Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Gutenberg Blocks with AI by Kadence WP WordPress (CVE-2024-6884)
Severidad: MEDIA
Fecha de publicación: 08/08/2024
Fecha de última actualización: 27/05/2025
El complemento Gutenberg Blocks with AI by Kadence WP WordPress anterior a 3.2.39 no valida ni escapa algunas de sus opciones de bloqueo antes de devolverlas a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superiores realizar ataques de Cross-Site Scripting Almacenado
-
Vulnerabilidad en Category Posts Widget y term-and-category-based-posts-widget de WordPress (CVE-2024-6158)
Severidad: MEDIA
Fecha de publicación: 12/08/2024
Fecha de última actualización: 27/05/2025
El complemento Category Posts Widget de WordPress anterior a 4.9.17, el complemento term-and-category-based-posts-widget de WordPress anterior a 4.9.13 no valida ni escapa algunas de las configuraciones del widget de "Publicaciones de categoría" antes de devolverlas a una página/ publicar donde está incrustado el widget, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
-
Vulnerabilidad en GEO my WP WordPress (CVE-2024-6330)
Severidad: CRÍTICA
Fecha de publicación: 19/08/2024
Fecha de última actualización: 27/05/2025
El complemento GEO my WP WordPress anterior a 4.5.0.2 no impide que atacantes no autenticados incluyan archivos arbitrarios en el contexto de ejecución de PHP, lo que conduce a la ejecución remota de código.
-
Vulnerabilidad en AI Engine (CVE-2024-6451)
Severidad: ALTA
Fecha de publicación: 19/08/2024
Fecha de última actualización: 27/05/2025
AI Engine < 2.4.3 es susceptible a la ejecución remota de código (RCE) a través del envenenamiento de registros. El complemento AI Engine WordPress anterior a 2.5.1 no valida la extensión de archivo "logs_path", lo que permite a los administradores cambiar los tipos de archivos de registro de .log a .php.
-
Vulnerabilidad en ChatGPT de WordPress (CVE-2024-6843)
Severidad: MEDIA
Fecha de publicación: 19/08/2024
Fecha de última actualización: 27/05/2025
El Chatbot con el complemento ChatGPT de WordPress anterior a 2.4.5 no desinfecta ni escapa a las entradas de los usuarios, lo que podría permitir a usuarios no autenticados realizar ataques de Cross-Site Scripting Almacenado contra administradores.
-
Vulnerabilidad en Chatbot with ChatGPT de WordPress (CVE-2024-6847)
Severidad: CRÍTICA
Fecha de publicación: 20/08/2024
Fecha de última actualización: 27/05/2025
El complemento Chatbot with ChatGPT de WordPress anterior a 2.4.5 no desinfecta ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que genera una inyección de SQL explotable por usuarios no autenticados al enviar mensajes al chatbot.
-
Vulnerabilidad en Apache Roller (CVE-2024-46911)
Severidad: MEDIA
Fecha de publicación: 14/10/2024
Fecha de última actualización: 27/05/2025
Vulnerabilidad de escalada de privilegios por Cross-site Resource Forgery (CSRF) en Apache Roller. En los sitios web de Roller con varios blogs y usuarios, por defecto, se confía en los propietarios de los blogs para que publiquen contenido arbitrario en los blogs y esto, combinado con una deficiencia en las protecciones CSRF de Roller, permitió un ataque de escalada de privilegios. Este problema afecta a Apache Roller anterior a la versión 6.1.4. Se recomienda a los usuarios de Roller que ejecutan sitios web de Roller con varios blogs y usuarios que actualicen a la versión 6.1.4, que soluciona el problema. Anuncio de lanzamiento de Roller 6.1.4: https://lists.apache.org/thread/3c3f6rwqptyw6wdc95654fq5vlosqdpw
-
Vulnerabilidad en Wavelog 1.8.5 (CVE-2024-48249)
Severidad: ALTA
Fecha de publicación: 14/10/2024
Fecha de última actualización: 27/05/2025
Wavelog 1.8.5 permite la inyección SQL get_band_confirmed de Gridmap_model.php mediante banda, satélite, propagación o modo.
