Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PuneethReddyHC Event Management 1.0 (CVE-2024-3432)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2024
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad en PuneethReddyHC Event Management 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo /backend/register.php. La manipulación del argumento event_id/full_name/email/mobile/college/branch conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259613. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en PuneethReddyHC Event Management 1.0 (CVE-2024-3433)
    Severidad: BAJA
    Fecha de publicación: 07/04/2024
    Fecha de última actualización: 14/05/2025
    Se ha encontrado una vulnerabilidad en PuneethReddyHC Event Management 1.0 y se ha clasificado como problemática. Una función desconocida del archivo /backend/register.php es afectada por esta vulnerabilidad. La manipulación del argumento event_id/full_name/email/mobile/college/branch conduce a cross-site scripting. Es posible lanzar el ataque de forma remota. VDB-259614 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en PuneethReddyHC Event Management 1.0 (CVE-2024-28322)
    Severidad: CRÍTICA
    Fecha de publicación: 26/04/2024
    Fecha de última actualización: 14/05/2025
    Vulnerabilidad de inyección SQL en /event-management-master/backend/register.php en PuneethReddyHC Event Management 1.0 permite a atacantes ejecutar comandos SQL arbitrarios a través del parámetro event_id en una solicitud POST manipulada.
  • Vulnerabilidad en Ultimate Blocks de WordPress (CVE-2024-3241)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 14/05/2025
    El complemento Ultimate Blocks de WordPress anterior a 3.1.7 no valida ni escapa algunas de sus opciones de bloqueo antes de devolverlas a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado
  • Vulnerabilidad en Itsourcecode Online Discussion Forum Project en PHP (CVE-2024-37871)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 14/05/2025
    Vulnerabilidad de inyección SQL en login.php en Itsourcecode Online Discussion Forum Project en PHP con Código Fuente 1.0 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro email.
  • Vulnerabilidad en Itsourcecode Billing System en PHP (CVE-2024-37872)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 14/05/2025
    Vulnerabilidad de inyección SQL en Process.php en Itsourcecode Billing System en PHP 1.0 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro username.
  • Vulnerabilidad en NetScaler Console (CVE-2024-6235)
    Severidad: CRÍTICA
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 14/05/2025
    Divulgación de información confidencial en NetScaler Console
  • Vulnerabilidad en itsourcecode Alton Management System 1.0 (CVE-2024-7276)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 14/05/2025
    Una vulnerabilidad ha sido encontrada en itsourcecode Alton Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/member_save.php es afectada por esta vulnerabilidad. La manipulación del argumento last/first conduce a la inyección SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-273145.
  • Vulnerabilidad en itsourcecode Alton Management System 1.0 (CVE-2024-7277)
    Severidad: MEDIA
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 14/05/2025
    Una vulnerabilidad fue encontrada en itsourcecode Alton Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/menu.php del componente Add a Menu es afectada por esta vulnerabilidad. La manipulación del argumento image conduce a una carga sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-273146 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en itsourcecode Alton Management System 1.0 (CVE-2024-7278)
    Severidad: MEDIA
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad itsourcecode Alton Management System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /admin/team_save.php. La manipulación del argumento team conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-273147.
  • Vulnerabilidad en itsourcecode Alton Management System 1.0 (CVE-2024-44587)
    Severidad: ALTA
    Fecha de publicación: 05/09/2024
    Fecha de última actualización: 14/05/2025
    itsourcecode Alton Management System 1.0 es vulnerable a la inyección SQL en /noncombo_save.php a través del parámetro "menu".
  • Vulnerabilidad en update_contact.php de Blood Bank and Donation Management System v1.0 (CVE-2024-45985)
    Severidad: MEDIA
    Fecha de publicación: 26/09/2024
    Fecha de última actualización: 14/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en update_contact.php de Blood Bank and Donation Management System v1.0 permite a un atacante inyectar secuencias de comandos maliciosas a través del parámetro de nombre de update_contact.php.
  • Vulnerabilidad en add_donor.php de Blood Bank And Donation Management System 1.0 (CVE-2024-45984)
    Severidad: MEDIA
    Fecha de publicación: 26/09/2024
    Fecha de última actualización: 14/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en add_donor.php de Blood Bank And Donation Management System 1.0 permite a un atacante inyectar secuencias de comandos maliciosas que se ejecutarán cuando se visualice la lista de donantes.
  • Vulnerabilidad en VMware Aria Operations (CVE-2024-38830)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations contiene una vulnerabilidad de escalada de privilegios locales. Un agente malintencionado con privilegios administrativos locales puede activar esta vulnerabilidad para escalar privilegios al usuario raíz en el dispositivo que ejecuta VMware Aria Operations.
