Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Xstream API (CVE-2013-7285)
Severidad: CRÍTICA
Fecha de publicación: 15/05/2019
Fecha de última actualización: 14/05/2025
Xstream API versiones hasta la 1.4.6 y versión 1.4.10, Si la security framework no ha sido inicializada, estas vulnerabilidades podrían permitir que un atacante remoto ejecute comandos arbitrarios de shell mediante la manipulación de la secuencia de entrada procesada al desclasificar un XML o cualquier formato compatible. p.ej. JSON.
Vulnerabilidad en el framework security en la API de xstream (CVE-2019-10173)
Severidad: CRÍTICA
Fecha de publicación: 23/07/2019
Fecha de última actualización: 14/05/2025
Se encontró que la API de xstream versión 1.4.10 anterior a 1.4.11, introdujo una regresión para un fallo de deserialización anterior. Si el framework security no ha sido inicializado, puede permitir a un atacante remoto ejecutar comandos de shell arbitrarios cuando se deserializa un XML o cualquier formato compatible. p.ej. JSON. (Regresión de CVE-2013-7285)
Vulnerabilidad en SourceCodester Employee Task Management System 1.0 (CVE-2024-2569)
Severidad: ALTA
Fecha de publicación: 18/03/2024
Fecha de última actualización: 14/05/2025
Una vulnerabilidad fue encontrada en SourceCodester Employee Task Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin-manage-user.php es afectada por esta vulnerabilidad. La manipulación conduce a la ejecución después de la redirección. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257072.
Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3353)
Severidad: ALTA
Fecha de publicación: 05/04/2024
Fecha de última actualización: 14/05/2025
Una vulnerabilidad fue encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo admin/mod_reports/index.php. La manipulación del argumento categ/end conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259457.
Vulnerabilidad en RuoYi v4.5.1 (CVE-2024-29400)
Severidad: ALTA
Fecha de publicación: 12/04/2024
Fecha de última actualización: 14/05/2025
Se descubrió un problema en RuoYi v4.5.1 que permite a los atacantes obtener información confidencial a través del parámetro de estado.
Vulnerabilidad en AGCA WordPress (CVE-2024-2907)
Severidad: MEDIA
Fecha de publicación: 25/04/2024
Fecha de última actualización: 14/05/2025
El complemento AGCA WordPress anterior a 7.2.2 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Bannerlid de WordPress (CVE-2024-3048)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 14/05/2025
El complemento Bannerlid de WordPress hasta la versión 1.1.0 no escapa de las URL generadas antes de mostrarlas en atributos, lo que genera Cross-Site Scripting Reflejado que podrían usarse contra usuarios con privilegios elevados, como administradores.
Vulnerabilidad en WP Shortcodes Plugin — Shortcodes Ultimate para WordPress (CVE-2024-3188)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 14/05/2025
El complemento WP Shortcodes Plugin — Shortcodes Ultimate para WordPress anterior a 7.1.0 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado.
Vulnerabilidad en The Post Grid Gutenberg Blocks and WordPress Blog Plugin para WordPress (CVE-2024-3239)
Severidad: MEDIA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 14/05/2025
El complemento The Post Grid Gutenberg Blocks and WordPress Blog Plugin para WordPress anterior a 4.0.2 no valida ni escapa algunas de sus opciones de bloqueo antes de devolverlas a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior para realizar ataques de Cross-Site Scripting Almacenado
Vulnerabilidad en UnGallery WordPress (CVE-2024-3582)
Severidad: MEDIA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 14/05/2025
El complemento UnGallery WordPress hasta la versión 2.2.4 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes hacer que el administrador registrado agregue payloads XSS almacenado a través de un ataque CSRF.
Vulnerabilidad en LetterPress WordPress (CVE-2024-3590)
Severidad: MEDIA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 14/05/2025
El complemento LetterPress WordPress hasta la versión 1.2.2 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF, como eliminar suscriptores arbitrarios.