-
Vulnerabilidad en dingfanzu CMS V1.0 (CVE-2024-48758)
Severidad: MEDIA
Fecha de publicación: 16/10/2024
Fecha de última actualización: 27/05/2025
Se descubrió que dingfanzu CMS V1.0 contiene Cross-Site Request Forgery (CSRF) a través del parámetro addPro del componente doAdminAction.php que permite a un atacante remoto ejecutar código arbitrario.
-
Vulnerabilidad en Total.js CMS v.1.0 (CVE-2024-48655)
Severidad: ALTA
Fecha de publicación: 25/10/2024
Fecha de última actualización: 27/05/2025
Un problema en Total.js CMS v.1.0 permite a un atacante remoto ejecutar código arbitrario a través del archivo func.js.
-
Vulnerabilidad en dingfanzu CMS 1.0 (CVE-2024-48191)
Severidad: MEDIA
Fecha de publicación: 28/10/2024
Fecha de última actualización: 27/05/2025
Se descubrió que dingfanzu CMS 1.0 contenía Cross-Site Request Forgery (CSRF) a través del componente /admin/doAdminAction.php?act=delAdmin&id=17
-
Vulnerabilidad en dingfanzu CMS 1.0 (CVE-2024-48291)
Severidad: MEDIA
Fecha de publicación: 28/10/2024
Fecha de última actualización: 27/05/2025
Se descubrió que dingfanzu CMS 1.0 contenía Cross-Site Request Forgery (CSRF) a través de /admin/doAdminAction.php?act=editAdmin&id=17
-
Vulnerabilidad en langflow v1.0.12 (CVE-2024-42835)
Severidad: CRÍTICA
Fecha de publicación: 31/10/2024
Fecha de última actualización: 27/05/2025
Se descubrió que langflow v1.0.12 contenía una vulnerabilidad de ejecución remota de código (RCE) a través del componente PythonCodeTool.
-
Vulnerabilidad en Floodlight SDN OpenFlow Controller v.1.2 (CVE-2024-51407)
Severidad: MEDIA
Fecha de publicación: 01/11/2024
Fecha de última actualización: 27/05/2025
Floodlight SDN OpenFlow Controller v.1.2 tiene un problema que permite que los hosts locales construyan puertos de transmisión falsos, lo que provoca anomalías de comunicación entre hosts.
-
Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30440)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Es posible que una aplicación pueda omitir ASLR.
-
Vulnerabilidad en iPadOS, macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31213)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de registro mejorando la redacción de datos. Este problema está corregido en iPadOS 17.7.7, macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una app podría acceder a los nombres de usuario y sitios web asociados en el llavero de iCloud de un usuario.
-
Vulnerabilidad en watchOS, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y Safari (CVE-2025-31217)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la validación de entrada. Este problema está corregido en watchOS 11.5, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado de Safari.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31218)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Este problema se solucionó eliminando el código vulnerable. Este problema está corregido en macOS Sequoia 15.5. Una aplicación podría observar los nombres de host de las nuevas conexiones de red.
-
Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31219)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Un atacante podría provocar la finalización inesperada del sistema o dañar la memoria del kernel.
-
Vulnerabilidad en iPadOS, macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31220)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de privacidad eliminando datos confidenciales. Este problema está corregido en iPadOS 17.7.7, macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una aplicación maliciosa podría acceder a información confidencial de ubicación.
-
Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31221)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un desbordamiento de enteros mejorando la validación de entrada. Este problema se solucionó en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Un atacante remoto podría tener la capacidad de filtrar memoria.
-
Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iOS, iPadOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31222)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de corrección mejorando las comprobaciones. Este problema se solucionó en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Es posible que los usuarios puedan elevar privilegios.
-
Vulnerabilidad en watchOS, tvOS, iOS, iPadOS, macOS Sequoia, visionOS y Safari (CVE-2025-31223)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando las comprobaciones. Este problema está corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malintencionado puede provocar daños en la memoria.
