: 21/05/2024
Fecha de última actualización: 12/05/2025
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dma-buf/sync_file: no filtrar barreras en caso de falla de fusión. Cada llamada a add_fence() realiza un dma_fence_get() en la barrera relevante. En la ruta del error, no estábamos llamando a dma_fence_put() por lo que se filtraron todas esas barreras. Además, en el caso de falla de krealloc_array, no estábamos liberando la matriz de vallas. En su lugar, asegúrese de que i y las vallas estén siempre inicializadas en cero y dma_fence_put() todas las vallas y kfree(fences) en cada ruta de error.
Vulnerabilidad en kernel de Linux (CVE-2021-47315)
Severidad: MEDIA
Fecha de publicación: 21/05/2024
Fecha de última actualización: 12/05/2025
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: memoria: fsl_ifc: corrige la fuga de asignación de IO en caso de fallo de la sonda. En caso de error de la sonda, el controlador debe desasignar la memoria de IO. Informes de coincidencias: drivers/memory/fsl_ifc.c:298 fsl_ifc_ctrl_probe() advertencia: 'fsl_ifc_ctrl_dev->gregs' no publicado en las líneas: 298.
Vulnerabilidad en kernel de Linux (CVE-2021-47317)
Severidad: BAJA
Fecha de publicación: 21/05/2024
Fecha de última actualización: 12/05/2025
En el kernel de Linux, se resolvió la siguiente vulnerabilidad: powerpc/bpf: Corrección de la detección de instrucciones atómicas BPF. La confirmación 91c960b0056672 ("bpf: Renombrar BPF_XADD y prepararse para codificar otros átomos en .imm") convirtió BPF_XADD a BPF_ATOMIC y agregó una forma de distinguir instrucciones basadas en el campo inmediato. Las implementaciones JIT existentes se actualizaron para verificar el campo inmediato y rechazar programas que utilicen algo más que BPF_ADD (como BPF_FETCH) en el campo inmediato. Sin embargo, la verificación agregada a powerpc64 JIT no analizó la instrucción BPF correcta. Debido a esto, dichos programas serían aceptados y sometidos a JIT incorrectamente, lo que provocaría bloqueos suaves, como se ve con la prueba de límites atómicos. Solucione este problema observando el valor inmediato correcto.
Vulnerabilidad en kernel de Linux (CVE-2021-47322)
Severidad: ALTA
Fecha de publicación: 21/05/2024
Fecha de última actualización: 12/05/2025
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: NFSv4: corrige un Oops en pnfs_mark_request_commit() al hacer O_DIRECT. Corrige una condición de Oopsable en pnfs_mark_request_commit() cuando colocamos un conjunto de escrituras en la lista de confirmación para reprogramarlas después de un Intento fallido de pNFS.
Vulnerabilidad en ChestnutCMS (CVE-2025-2031)
Severidad: MEDIA
Fecha de publicación: 06/03/2025
Fecha de última actualización: 12/05/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en ChestnutCMS hasta la versión 1.5.2. Afecta a la función uploadFile del archivo /dev-api/cms/file/upload. La manipulación del argumento file provoca una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
Vulnerabilidad en ChestnutCMS 1.5.2 (CVE-2025-2032)
Severidad: MEDIA
Fecha de publicación: 06/03/2025
Fecha de última actualización: 12/05/2025
Se ha encontrado una vulnerabilidad clasificada como problemática en ChestnutCMS 1.5.2. Esta vulnerabilidad afecta a la función renameFile del archivo /cms/file/rename. La manipulación del argumento rename provoca un path traversal. La vulnerabilidad se ha hecho pública y puede utilizarse.
Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2024-56338)
Severidad: MEDIA
Fecha de publicación: 11/03/2025
Fecha de última actualización: 12/05/2025
IBM Sterling B2B Integrator Standard Edition 6.0.0.0 a 6.1.2.6 y 6.2.0.0 a 6.2.0.3 es vulnerable a ataques de cross-site scripting. Esta vulnerabilidad permite a un usuario con privilegios incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3678)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 12/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en PCMan FTP Server 2.0.7. Este problema afecta a un procesamiento desconocido del componente HELP Command Handler. La manipulación provoca un desbordamiento del búfer. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3762)
Severidad: MEDIA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 12/05/2025
Se encontró una vulnerabilidad en PCMan FTP Server 2.0.7. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del componente MPUT Command Handler. La manipulación provoca un desbordamiento del búfer. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3723)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 12/05/2025
Se encontró una vulnerabilidad en PCMan FTP Server 2.0.7, clasificada como crítica. Este problema afecta a un procesamiento desconocido del componente MDTM Command Handler. La manipulación provoca un desbordamiento del búfer. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3724)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 12/05/2025
Se encontró una vulnerabilidad en PCMan FTP Server 2.0.7. Se ha clasificado como crítica. Se ve afectada una función desconocida del componente DIR Command Handler. La manipulación provoca un desbordamiento del búfer. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3725)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 12/05/2025
Se encontró una vulnerabilidad en PCMan FTP Server 2.0.7. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente MIC Command Handler. La manipulación provoca un desbordamiento del búfer. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3726)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 12/05/2025
Se encontró una vulnerabilidad en PCMan FTP Server 2.0.7. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del componente CD Command Handler. La manipulación provoca un desbordamiento del búfer. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2025-3727)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 12/05/2025
Se ha detectado una vulnerabilidad crítica en PCMan FTP Server 2.0.7. Esta afecta a una parte desconocida del componente STATUS Command Handler. La manipulación provoca un desbordamiento del búfer. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en IBM Operational Decision Manager (CVE-2025-1551)
Severidad: MEDIA
Fecha de publicación: 29/04/2025
Fecha de última actualización: 12/05/2025
IBM Operational Decision Manager 8.11.0.1, 8.11.1.0, 8.12.0.1 y 9.0.0.1 es vulnerable a ataques de cross-site scripting. Esta vulnerabilidad permite a un atacante no autenticado incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
Vulnerabilidad en PCMan FTP Server (CVE-2025-4079)
Severidad: MEDIA
Fecha de publicación: 29/04/2025
Fecha de última actualización: 12/05/2025
Se encontró una vulnerabilidad clasificada como crítica en PCMan FTP Server hasta la versión 2.0.7. Se ve afectada una función desconocida del componente RENAME Command Handler. La manipulación provoca un desbordamiento del búfer. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Ays Pro Poll Maker (CVE-2025-47545)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
Vulnerabilidad de ejecución concurrente mediante recurso compartido con sincronización incorrecta ("Race Condition") en Ays Pro Poll Maker permite aprovechar las condiciones de ejecución. Este problema afecta a Poll Maker desde n/d hasta la versión 5.7.7.