Vulnerabilidad en Add Custom CSS y JS de WordPress (CVE-2024-3903)
Severidad: ALTA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 14/05/2025
El complemento Add Custom CSS y JS de WordPress hasta la versión 1.20 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes iniciar sesión como autor y agregar payloads XSS almacenado a través de un ataque CSRF.
Vulnerabilidad en Save as PDF Plugin by Pdfcrowd para WordPress (CVE-2023-5971)
Severidad: MEDIA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 14/05/2025
El complemento Save as PDF Plugin by Pdfcrowd para WordPress anterior a 3.2.0 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo en configuración multisitio)
Vulnerabilidad en y_project RuoYi (CVE-2024-6511)
Severidad: MEDIA
Fecha de publicación: 04/07/2024
Fecha de última actualización: 14/05/2025
Una vulnerabilidad fue encontrada en y_project RuoYi hasta 4.7.9 y clasificada como problemática. La función isJsonRequest del componente Content-Type Handler es afectada por esta vulnerabilidad. La manipulación del argumento HttpHeaders.CONTENT_TYPE conduce a cross site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-270343.
Vulnerabilidad en Ruoyi v4.7.9 (CVE-2024-42900)
Severidad: MEDIA
Fecha de publicación: 28/08/2024
Fecha de última actualización: 14/05/2025
Se descubrió que Ruoyi v4.7.9 y versiones anteriores contenían una vulnerabilidad de cross-site scripting (XSS) a través del parámetro sql de la función createTable() en /tool/gen/create.
Vulnerabilidad en Image Widget de WordPress (CVE-2024-10939)
Severidad: MEDIA
Fecha de publicación: 13/12/2024
Fecha de última actualización: 14/05/2025
El complemento Image Widget de WordPress anterior a la versión 4.4.11 no desinfecta ni escapa de algunas de las configuraciones de su Image Widget, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Events Calendar para WordPress (CVE-2024-5333)
Severidad: MEDIA
Fecha de publicación: 16/12/2024
Fecha de última actualización: 14/05/2025
El complemento Events Calendar para WordPress anterior a la versión 6.8.2.1 le faltan controles de acceso en la API REST, lo que permite que usuarios no autenticados accedan a información sobre eventos protegidos con contraseña.
Vulnerabilidad en Cost Calculator Builder de WordPress (CVE-2024-10892)
Severidad: MEDIA
Fecha de publicación: 18/12/2024
Fecha de última actualización: 14/05/2025
El complemento Cost Calculator Builder de WordPress anterior a la versión 3.2.43 no tiene comprobaciones CSRF en algunas acciones AJAX, lo que podría permitir a los atacantes hacer que los usuarios registrados realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en Ruoyi v.4.7.9 (CVE-2024-54762)
Severidad: MEDIA
Fecha de publicación: 09/01/2025
Fecha de última actualización: 14/05/2025
Ruoyi v.4.7.9 y versiones anteriores contienen una vulnerabilidad de inyección SQL autenticada. Esto se debe a que el método filterKeyword no filtra por completo las palabras clave de inyección SQL, lo que genera el riesgo de inyección SQL.
Vulnerabilidad en RuoYi v4.8.0 (CVE-2024-57436)
Severidad: ALTA
Fecha de publicación: 29/01/2025
Fecha de última actualización: 14/05/2025
Se descubrió que RuoYi v4.8.0 permitía a atacantes no autorizados ver el ID de sesión del administrador en la supervisión sistema. Este problema puede permitir a los atacantes hacerse pasar por usuarios administradores mediante el uso de una cookie manipulado.
Vulnerabilidad en RuoYi v4.8.0 (CVE-2024-57437)
Severidad: MEDIA
Fecha de publicación: 29/01/2025
Fecha de última actualización: 14/05/2025
Se descubrió que RuoYi v4.8.0 contenía una vulnerabilidad de inyección SQL a través del parámetro orderby en /monitor/online/list.
Vulnerabilidad en RuoYi v4.8.0 (CVE-2024-57438)
Severidad: MEDIA
Fecha de publicación: 29/01/2025
Fecha de última actualización: 14/05/2025
Los permisos inseguros en RuoYi v4.8.0 permiten a atacantes autenticados escalar privilegios al asignarse roles de nivel superior.