  • Vulnerabilidad en VMware Aria Operations (CVE-2024-38832)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations contiene una vulnerabilidad de cross-site scripting almacenado. Un actor malintencionado con acceso de edición a las vistas podría inyectar secuencias de comandos maliciosas que provoquen cross-site scripting almacenado en el producto VMware Aria Operations.
  • Vulnerabilidad en VMware Aria Operations (CVE-2024-38833)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations contiene una vulnerabilidad de cross-site scripting almacenado. Un actor malintencionado con acceso de edición a las plantillas de correo electrónico podría inyectar una secuencia de comandos maliciosa que provoque cross-site scripting almacenado en el producto VMware Aria Operations.
  • Vulnerabilidad en VMware Aria Operations (CVE-2024-38834)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations contiene una vulnerabilidad de cross-site scripting almacenado. Un actor malintencionado con acceso de edición al proveedor de la nube podría inyectar secuencias de comandos maliciosas que provoquen cross-site scripting almacenado en el producto VMware Aria Operations.
  • Vulnerabilidad en VMware Aria Operations (CVE-2024-38831)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations contiene una vulnerabilidad de escalada de privilegios locales. Un agente malintencionado con privilegios administrativos locales puede insertar comandos maliciosos en el archivo de propiedades para escalar privilegios a un usuario raíz en el dispositivo que ejecuta VMware Aria Operations.
  • Vulnerabilidad en WordPress Button Plugin MaxButtons WordPress (CVE-2024-10555)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento WordPress Button Plugin MaxButtons WordPress anterior a la versión 9.8.1 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en Serious Slider WordPress (CVE-2024-11108)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento Serious Slider WordPress anterior a la versión 1.2.7 no valida ni escapa algunos de sus atributos de código corto antes de mostrarlos nuevamente en una página o publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting almacenado.
  • Vulnerabilidad en WordPress Button Plugin MaxButtons WordPress (CVE-2024-8968)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento WordPress Button Plugin MaxButtons WordPress anterior a la versión 9.8.1 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en GTPayment Donations de WordPress (CVE-2024-11607)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento GTPayment Donations de WordPress hasta la versión 1.0.0 no tiene verificación CSRF en algunos lugares y le falta desinfección y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en Exhibit a WP Gallery de WordPress (CVE-2024-12096)
    Severidad: MEDIA
    Fecha de publicación: 24/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento Exhibit a WP Gallery de WordPress hasta la versión 0.0.2 no desinfecta ni escapa un parámetro antes de devolverlo a la página, lo que genera una Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en Jetpack WordPress (CVE-2024-10858)
    Severidad: MEDIA
    Fecha de publicación: 25/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento Jetpack WordPress anterior a 14.1 no verifica adecuadamente el origen del mensaje posterior en sus versiones 13.x, lo que permite omitirlo y conducir a DOM-XSS. El problema sólo afecta a los sitios web alojados en WordPress.com.
  • Vulnerabilidad en Broken Link Checker WordPress (CVE-2024-10903)
    Severidad: MEDIA
    Fecha de publicación: 26/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento Broken Link Checker WordPress anterior a 2.4.2 no valida las URL de los enlaces antes de realizarles una solicitud, lo que podría permitir a los usuarios administradores realizar ataques SSRF, por ejemplo, en una instalación multisitio.
  • Vulnerabilidad en CodeAstro Blood Donor Management System 1.0 (CVE-2024-12941)
    Severidad: MEDIA
    Fecha de publicación: 26/12/2024
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad en CodeAstro Blood Donor Management System 1.0 y se clasificó como crítica. Este problema afecta a algunos procesos desconocidos del archivo /pages/deletedannounce.php. La manipulación del argumento id conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
  • Vulnerabilidad en WP-SVG WordPress (CVE-2024-11644)
    Severidad: MEDIA
    Fecha de publicación: 27/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento WP-SVG WordPress hasta la versión 0.9 no valida ni escapa algunos de sus atributos de código corto antes de mostrarlos nuevamente en una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de cross site scripting almacenado.
