Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Netgear (CVE-2024-28339)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 27/05/2025
    Una fuga de información en el componente debuginfo.htm de Netgear CBR40 2.5.0.28, Netgear CBK40 2.5.0.28 y Netgear CBK43 2.5.0.28 permite a los atacantes obtener información confidencial sin necesidad de autenticación.
  • Vulnerabilidad en Netgear (CVE-2024-28340)
    Severidad: ALTA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 27/05/2025
    Una fuga de información en el componente currentsetting.htm de Netgear CBR40 2.5.0.28, Netgear CBK40 2.5.0.28 y Netgear CBK43 2.5.0.28 permite a los atacantes obtener información confidencial sin necesidad de autenticación.
  • Vulnerabilidad en Bento4 v1.6.0-641-2-g1529b83 (CVE-2024-30806)
    Severidad: MEDIA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió un problema en Bento4 v1.6.0-641-2-g1529b83. Hay un desbordamiento de almacenamiento dinámico en AP4_Dec3Atom::AP4_Dec3Atom en Ap4Dec3Atom.cpp, lo que provoca una denegación de servicio (DoS), como lo demuestra mp42aac.
  • Vulnerabilidad en Bento4 v1.6.0-641-2-g1529b83 (CVE-2024-30807)
    Severidad: ALTA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió un problema en Bento4 v1.6.0-641-2-g1529b83. Hay un heap-use-after-free en AP4_UnknownAtom::~AP4_UnknownAtom en Ap4Atom.cpp, lo que provoca una denegación de servicio (DoS), como lo demuestra mp42ts.
  • Vulnerabilidad en Bento4 v1.6.0-641-2-g1529b83 (CVE-2024-30808)
    Severidad: BAJA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió un problema en Bento4 v1.6.0-641-2-g1529b83. Hay un heap-use-after-free en AP4_SubStream::~AP4_SubStream en Ap4ByteStream.cpp, lo que provoca una denegación de servicio (DoS), como lo demuestra mp42ts.
  • Vulnerabilidad en Bento4 v1.6.0-641-2-g1529b83 (CVE-2024-30809)
    Severidad: ALTA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió un problema en Bento4 v1.6.0-641-2-g1529b83. Hay un heap-use-after-free en Ap4Sample.h en AP4_Sample::GetOffset() const, lo que lleva a una denegación de servicio (DoS), como lo demuestra mp42ts.
  • Vulnerabilidad en ZoneMinder (CVE-2020-25730)
    Severidad: ALTA
    Fecha de publicación: 04/04/2024
    Fecha de última actualización: 27/05/2025
    Una vulnerabilidad de Cross Site Scripting (XSS) en ZoneMinder anterior a la versión 1.34.21, permite a atacantes remotos ejecutar código arbitrario, escalar privilegios y obtener información confidencial a través del componente PHP_SELF en classic/views/download.php.
  • Vulnerabilidad en JFreeChart v1.5.4 (CVE-2024-22949)
    Severidad: CRÍTICA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió que JFreeChart v1.5.4 contenía una excepción NullPointerException a través del componente /chart/annotations/CategoryLineAnnotation.
  • Vulnerabilidad en JFreeChart v1.5.4 (CVE-2023-52070)
    Severidad: ALTA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió que JFreeChart v1.5.4 era vulnerable a ArrayIndexOutOfBounds mediante el método 'setSeriesNeedle(int index, int type)'. NOTA: esto es cuestionado por varios terceros que creen que no había pruebas razonables para determinar la existencia de una vulnerabilidad. Es posible que la presentación se haya basado en una herramienta que no es lo suficientemente sólida para la identificación de vulnerabilidades.
  • Vulnerabilidad en JFreeChart v1.5.4 (CVE-2024-23077)
    Severidad: ALTA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió que JFreeChart v1.5.4 era vulnerable a ArrayIndexOutOfBounds a través del componente /chart/plot/CompassPlot.java. NOTA: esto es cuestionado por varios terceros que creen que no había pruebas razonables para determinar la existencia de una vulnerabilidad. Es posible que la presentación se haya basado en una herramienta que no es lo suficientemente sólida para la identificación de vulnerabilidades.
  • Vulnerabilidad en Michael Leithold DSGVO All in one para WP (CVE-2024-27967)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 27/05/2025
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Michael Leithold DSGVO All in one para WP. Este problema afecta a DSGVO All in one para WP: desde n/a hasta 4.3.
  • Vulnerabilidad en Cobham SAILOR VSAT Ku v.164B019 (CVE-2023-44852)
    Severidad: ALTA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 27/05/2025
    Vulnerabilidad de Cross Site Scripting (XSS) en Cobham SAILOR VSAT Ku v.164B019, permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para la función c_set_traps_decode en el archivo acu_web.