Vulnerabilidad en ruoyi v4.8.0 (CVE-2024-57439)
Severidad: MEDIA
Fecha de publicación: 29/01/2025
Fecha de última actualización: 14/05/2025
Un problema en la interfaz de restablecimiento de contraseña de ruoyi v4.8.0 permite a atacantes con privilegios de administrador provocar una denegación de servicio (DoS) al duplicar el nombre de inicio de sesión de la cuenta.
Vulnerabilidad en SourceCodester Food Menu Manager 1.0 (CVE-2025-1166)
Severidad: MEDIA
Fecha de publicación: 11/02/2025
Fecha de última actualización: 14/05/2025
Se ha encontrado una vulnerabilidad en SourceCodester Food Menu Manager 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo endpoint/update.php. La manipulación permite la carga sin restricciones. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede que sea utilizado.
Vulnerabilidad en Sensly Online Presence para WordPress (CVE-2024-13493)
Severidad: MEDIA
Fecha de publicación: 14/02/2025
Fecha de última actualización: 14/05/2025
El complemento Sensly Online Presence para WordPress hasta la versión 0.6 no depura ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Forminator Forms de WordPress (CVE-2024-7052)
Severidad: MEDIA
Fecha de publicación: 14/02/2025
Fecha de última actualización: 14/05/2025
El complemento Forminator Forms de WordPress anterior a la versión 1.38.3 no depuración ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en Maps Plugin using Google Maps for WordPress de WordPress (CVE-2024-13208)
Severidad: MEDIA
Fecha de publicación: 15/02/2025
Fecha de última actualización: 14/05/2025
El complemento Maps Plugin using Google Maps for WordPress de WordPress anterior a la versión 1.9.4 no depura ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Maps Plugin using Google Maps para WordPress (CVE-2024-13306)
Severidad: MEDIA
Fecha de publicación: 15/02/2025
Fecha de última actualización: 14/05/2025
El complemento Maps Plugin using Google Maps para WordPress anterior a la versión 1.9.4 no depura ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Wise Forms para WordPress (CVE-2024-13603)
Severidad: MEDIA
Fecha de publicación: 17/02/2025
Fecha de última actualización: 14/05/2025
El complemento Wise Forms para WordPress hasta la versión 1.2.0 no depura ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios no autenticados realizar ataques de Cross Site Scripting almacenado mediante envíos de formularios maliciosos.
Vulnerabilidad en Track Logins de WordPress (CVE-2024-13608)
Severidad: MEDIA
Fecha de publicación: 17/02/2025
Fecha de última actualización: 14/05/2025
El complemento Track Logins de WordPress hasta la versión 1.0 no depura ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL.
Vulnerabilidad en Tube Video Ads Lite para WordPress (CVE-2024-13625)
Severidad: ALTA
Fecha de publicación: 17/02/2025
Fecha de última actualización: 14/05/2025
El complemento Tube Video Ads Lite para WordPress hasta la versión 1.5.7 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
Vulnerabilidad en SourceCodester Telecom Billing Management System 1.0 (CVE-2025-1587)
Severidad: MEDIA
Fecha de publicación: 23/02/2025
Fecha de última actualización: 14/05/2025
Se ha encontrado una vulnerabilidad en SourceCodester Telecom Billing Management System 1.0. Se ha calificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo main.cpp del componente Add New Record. La manipulación del argumento name provoca un desbordamiento del búfer. Se requiere acceso local para abordar este ataque. El exploit se ha divulgado al público y puede utilizarse. También pueden verse afectados otros parámetros.