-
Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-31224)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Es posible que una aplicación pueda omitir ciertas preferencias de privacidad.
-
Vulnerabilidad en iOS y iPadOS (CVE-2025-31225)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de privacidad eliminando datos confidenciales. Este problema se solucionó en iOS 18.5 y iPadOS 18.5. El historial de llamadas de las apps eliminadas aún puede aparecer en los resultados de búsqueda de Spotlight.
-
Vulnerabilidad en watchOS, tvOS, iOS, iPadOS, macOS Sequoia y visionOS (CVE-2025-31226)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en watchOS 11.5, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5 y visionOS 2.5. Procesar una imagen manipulada con fines maliciosos puede provocar una denegación de servicio.
-
Vulnerabilidad en iOS y iPadOS (CVE-2025-31227)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en iOS 18.5 y iPadOS 18.5. Un atacante con acceso físico a un dispositivo podría acceder a una grabación de llamada eliminada.
-
Vulnerabilidad en iOS y iPadOS (CVE-2025-31228)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la autenticación. Este problema está corregido en iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5. Un atacante con acceso físico a un dispositivo podría acceder a las notas desde la pantalla de bloqueo.
-
Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31232)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una aplicación en un entorno aislado podría acceder a datos confidenciales del usuario.
-
Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, iPadOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31233)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la limpieza de entrada. Este problema está corregido en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Procesar un archivo de vídeo manipulado con fines maliciosos puede provocar el cierre inesperado de la aplicación o la corrupción de la memoria del proceso.
-
Vulnerabilidad en visionOS, iOS, iPadOS, macOS Sequoia y tvOS (CVE-2025-31234)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la limpieza de entrada. Este problema está corregido en visionOS 2.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5 y tvOS 18.5. Un atacante podría provocar la finalización inesperada del sistema o dañar la memoria del kernel.
-
Vulnerabilidad en iPadOS, macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31235)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de doble liberación mejorando la gestión de memoria. Este problema está corregido en iPadOS 17.7.7, macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una aplicación podría provocar el cierre inesperado del sistema.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31236)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de divulgación de información mejorando los controles de privacidad. Este problema se solucionó en macOS Sequoia 15.5. Una aplicación podría acceder a datos confidenciales del usuario.
-
Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31237)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Este problema se solucionó mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Montar un recurso compartido de red AFP manipulado con fines maliciosos puede provocar la interrupción del sistema.
-
Vulnerabilidad en watchOS, tvOS, iOS, iPadOS, macOS Sequoia, visionOS y Safari (CVE-2025-31238)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando las comprobaciones. Este problema está corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malintencionado puede provocar daños en la memoria.
-
Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31239)
Severidad: BAJA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de use-after-free mejorando la gestión de memoria. Este problema se solucionó en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Analizar un archivo puede provocar el cierre inesperado de la aplicación.
-
Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31240)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Este problema se solucionó mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Montar un recurso compartido de red AFP manipulado con fines maliciosos puede provocar la interrupción del sistema.
-
Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31241)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de doble liberación mejorando la gestión de memoria. Este problema se solucionó en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Un atacante remoto podría provocar el cierre inesperado de la aplicación.
-
Vulnerabilidad en iPadOS, macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31242)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de privacidad mejorando la redacción de datos privados en las entradas del registro. Este problema se solucionó en iPadOS 17.7.7, macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Una aplicación podría acceder a datos confidenciales del usuario.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31244)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó una omisión de cuarentena de archivos con comprobaciones adicionales. Este problema se solucionó en macOS Sequoia 15.5. Una aplicación podría salir de su zona de pruebas.
-
Vulnerabilidad en macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31245)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Una aplicación podría provocar el cierre inesperado del sistema.
-
Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-31246)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la gestión de la memoria. Este problema se solucionó en macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Conectarse a un servidor AFP malicioso puede dañar la memoria del kernel.