Vulnerabilidad en AresIT WP Compress (CVE-2025-47546)
Severidad: ALTA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en AresIT WP Compress permite Cross-Site Request Forgery. Este problema afecta a WP Compress desde n/d hasta la versión 6.30.30.
Vulnerabilidad en SendPulse SendPulse Email Marketing Newsletter (CVE-2025-47547)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en SendPulse SendPulse Email Marketing Newsletter permite XSS almacenado. Este problema afecta al boletín de marketing por correo electrónico de SendPulse desde n/d hasta la versión 2.1.6.
Vulnerabilidad en Varun Dubey Wbcom Designs - Activity Link Preview For BuddyPress (CVE-2025-47548)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de Server-Side Request Forgery (SSRF) en Varun Dubey Wbcom Designs - Activity Link Preview For BuddyPress permite Server-Side Request Forgery. Este problema afecta a Wbcom Designs - Activity Link Preview For BuddyPress desde n/d hasta la versión 1.4.4.
Vulnerabilidad en Themefic BEAF (CVE-2025-47549)
Severidad: CRÍTICA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de carga sin restricciones de archivos con tipo peligroso en Themefic BEAF permite cargar un shell web a un servidor web. Este problema afecta a BEAF desde la versión n/d hasta la 4.6.10.
Vulnerabilidad en Themefic Instantio (CVE-2025-47550)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de carga sin restricciones de archivos con tipo peligroso en Themefic Instantio permite cargar un shell web a un servidor web. Este problema afecta a Instantio desde la versión n/d hasta la 3.3.16.
Vulnerabilidad en Scott Paterson Easy PayPal Buy Now Button (CVE-2025-47623)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Scott Paterson Easy PayPal Buy Now Button permite XSS almacenado. Este problema afecta al botón Comprar ahora de Easy PayPal desde n/d hasta la versión 2.0.
Vulnerabilidad en apasionados DoFollow Case by Case (CVE-2025-47624)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en apasionados DoFollow Case by Case permite Cross-Site Request Forgery. Este problema afecta a DoFollow Caso por Caso: desde n/d hasta la versión 3.5.1.
Vulnerabilidad en apasionados DoFollow Case by Case (CVE-2025-47625)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en apasionados DoFollow Case by Case permite XSS almacenado. Este problema afecta a DoFollow Caso por Caso: desde n/d hasta la versión 3.5.1.
Vulnerabilidad en apasionados Submission DOM tracking for Contact Form 7 (CVE-2025-47626)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en apasionados Submission DOM tracking for Contact Form 7 permite XSS almacenado. Este problema afecta al seguimiento del DOM de envíos para Contact Form 7: desde n/d hasta la versión 2.0.
Vulnerabilidad en quomodosoft QS Dark Mode (CVE-2025-47628)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de falta de autorización en quomodosoft QS Dark Mode permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta al modo oscuro de QS desde la versión n/d hasta la 3.0.
Vulnerabilidad en Mario Peshev WP-CRM System (CVE-2025-47629)
Severidad: ALTA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
La vulnerabilidad de deserialización de datos no confiables en Mario Peshev WP-CRM System permite la inyección de objetos. Este problema afecta al sistema WP-CRM desde n/d hasta la versión 3.4.1.
Vulnerabilidad en Darren Cooney Ajax Load More (CVE-2025-47630)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Darren Cooney Ajax Load More que permite XSS almacenado. Este problema afecta a Ajax Load More desde n/d hasta la versión 7.3.1.
Vulnerabilidad en Raihanul Islam Awesome Gallery (CVE-2025-47632)
Severidad: MEDIA
Fecha de publicación: 07/05/2025
Fecha de última actualización: 12/05/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Raihanul Islam Awesome Gallery permite XSS almacenado. Este problema afecta a Awesome Gallery desde n/d hasta la versión 1.0.