Vulnerabilidad en SourceCodester Best Employee Management System 1.0 (CVE-2025-1607)
Severidad: MEDIA
Fecha de publicación: 24/02/2025
Fecha de última actualización: 14/05/2025
Se ha encontrado una vulnerabilidad, que se ha clasificado como problemática, en SourceCodester Best Employee Management System 1.0. Este problema afecta a algunos procesos desconocidos del archivo /admin/salary_slip.php. La manipulación del argumento id provoca la omisión de la autorización. El ataque puede iniciarse de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en SourceCodester Vehicle Management System 1.0 (CVE-2025-2377)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Vehicle Management System 1.0 y se clasificó como problemática. Este problema afecta a una funcionalidad desconocida del archivo /confirmbooking.php. La manipulación del argumento id provoca ataques de cross site scripting. El ataque podría ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. El aviso inicial para investigadores menciona nombres de productos contradictorios.
Vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 (CVE-2025-2601)
Severidad: MEDIA
Fecha de publicación: 21/03/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Kortex Lite Advocate Office Management System 1.0. Esta afecta a una parte desconocida del archivo activate_reg.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 (CVE-2025-2602)
Severidad: MEDIA
Fecha de publicación: 21/03/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo deactivate_reg.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 (CVE-2025-2651)
Severidad: MEDIA
Fecha de publicación: 23/03/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como problemática en SourceCodester Online Eyewear Shop 1.0. Se ve afectada una función desconocida del archivo /oews/admin/. La manipulación expone información a través de la lista de directorios. Es posible lanzar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se recomienda cambiar la configuración. Varios subdirectorios están afectados.
Vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 (CVE-2025-2846)
Severidad: MEDIA
Fecha de publicación: 27/03/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Online Eyewear Shop 1.0. Esta vulnerabilidad afecta el registro de la función del archivo /oews/classes/Users.php?f=registration del componente Registration. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Apartment Visitor Management System 1.0 (CVE-2025-3142)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Apartment Visitor Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /add-apartment.php. La manipulación del argumento buildingno provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Múltiples parámetros podrían verse afectados.
Vulnerabilidad en SourceCodester Apartment Visitor Management System 1.0 (CVE-2025-3143)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad crítica en SourceCodester Apartment Visitor Management System 1.0. Se ve afectada una función desconocida del archivo /visitor-entry.php. La manipulación del argumento visname/address provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Múltiples parámetros podrían verse afectados.
Vulnerabilidad en SourceCodester Gym Management System 1.0 (CVE-2025-3151)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Gym Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /signup.php. La manipulación del argumento `user_name` provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0 (CVE-2025-3244)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /add-admin.php del componente "Crear página de usuario". La manipulación del argumento "Avatar" permite la carga sin restricciones. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Apartment Visitor Management System 1.0 (CVE-2025-3314)
Severidad: MEDIA
Fecha de publicación: 06/04/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad en SourceCodester Apartment Visitor Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /forgotpw.php. La manipulación del argumento secode provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Apartment Visitor Management System 1.0 (CVE-2025-3315)
Severidad: MEDIA
Fecha de publicación: 06/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Apartment Visitor Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /view-report.php. La manipulación del argumento fromdate/todate provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Microsoft Corporation (CVE-2025-29824)
Severidad: ALTA
Fecha de publicación: 08/04/2025
Fecha de última actualización: 14/05/2025
Use after free en el controlador del sistema de archivos de registro común de Windows permite que un atacante autorizado eleve privilegios localmente.
Vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0 (CVE-2025-3764)
Severidad: MEDIA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Web-based Pharmacy Product Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /edit-product.php. La manipulación del argumento Avatar permite la carga sin restricciones. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0 (CVE-2025-3765)
Severidad: MEDIA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Web-based Pharmacy Product Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /edit-photo.php. La manipulación del argumento Avatar permite la carga sin restricciones. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0 (CVE-2025-3694)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad crítica en SourceCodester Web-based Pharmacy Product Management System 1.0. Esta afecta a una parte desconocida del componente Login Handler. La manipulación del argumento login_email provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0 (CVE-2025-3696)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Web-based Pharmacy Product Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /search/search_stock.php. La manipulación del argumento "Nombre" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0 (CVE-2025-3697)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Web-based Pharmacy Product Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /edit-product.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 (CVE-2025-3817)
Severidad: MEDIA
Fecha de publicación: 19/04/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Online Eyewear Shop 1.0. Este problema afecta a un procesamiento desconocido del archivo /oews/classes/Master.php?f=delete_stock. La manipulación del ID del argumento provoca una inyección SQL. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Order Delivery Date WordPress (CVE-2025-2907)
Severidad: CRÍTICA
Fecha de publicación: 26/04/2025
Fecha de última actualización: 14/05/2025
El complemento Order Delivery Date WordPress anterior a la versión 12.3.1 no cuenta con comprobaciones de autorización ni CSRF al importar la configuración. Además, carece de las comprobaciones adecuadas para actualizar únicamente las opciones relevantes para el complemento de WordPress Order Delivery Date anterior a la versión 12.3.1. Esto permite que los atacantes modifiquen el rol de usuario predeterminado (default_user_role) a administrador y usuarios (users_can_register), lo que les permite registrarse como administradores del sitio y obtener el control total del mismo.
