Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en PrestaShop (CVE-2024-25843)
Severidad: CRÍTICA
Fecha de publicación: 27/02/2024
Fecha de última actualización: 15/05/2025
En el módulo "Importar/Actualizar producto masivo desde cualquier archivo Csv/Excel Pro" (ba_importer) hasta la versión 1.1.28 de Comprar complementos para PrestaShop, un invitado puede realizar inyección SQL en las versiones afectadas.
-
Vulnerabilidad en CSZ CMS v.1.3.0 (CVE-2024-27734)
Severidad: MEDIA
Fecha de publicación: 01/03/2024
Fecha de última actualización: 15/05/2025
Una vulnerabilidad de Cross-Site Scripting en CSZ CMS v.1.3.0 permite a un atacante ejecutar código arbitrario a través de un Cross Site Scripting en los campos Nombre del sitio del componente Configuración del sitio.
-
Vulnerabilidad en Pkp Ojs v3.3 (CVE-2024-25438)
Severidad: MEDIA
Fecha de publicación: 01/03/2024
Fecha de última actualización: 15/05/2025
Una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo de envío de Pkp Ojs v3.3 permite a los atacantes ejecutar script web o HTML arbitrarios a través de un payload manipulado inyectado en el campo Asunto de entrada bajo la función Agregar discusión.
-
Vulnerabilidad en PrestaShop (CVE-2024-24307)
Severidad: ALTA
Fecha de publicación: 03/03/2024
Fecha de última actualización: 15/05/2025
Vulnerabilidad de Path Traversal en el módulo "Product Designer" (manipulador de productos) de Tunis Soft para PrestaShop anterior a la versión 1.178.36, permite a un atacante remoto escalar privilegios y obtener información confidencial a través del método ajaxProcessCropImage().
-
Vulnerabilidad en PrestaShop (CVE-2024-24302)
Severidad: CRÍTICA
Fecha de publicación: 03/03/2024
Fecha de última actualización: 15/05/2025
Se descubrió un problema en el módulo "Product Designer" (productdesigner) de Tunis Soft para PrestaShop anterior a la versión 1.178.36, que permite a atacantes remotos ejecutar código arbitrario, escalar privilegios y obtener información confidencial a través del método postProcess().
-
Vulnerabilidad en PrestaShop (CVE-2024-25839)
Severidad: ALTA
Fecha de publicación: 03/03/2024
Fecha de última actualización: 15/05/2025
Se descubrió un problema en el módulo "Super Newsletter" (supernewsletter) de Webbax para las versiones 1.4.21 y anteriores de PrestaShop, que permite a atacantes locales escalar privilegios y obtener información confidencial.
-
Vulnerabilidad en Bento4 1.6.0-641 (CVE-2024-57598)
Severidad: MEDIA
Fecha de publicación: 05/02/2025
Fecha de última actualización: 15/05/2025
Se descubrió una vulnerabilidad de excepción de punto flotante (división por cero) en Bento4 1.6.0-641 en la función AP4_TfraAtom() de Ap4TfraAtom.cpp que permite a un atacante remoto provocar una vulnerabilidad de denegación de servicio.
-
Vulnerabilidad en Master Slider WordPress (CVE-2024-12173)
Severidad: BAJA
Fecha de publicación: 19/02/2025
Fecha de última actualización: 15/05/2025
El complemento Master Slider WordPress antes de 3.10.5 no depura y escapa a algunas de sus configuraciones, lo que podría permitir que los usuarios de alto privilegio, como el editor y arriba, realicen Cross-Site Scripting Almacenado ataques cuando la capacidad unfiltered_html no está permitida (por ejemplo en configuraciones multisitio).
-
Vulnerabilidad en Photo Gallery, Sliders, Proofing y WordPress (CVE-2024-10545)
Severidad: BAJA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 15/05/2025
El complemento Photo Gallery, Sliders, Proofing y WordPress anterior a la versión 3.59.9 no depura ni escapa algunas de sus configuraciones de imagen, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
-
Vulnerabilidad en WP Pricing Table para WordPress (CVE-2024-13628)
Severidad: MEDIA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 15/05/2025
El complemento WP Pricing Table para WordPress hasta la versión 1.1 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Custom Block Builder de WordPress (CVE-2024-12878)
Severidad: ALTA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 15/05/2025
El complemento Custom Block Builder de WordPress anterior a la versión 3.8.3 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Countdown Timer for Elementor de WordPress (CVE-2024-13113)
Severidad: MEDIA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 15/05/2025
El complemento Countdown Timer for Elementor de WordPress anterior a la versión 1.3.7 no depura ni escapa algunos parámetros al mostrarlos en la página, lo que podría permitir que los usuarios con un rol tan bajo como colaborador realicen ataques de cross site scripting.