  • Vulnerabilidad en GiveWP WordPress (CVE-2024-11921)
    Severidad: MEDIA
    Fecha de publicación: 27/12/2024
    Fecha de última actualización: 14/05/2025
    El complemento GiveWP para WordPress anterior a la versión 3.19.0 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en SiYuan (CVE-2025-21609)
    Severidad: ALTA
    Fecha de publicación: 03/01/2025
    Fecha de última actualización: 14/05/2025
    SiYuan es un software de gestión de conocimiento personal de código abierto y alojado por el usuario. La versión 3.1.18 de SiYuan Note tiene una vulnerabilidad de eliminación de archivos arbitrarios. La vulnerabilidad existe en el endpoint `POST /api/history/getDocHistoryContent`. Un atacante puede crear un payload para explotar esta vulnerabilidad, lo que da como resultado la eliminación de archivos arbitrarios en el servidor. El commit d9887aeec1b27073bec66299a9a4181dc42969f3 corrige esta vulnerabilidad y se espera que esté disponible en la versión 3.1.19.
  • Vulnerabilidad en Pods de WordPress (CVE-2024-11849)
    Severidad: MEDIA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 14/05/2025
    El complemento Pods de WordPress anterior a la versión 3.2.8.1 no desinfecta ni escapa de algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en Icegram Engage para WordPress (CVE-2024-12302)
    Severidad: MEDIA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 14/05/2025
    El complemento Icegram Engage para WordPress anterior a la versión 3.1.32 no desinfecta ni escapa a algunas de las configuraciones de su campaña, lo que podría permitir a los autores y a cargos superiores realizar ataques de cross site scripting almacenado.
  • Vulnerabilidad en Email Subscribers de Icegram Express (CVE-2024-12311)
    Severidad: MEDIA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 14/05/2025
    El complemento de WordPress Email Subscribers de Icegram Express anterior a la versión 5.7.44 no desinfecta ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL
  • Vulnerabilidad en Category Posts Widget de WordPress (CVE-2024-9638)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 14/05/2025
    El complemento Category Posts Widget de WordPress anterior a la versión 4.9.18 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en Vehicle Management System 1.0 (CVE-2024-48245)
    Severidad: ALTA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 14/05/2025
    Vehicle Management System 1.0 es vulnerable a la inyección SQL. Un usuario invitado puede explotar los parámetros POST vulnerables en varias acciones administrativas, como reservar un vehículo o confirmar una reserva. Los parámetros afectados incluyen "Booking ID", "Action Name", y "Payment Confirmation ID", que están presentes en /newvehicle.php y /newdriver.php.
  • Vulnerabilidad en Auto iFrame de WordPress (CVE-2024-10151)
    Severidad: MEDIA
    Fecha de publicación: 08/01/2025
    Fecha de última actualización: 14/05/2025
    El complemento Auto iFrame de WordPress anterior a la versión 2.0 no valida ni escapa algunos de sus atributos de código corto antes de mostrarlos nuevamente en una página o publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting almacenado.
  • Vulnerabilidad en Property Hive de WordPress (CVE-2024-12585)
    Severidad: MEDIA
    Fecha de publicación: 08/01/2025
    Fecha de última actualización: 14/05/2025
    El complemento Property Hive de WordPress anterior a la versión 2.1.1 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en PostLists WordPress (CVE-2024-10815)
    Severidad: MEDIA
    Fecha de publicación: 09/01/2025
    Fecha de última actualización: 14/05/2025
    El complemento PostLists WordPress hasta la versión 2.0.2 no escapa al parámetro $_SERVER['REQUEST_URI'] antes de mostrarlo nuevamente en un atributo, lo que podría generar Cross-Site Scripting reflejado en navegadores web antiguos.
  • Vulnerabilidad en VMware Aria Operations for Logs (CVE-2025-22218)
    Severidad: ALTA
    Fecha de publicación: 30/01/2025
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations for Logs contiene una vulnerabilidad de divulgación de información. Un actor malintencionado con permisos de administrador de solo lectura podría leer las credenciales de un producto VMware integrado con VMware Aria Operations for Logs
  • Vulnerabilidad en VMware Aria Operations for Logs (CVE-2025-22219)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2025
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations for Logs contiene una vulnerabilidad Cross-Site Scripting Almacenado. Un actor malintencionado con privilegios no administrativos podría inyectar un script malicioso que pueda realizar operaciones Cross-Site Scripting Almacenado como usuario administrador.
  • Vulnerabilidad en VMware Aria Operations for Logs (CVE-2025-22220)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2025
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations for Logs contiene una vulnerabilidad de escalada de privilegios. Un actor malintencionado con privilegios no administrativos y acceso de red a la API de Aria Operations for Logs podría realizar determinadas operaciones en el contexto de un usuario administrador.
  • Vulnerabilidad en VMware Aria Operation for Logs (CVE-2025-22221)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2025
    Fecha de última actualización: 14/05/2025
    VMware Aria Operation for Logs contiene una vulnerabilidad Cross-Site Scripting Almacenado. Un actor malintencionado con privilegios de administrador en VMware Aria Operations for Logs podría inyectar un script malicioso que podría ejecutarse en el navegador de una víctima al realizar una acción de eliminación en la configuración del agente.