  • Vulnerabilidad en Cobham SAILOR VSAT Ku v.164B019 (CVE-2023-44853)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 27/05/2025
    Se descubrió un problema en Cobham SAILOR VSAT Ku v.164B019, que permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para la función sub_219C4 en el archivo acu_web.
  • Vulnerabilidad en Cobham SAILOR VSAT Ku v.164B019 (CVE-2023-44854)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 27/05/2025
    Vulnerabilidad de Cross Site Scripting (XSS) en Cobham SAILOR VSAT Ku v.164B019, permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para la función c_set_rslog_decode en el archivo acu_web.
  • Vulnerabilidad en Cobham SAILOR VSAT Ku v.164B019 (CVE-2023-44857)
    Severidad: ALTA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 27/05/2025
    Un problema en Cobham SAILOR VSAT Ku v.164B019 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para la función sub_21D24 en el componente acu_web.
  • Vulnerabilidad en FlowiseAI Inc Flowise v.1.6.2 (CVE-2024-31621)
    Severidad: ALTA
    Fecha de publicación: 29/04/2024
    Fecha de última actualización: 27/05/2025
    Un problema en FlowiseAI Inc Flowise v.1.6.2 y anteriores permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para el componente api/v1.
  • Vulnerabilidad en ZoneMinder (CVE-2023-31493)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 27/05/2025
    RCE (Remote Code Execution) existe en ZoneMinder hasta la versión 1.36.33, ya que un atacante puede crear un nuevo archivo de registro .php en la carpeta de idioma, mientras ejecuta un payload manipulado y escalar privilegios que permitan la ejecución de cualquier comando en el sistema remoto.
  • Vulnerabilidad en Tenda AC7 15.03.06.44 (CVE-2025-3346)
    Severidad: ALTA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad en Tenda AC7 15.03.06.44. Se ha clasificado como crítica. Este problema afecta a la función formSetPPTPServer del archivo /goform/SetPptpServerCfg. La manipulación del argumento pptp_server_start_ip/pptp_server_end_ip provoca un desbordamiento del búfer. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46626)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    La reutilización de una clave AES estática y un vector de inicialización para el tráfico cifrado hacia el servicio de gestión 'ate' del Tenda RX2 Pro 16.03.30.14 permite a un atacante descifrar, reproducir y/o falsificar el tráfico hacia el servicio.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46627)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    El uso de credenciales débiles en el Tenda RX2 Pro 16.03.30.14 permite a un atacante no autenticado autenticarse en el servicio Telnet calculando la contraseña root a partir de información del dispositivo fácilmente obtenible. La contraseña se basa en los dos últimos dígitos/octetos de la dirección MAC.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46628)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    La falta de validación/depuración de entrada en el servicio de gestión "ate" del Tenda RX2 Pro 16.03.30.14 permite que un atacante remoto no autorizado obtenga acceso root al dispositivo mediante el envío de un paquete UDP manipulado al servicio "ate" cuando este está habilitado. No se requiere autenticación.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46629)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    La falta de controles de acceso en el binario de administración 'ate' del Tenda RX2 Pro 16.03.30.14 permite que un atacante remoto no autenticado realice cambios de configuración no autorizados para cualquier enrutador donde se haya habilitado 'ate' mediante el envío de un paquete UDP manipulado.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46630)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    Los controles de acceso inadecuados en el portal de administración web de Tenda RX2 Pro 16.03.30.14 permiten que un atacante remoto no autenticado habilite 'ate' (un binario de administración del sistema remoto) enviando una solicitud web /goform/ate.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46631)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    Los controles de acceso inadecuados en el portal de administración web del Tenda RX2 Pro 16.03.30.14 permiten que un atacante remoto no autenticado habilite el acceso telnet al sistema operativo del enrutador mediante el envío de una solicitud web /goform/telnet.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46632)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    La reutilización del vector de inicialización (IV) en el portal de administración web de Tenda RX2 Pro 16.03.30.14 puede permitir que un atacante discierna información o descifre más fácilmente los mensajes cifrados entre el cliente y el servidor.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46633)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    La transmisión de información confidencial en texto plano en el portal de administración web del Tenda RX2 Pro 16.03.30.14 permite a un atacante descifrar el tráfico entre el cliente y el servidor mediante la recopilación de la clave AES simétrica del tráfico recopilado u observado. La clave AES se envía en texto plano en respuesta a una autenticación exitosa. El IV siempre es EU5H62G9ICGRNI43.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46634)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    La transmisión de información confidencial en texto plano en el portal de administración web del Tenda RX2 Pro 16.03.30.14 podría permitir que un atacante no autenticado se autentique en dicho portal recopilando credenciales del tráfico observado/recopilado. Implementa cifrado, pero solo después de que el usuario haya transmitido el hash de su contraseña en texto plano. El hash puede reproducirse para la autenticación.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46635)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    Se detectó un problema en los dispositivos Tenda RX2 Pro 16.03.30.14. Un aislamiento de red inadecuado entre la red Wi-Fi de invitado y otras interfaces de red del router permite a un atacante (autenticado en la red Wi-Fi de invitado) acceder a recursos del router o a recursos y dispositivos de otras redes alojadas por este configurando una dirección IP estática (dentro de la subred no de invitado) en su host.