-
Vulnerabilidad en Post Timeline de WordPress (CVE-2024-13571)
Severidad: ALTA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 15/05/2025
El complemento Post Timeline de WordPress anterior a la versión 2.3.10 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en WPMovieLibrary de WordPress (CVE-2024-13624)
Severidad: ALTA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 15/05/2025
El complemento WPMovieLibrary de WordPress hasta la versión 2.1.4.8 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting Reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
-
Vulnerabilidad en Simple Certain Time to Show Content de WordPress (CVE-2024-10152)
Severidad: ALTA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 15/05/2025
El complemento Simple Certain Time to Show Content de WordPress anterior a 1.3.1 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
-
Vulnerabilidad en Simple:Press Forum para WordPress (CVE-2024-10483)
Severidad: ALTA
Fecha de publicación: 26/02/2025
Fecha de última actualización: 15/05/2025
El complemento Simple:Press Forum para WordPress anterior a la versión 6.10.11 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting Reflejado.
-
Vulnerabilidad en projectworlds Online Hotel Booking 1.0 (CVE-2025-1964)
Severidad: MEDIA
Fecha de publicación: 05/03/2025
Fecha de última actualización: 15/05/2025
Se ha encontrado una vulnerabilidad en projectworlds Online Hotel Booking 1.0. Se ha calificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo /booknow.php?roomname=Duplex. La manipulación del argumento checkin provoca una inyección SQL. El ataque puede iniciarse de forma remota. Se ha hecho público el exploit y puede que sea utilizado. También pueden verse afectados otros parámetros.
-
Vulnerabilidad en code-projects Bus Reservation System 1.0 (CVE-2025-3139)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 15/05/2025
Se encontró una vulnerabilidad en code-projects Bus Reservation System 1.0, clasificada como crítica. Este problema afecta a la función "Login" del componente "Login Form". La manipulación del argumento Str1 provoca un desbordamiento del búfer. Es posible lanzar el ataque en el host local. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en Project Worlds Online Lawyer Management System 1.0 (CVE-2025-3172)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 15/05/2025
Se ha detectado una vulnerabilidad clasificada como crítica en Project Worlds Online Lawyer Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /lawyer_booking.php. La manipulación del argumento unblock_id provoca una inyección SQL. El ataque podría iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en Project Worlds Online Lawyer Management System 1.0 (CVE-2025-3175)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 15/05/2025
Se encontró una vulnerabilidad en Project Worlds Online Lawyer Management System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /save_user_edit_profile.php. La manipulación del argumento first_Name provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en Project Worlds Online Lawyer Management System 1.0 (CVE-2025-3176)
Severidad: MEDIA
Fecha de publicación: 03/04/2025
Fecha de última actualización: 15/05/2025
Se encontró una vulnerabilidad en Project Worlds Online Lawyer Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /single_lawyer.php. La manipulación del argumento u_id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en elunez eladmin 2.7 (CVE-2025-3250)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 15/05/2025
Se ha encontrado una vulnerabilidad clasificada como problemática en elunez eladmin 2.7. Este problema afecta a una funcionalidad desconocida del archivo /api/database/testConnect del componente Módulo de Gestión de Mantenimiento. La manipulación provoca la deserialización. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en WP-GeSHi-Highlight — rock-solid syntax highlighting for 259 languages de WordPress (CVE-2024-13896)
Severidad: MEDIA
Fecha de publicación: 10/04/2025
Fecha de última actualización: 15/05/2025
El complemento WP-GeSHi-Highlight — rock-solid syntax highlighting for 259 languages de WordPress hasta la versión 1.4.3, procesa la entrada proporcionada por el usuario como una expresión regular a través de la función wp_geshi_filter_replace_code(), lo que podría provocar un problema de denegación de servicio de expresiones regulares (ReDoS).
-
Vulnerabilidad en Projectworlds Online Examination System 1.0 (CVE-2025-4058)
Severidad: MEDIA
Fecha de publicación: 29/04/2025
Fecha de última actualización: 15/05/2025
Se ha detectado una vulnerabilidad crítica en Projectworlds Online Examination System 1.0. Esta afecta a una parte desconocida del archivo /Bloodgroop_process.php. La manipulación del argumento Pat_BloodGroup1 provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en code-projects Prison Management System 1.0 (CVE-2025-4059)
Severidad: MEDIA
Fecha de publicación: 29/04/2025
Fecha de última actualización: 15/05/2025
Se encontró una vulnerabilidad clasificada como crítica en code-projects Prison Management System 1.0. Esta vulnerabilidad afecta la función addrecord del componente Prison_Mgmt_Sys. La manipulación del argumento filename provoca un desbordamiento del búfer en la pila. Un ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.