Vulnerabilidad en CodeAstro Membership Management System 1.0 (CVE-2025-3998)
Severidad: MEDIA
Fecha de publicación: 28/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en CodeAstro Membership Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo «renew.php?id=6». La manipulación del ID del argumento provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en web-arena-x webarena (CVE-2025-4022)
Severidad: MEDIA
Fecha de publicación: 28/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en web-arena-x webarena, hasta la versión 0.2.0. Se ha declarado crítica. Esta vulnerabilidad afecta a la función HTMLContentEvaluator del archivo webarena/evaluation_harness/evaluators.py. La manipulación del argumento target["url"] provoca la inyección de código. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2025-4023)
Severidad: MEDIA
Fecha de publicación: 28/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en itsourcecode Placement Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /add_company.php. La manipulación del argumento "Nombre" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
Vulnerabilidad en Usermin (CVE-2015-2079)
Severidad: CRÍTICA
Fecha de publicación: 28/04/2025
Fecha de última actualización: 14/05/2025
Usermin 0.980 a 1.x antes de 1.660 permite la ejecución remota de código uconfig_save.cgi sig_file_free porque utiliza la forma de dos argumentos (no de tres argumentos) de Perl open.
Vulnerabilidad en SEPPmail (CVE-2022-41871)
Severidad: MEDIA
Fecha de publicación: 28/04/2025
Fecha de última actualización: 14/05/2025
SEPPmail, hasta la versión 12.1.17, permite la inyección de comandos en el Portal de Administración. Un atacante autenticado puede ejecutar código arbitrario en el contexto del usuario root.
Vulnerabilidad en code-projects Patient Record Management System 1.0 (CVE-2025-4021)
Severidad: MEDIA
Fecha de publicación: 28/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en code-projects Patient Record Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /edit_spatient.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Sourcecodester Computer Laboratory Management System v1.0 (CVE-2025-45956)
Severidad: ALTA
Fecha de publicación: 29/04/2025
Fecha de última actualización: 14/05/2025
Una vulnerabilidad de inyección SQL en manage_damage.php en Sourcecodester Computer Laboratory Management System v1.0 permite que un atacante autenticado ejecute comandos SQL arbitrarios a través del parámetro "id".
Vulnerabilidad en code-projects School Billing System 1.0 (CVE-2025-4077)
Severidad: MEDIA
Fecha de publicación: 29/04/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects School Billing System 1.0. Esta vulnerabilidad afecta a la función searchrec. La manipulación del argumento "Nombre" provoca un desbordamiento del búfer en la pila. Es posible lanzar el ataque en el host local. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en PHPGurukul Online Nurse Hiring System 1.0 (CVE-2025-4080)
Severidad: MEDIA
Fecha de publicación: 29/04/2025
Fecha de última actualización: 14/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Online Nurse Hiring System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/view-request.php. La manipulación del argumento viewid provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en vLLM (CVE-2025-30202)
Severidad: ALTA
Fecha de publicación: 30/04/2025
Fecha de última actualización: 14/05/2025
vLLM es un motor de inferencia y servicio de alto rendimiento y eficiente en memoria para LLM. Las versiones a partir de la 0.5.2 y anteriores a la 0.8.5 son vulnerables a denegación de servicio y exposición de datos a través de ZeroMQ en implementaciones de vLLM multinodo. En una implementación de vLLM multinodo, vLLM utiliza ZeroMQ para algunos fines de comunicación multinodo. El host vLLM principal abre un socket XPUB ZeroMQ y lo vincula a TODAS las interfaces. Si bien el socket siempre está abierto para implementaciones multinodo, solo se utiliza al realizar paralelismo tensorial en varios hosts. Cualquier cliente con acceso de red a este host puede conectarse a este socket XPUB a menos que su puerto esté bloqueado por un firewall. Una vez conectados, estos clientes arbitrarios recibirán los mismos datos transmitidos a todos los hosts vLLM secundarios. Estos datos son información interna del estado de vLLM que no es útil para un atacante. Al conectarse a este socket muchas veces y no leer los datos publicados, un atacante también puede causar una denegación de servicio al ralentizar o incluso bloquear al publicador. Este problema se ha corregido en la versión 0.8.5.