  • Vulnerabilidad en Tenda RX2 Pro 16.03.30.14 (CVE-2025-46625)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 27/05/2025
    La falta de validación/depuración de entrada en el endpoint de la API 'setLanCfg' en httpd en Tenda RX2 Pro 16.03.30.14 permite que un atacante remoto autorizado al portal de administración web obtenga acceso root al dispositivo mediante una solicitud web manipulada. Esto es persistente porque la inyección de comandos se guarda en la configuración del dispositivo.
  • Vulnerabilidad en Tenda AC9 V15.03.06.42_multi (CVE-2025-44872)
    Severidad: CRÍTICA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 27/05/2025
    Se detectó que Tenda AC9 V15.03.06.42_multi contiene una vulnerabilidad de inyección de comandos en la función formsetUsbUnload mediante el parámetro deviceName. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante una solicitud manipulada.
  • Vulnerabilidad en Tenda AC9 V15.03.06.42_multi (CVE-2025-44877)
    Severidad: CRÍTICA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 27/05/2025
    Se detectó que Tenda AC9 V15.03.06.42_multi contenía una vulnerabilidad de inyección de comandos en la función formSetSambaConf mediante el parámetro usbname. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante una solicitud manipulada.
  • Vulnerabilidad en Tenda FH451 V1.0.0.9 (CVE-2025-45514)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 27/05/2025
    Tenda FH451 V1.0.0.9 tiene una vulnerabilidad de desbordamiento de pila en function.frmL7ImForm.
  • Vulnerabilidad en macOS Sequoia, visionOS, iPadOS, watchOS, macOS Sonoma, iOS, tvOS y macOS Ventura (CVE-2025-24111)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de corrupción de memoria mejorando la gestión del estado. Este problema está corregido en macOS Sequoia 15.3, visionOS 2.3, iPadOS 17.7.7, watchOS 11.3, macOS Sonoma 14.7.5, iOS 18.3 y iPadOS 18.3, tvOS 18.3 y macOS Ventura 13.7.5. Una aplicación podría provocar el cierre inesperado del sistema.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-24142)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de privacidad mejorando la redacción de datos privados en las entradas de registro. Este problema se solucionó en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma, visionOS, iPadOS, watchOS, macOS Ventura, iOS y tvOS (CVE-2025-24144)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de divulgación de información eliminando el código vulnerable. Este problema está corregido en macOS Sequoia 15.3, macOS Sonoma 14.7.6, visionOS 2.3, iPadOS 17.7.7, watchOS 11.3, macOS Ventura 13.7.6, iOS 18.3, iPadOS 18.3 y tvOS 18.3. Una aplicación podría filtrar información confidencial del estado del kernel.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-24155)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Sequoia 15.3, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Es posible que una aplicación pueda revelar memoria del kernel.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-24220)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en iPadOS 17.7.7, iOS 18.4 y iPadOS 18.4. Es posible que una aplicación pueda leer un identificador de dispositivo persistente.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24222)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema se solucionó en macOS Sequoia 15.5. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado del proceso.
  • Vulnerabilidad en watchOS, tvOS5, iOS, iPadOS, macOS Sequoia, visionOS y Safari (CVE-2025-24223)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. Procesar contenido web malintencionado puede provocar daños en la memoria.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-24225)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de inyección mejorando la validación de entrada. Este problema se solucionó en iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5. Procesar un correo electrónico puede provocar la suplantación de la interfaz de usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24258)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Sequoia 15.4, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Una aplicación podría obtener privilegios de root.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24274)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de validación de entrada eliminando el código vulnerable. Este problema está corregido en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una aplicación maliciosa podría obtener privilegios de root.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-30436)
    Severidad: CRÍTICA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Este problema se solucionó restringiendo las opciones disponibles en un dispositivo bloqueado. Este problema se solucionó en iOS 18.4 y iPadOS 18.4. Un atacante podría usar Siri para habilitar la respuesta automática de llamadas.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30442)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando la limpieza de entrada. Este problema está corregido en macOS Sequoia 15.4, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Es posible que una aplicación obtenga privilegios elevados.