  • Vulnerabilidad en VMware Aria Operations (CVE-2025-22222)
    Severidad: ALTA
    Fecha de publicación: 30/01/2025
    Fecha de última actualización: 14/05/2025
    VMware Aria Operations contiene una vulnerabilidad de divulgación de información. Un usuario malintencionado con privilegios no administrativos puede aprovechar esta vulnerabilidad para recuperar las credenciales de un complemento saliente si se conoce una ID de credencial de servicio válida.
  • Vulnerabilidad en Admin and Site Enhancements (ASE) de WordPress (CVE-2024-13685)
    Severidad: MEDIA
    Fecha de publicación: 04/03/2025
    Fecha de última actualización: 14/05/2025
    El complemento Admin and Site Enhancements (ASE) de WordPress anterior a la versión 7.6.10 recupera direcciones IP de clientes de encabezados potencialmente no confiables, lo que permite a un atacante manipular su valor para eludir la función de límite de inicio de sesión en el complemento Admin and Site Enhancements (ASE) de WordPress anterior a la versión 7.6.10.
  • Vulnerabilidad en projectworlds Life Insurance Management System 1.0 (CVE-2025-2062)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 14/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en projectworlds Life Insurance Management System 1.0. Se ve afectada una función desconocida del archivo /clientStatus.php. La manipulación del argumento client_id provoca una inyección SQL. Es posible lanzar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Life Insurance Management System 1.0 (CVE-2025-2063)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 14/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en projectworlds Life Insurance Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /deleteNominee.php. La manipulación del argumento nominee_id provoca una inyección SQL. El ataque se puede ejecutar de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Life Insurance Management System 1.0 (CVE-2025-2064)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 14/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en projectworlds Life Insurance Management System 1.0. Este problema afecta a algunas funciones desconocidas del archivo /deletePayment.php. La manipulación del argumento recipt_no provoca una inyección SQL. El ataque puede ejecutarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Life Insurance Management System 1.0 (CVE-2025-2065)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 14/05/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en projectworlds Life Insurance Management System 1.0. Afecta a una parte desconocida del archivo /editAgent.php. La manipulación del argumento agent_id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Life Insurance Management System 1.0 (CVE-2025-2066)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 14/05/2025
    Se ha encontrado una vulnerabilidad en projectworlds Life Insurance Management System 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /updateAgent.php. La manipulación del argumento agent_id provoca una inyección SQL. El ataque puede iniciarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Life Insurance Management System 1.0 (CVE-2025-2067)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2025
    Fecha de última actualización: 14/05/2025
    Se ha encontrado una vulnerabilidad en projectworlds Life Insurance Management System 1.0 y se ha clasificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo /search.php. La manipulación de la clave del argumento provoca una inyección SQL. El ataque puede iniciarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-2672)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2025
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad en code-projects Payroll Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /add_deductions.php. La manipulación del argumento bir provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-2673)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 14/05/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en code-projects Payroll Management System 1.0. Se ve afectada una función desconocida del archivo /home_employee.php. La manipulación de la división de argumentos provoca ataques de cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-2854)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2025
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad clasificada como crítica en code-projects Payroll Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo update_employee.php. La manipulación del argumento emp_type provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-2984)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad en code-projects Payroll Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /delete.php. La manipulación del argumento emp_id provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-2985)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad en code-projects Payroll Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo update_account.php. La manipulación del argumento "deduction" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-3038)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad en code-projects Payroll Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /view_account.php. La manipulación del argumento salary_rate provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-3039)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 14/05/2025
    Se encontró una vulnerabilidad en code-projects Payroll Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /add_employee.php. La manipulación del argumento lname/fname provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en code-projects Payroll Management System 1.0 (CVE-2025-3134)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2025
    Fecha de última actualización: 14/05/2025
    Se ha detectado una vulnerabilidad crítica en code-projects Payroll Management System 1.0. Esta afecta a una parte desconocida del archivo /add_overtime.php. La manipulación del argumento "rate" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Admin and Site Enhancements (ASE) WordPress (CVE-2024-13688)
    Severidad: MEDIA
    Fecha de publicación: 28/04/2025
    Fecha de última actualización: 14/05/2025
    El complemento Admin and Site Enhancements (ASE) WordPress anterior a la versión 7.6.10 utiliza una contraseña codificada en su función de protección de contraseña, lo que permite a un atacante eludir la protección ofrecida mediante una solicitud manipulada.