Vulnerabilidad en SourceCodester Patient Record Management System 1.0 (CVE-2025-4196)
Severidad: MEDIA
Fecha de publicación: 02/05/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Patient Record Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /birthing.php. La manipulación del argumento comp_id provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester/oretnom23 Stock Management System 1.0 (CVE-2025-4282)
Severidad: MEDIA
Fecha de publicación: 05/05/2025
Fecha de última actualización: 14/05/2025
Se ha encontrado una vulnerabilidad en SourceCodester/oretnom23 Stock Management System 1.0, clasificada como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /classes/Users.php?f=save. La manipulación provoca cross-site request forgery. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester/oretnom23 Stock Management System 1.0 (CVE-2025-4283)
Severidad: MEDIA
Fecha de publicación: 05/05/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester/oretnom23 Stock Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /classes/Login.php?f=login. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Advanced Web Store 1.0 (CVE-2025-4312)
Severidad: MEDIA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en SourceCodester Advanced Web Store 1.0. Este problema afecta a un procesamiento desconocido del archivo /productdetail.php. La manipulación del argumento prodid provoca una inyección SQL. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Advanced Web Store 1.0 (CVE-2025-4313)
Severidad: MEDIA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Advanced Web Store 1.0. La función afectada es desconocida en el archivo /admin/admin_addnew_product.php. La manipulación del argumento txtProdId provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Advanced Web Store 1.0 (CVE-2025-4314)
Severidad: MEDIA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 14/05/2025
Se ha detectado una vulnerabilidad en SourceCodester Advanced Web Store 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/index.php. La manipulación del argumento txtLogin provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Student Clearance System 1.0 (CVE-2025-4331)
Severidad: MEDIA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Online Student Clearance System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /Admin/login.php. La manipulación del argumento nombre de usuario/contraseña provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Student Clearance System 1.0 (CVE-2025-4467)
Severidad: MEDIA
Fecha de publicación: 09/05/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Online Student Clearance System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/edit-admin.php. La manipulación del argumento txtfullname/txtemail/cmddesignation provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Student Clearance System 1.0 (CVE-2025-4468)
Severidad: MEDIA
Fecha de publicación: 09/05/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad en SourceCodester Online Student Clearance System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /edit-photo.php. La manipulación del argumento userImage permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Student Clearance System 1.0 (CVE-2025-4469)
Severidad: MEDIA
Fecha de publicación: 09/05/2025
Fecha de última actualización: 14/05/2025
Se ha encontrado una vulnerabilidad clasificada como problemática en SourceCodester Online Student Clearance System 1.0. La vulnerabilidad se ve afectada por una función desconocida del archivo /admin/add-admin.php. La manipulación del argumento "Username" provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en SourceCodester Online Student Clearance System 1.0 (CVE-2025-4470)
Severidad: MEDIA
Fecha de publicación: 09/05/2025
Fecha de última actualización: 14/05/2025
Se encontró una vulnerabilidad clasificada como problemática en SourceCodester Online Student Clearance System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/add-student.php. La manipulación del argumento "Fullname" provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.