  • Vulnerabilidad en macOS Sonoma, iPadOS, iOS, visionOS, macOS Ventura y macOS Sequoia (CVE-2025-30448)
    Severidad: CRÍTICA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Este problema se solucionó con comprobaciones adicionales de derechos. Este problema está corregido en macOS Sonoma 14.7.6, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, visionOS 2.5, macOS Ventura 13.7.6 y macOS Sequoia 15.4. Un atacante podría activar el uso compartido de una carpeta de iCloud sin autenticación.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-30453)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó con comprobaciones de permisos adicionales. Este problema está corregido en macOS Sequoia 15.4, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Una aplicación maliciosa podría obtener privilegios de root.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-31195)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó añadiendo lógica adicional. Este problema está corregido en macOS Sequoia 15.4. Una aplicación podría salir de su entorno de pruebas.
  • Vulnerabilidad en iPadOS, macOS Ventura y macOS Sonoma (CVE-2025-31196)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó una lectura fuera de los límites mejorando la validación de entrada. Este problema se solucionó en iPadOS 17.7.7, macOS Ventura 13.7.6 y macOS Sonoma 14.7.6. Procesar un archivo manipulado con fines maliciosos puede provocar una denegación de servicio o la posible divulgación del contenido de la memoria.
  • Vulnerabilidad en watchOS, tvOS, iOS, iPadOS, macOS Sequoia, visionOS y Safari (CVE-2025-31204)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. Procesar contenido web malintencionado puede provocar daños en la memoria.
  • Vulnerabilidad en watchOS, tvOS, iOS, iPadOS, macOS Sequoia, visionOS y Safari (CVE-2025-31205)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. Un sitio web malicioso podría exfiltrar datos de origen cruzado.
  • Vulnerabilidad en watchOS, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y Safari (CVE-2025-31206)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de confusión de tipos mejorando la gestión del estado. Este problema está corregido en watchOS 11.5, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-31207)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en iOS 18.5 y iPadOS 18.5. Una aplicación podría enumerar las aplicaciones instaladas de un usuario.
  • Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31208)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Analizar un archivo puede provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31209)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de los límites. Este problema se solucionó en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Analizar un archivo puede provocar la divulgación de información del usuario.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-31210)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    El problema se solucionó mejorando la interfaz de usuario. Este problema está corregido en iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5. El procesamiento de contenido web puede provocar una denegación de servicio.
  • Vulnerabilidad en watchOS, tvOS, iOS, iPadOS, macOS Sequoia y visionOS (CVE-2025-31212)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 27/05/2025
    Este problema se solucionó mejorando la gestión del estado. Está corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5 y visionOS 2.5. Una app podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en SourceCodester Best Employee Management System 1.0 (CVE-2025-44186)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 27/05/2025
    SourceCodester Best Employee Management System 1.0 es vulnerable a Cross Site Request Forgery (CSRF) en la página /admin/Operation/User.php.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4711)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad clasificada como crítica en Campcodes Sales and Inventory System 1.0. Esta afecta a una parte desconocida del archivo /pages/stockin_add.php. La manipulación del argumento prod_name provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4712)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se ha detectado una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /pages/account_summary.php. La manipulación del argumento cid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4713)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /pages/print.php. La manipulación del argumento sid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4714)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /pages/reprint.php. La manipulación del argumento sid provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4715)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /pages/view_application.php. La manipulación del argumento cid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4716)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /pages/credit_transaction_add.php. La manipulación del argumento prod_name provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Student Result Management System 1.0 (CVE-2025-4720)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad en SourceCodester Student Result Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo academic/core/drop_student.php. La manipulación del argumento img provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2025-4721)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad en itsourcecode Placement Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /drive.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2025-4722)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se ha detectado una vulnerabilidad crítica en itsourcecode Placement Management System 1.0. Se ve afectada una función desconocida del archivo /edit_profile.php. La manipulación del argumento "Name" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2025-4723)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se encontró una vulnerabilidad crítica en itsourcecode Placement Management System 1.0. Esta vulnerabilidad afecta una funcionalidad desconocida del archivo /all_student.php. La manipulación del argumento "delete" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2025-4724)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 27/05/2025
    Se ha detectado una vulnerabilidad crítica en itsourcecode Placement Management System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /student_profile.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.