-
Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-31247)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema lógico mejorando la gestión del estado. Este problema se solucionó en macOS Ventura 13.7.6, macOS Sequoia 15.5 y macOS Sonoma 14.7.6. Un atacante podría acceder a partes protegidas del sistema de archivos.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31249)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Sequoia 15.5. Una aplicación podría acceder a datos confidenciales del usuario.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31250)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de divulgación de información mejorando los controles de privacidad. Este problema se solucionó en macOS Sequoia 15.5. Una aplicación podría acceder a datos confidenciales del usuario.
-
Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31251)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la limpieza de entrada. Este problema está corregido en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Procesar un archivo multimedia manipulado con fines maliciosos puede provocar el cierre inesperado de la aplicación o la corrupción de la memoria del proceso.
-
Vulnerabilidad en iOS y iPadOS (CVE-2025-31253)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Este problema se solucionó mejorando la gestión del estado. Este problema se solucionó en iOS 18.5 y iPadOS 18.5. Silenciar el micrófono durante una llamada de FaceTime podría no silenciar el audio.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31256)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la gestión de cachés. Este problema se solucionó en macOS Sequoia 15.5. La esquina activa puede revelar inesperadamente las notas eliminadas de un usuario.
-
Vulnerabilidad en watchOS, tvOS, iOS, iPadOS, macOS Sequoia, visionOS y Safari (CVE-2025-31257)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Este problema se solucionó mejorando la gestión de la memoria. Está corregido en watchOS 11.5, tvOS 18.5, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y Safari 18.5. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado de Safari.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31258)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Este problema se solucionó eliminando el código vulnerable. Este problema está corregido en macOS Sequoia 15.5. Una aplicación podría escapar de su entorno de pruebas.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31259)
Severidad: ALTA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
El problema se solucionó mejorando la limpieza de entrada. Este problema está corregido en macOS Sequoia 15.5. Una aplicación podría obtener privilegios elevados.
-
Vulnerabilidad en macOS Sequoia (CVE-2025-31260)
Severidad: MEDIA
Fecha de publicación: 12/05/2025
Fecha de última actualización: 27/05/2025
Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.5. Una aplicación podría acceder a datos confidenciales del usuario.
-
Vulnerabilidad en Samsung MagicINFO 9 Server (CVE-2025-4632)
Severidad: CRÍTICA
Fecha de publicación: 13/05/2025
Fecha de última actualización: 27/05/2025
La vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido en Samsung MagicINFO 9 Server versión anterior a 21.1052 permite a los atacantes escribir archivos arbitrarios como autoridad del sistema.
-
Vulnerabilidad en illi Link Party! de WordPress (CVE-2023-7229)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento illi Link Party! de WordPress, hasta la versión 1.0, no cuenta con la verificación CSRF al actualizar su configuración, lo que podría permitir a atacantes obligar a un administrador conectado a modificarla mediante un ataque CSRF.
-
Vulnerabilidad en illi Link Party! de WordPress (CVE-2023-7230)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento illi Link Party! de WordPress, hasta la versión 1.0, no depura ni escapa algunos parámetros, lo que podría permitir que usuarios con un rol tan bajo como administrador realicen ataques de Cross-Site Scripting.
-
Vulnerabilidad en illi Link Party! de WordPress (CVE-2023-7231)
Severidad: ALTA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento illi Link Party! de WordPress, hasta la versión 1.0, carece de controles de acceso adecuados, lo que permite que visitantes no autenticados eliminen enlaces.
-
Vulnerabilidad en PVN Auth Popup de WordPress (CVE-2024-6718)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento PVN Auth Popup de WordPress hasta la versión 1.0.0 no valida ni escapa algunos de los atributos de su código corto antes de mostrarlos nuevamente en una página o publicación donde está incrustado el código corto, lo que podría permitir que los usuarios con el rol de colaborador y superior realicen ataques de Cross-Site Scripting almacenado.
-
Vulnerabilidad en JavaScript Logic para WordPress (CVE-2024-8090)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento JavaScript Logic para WordPress hasta la versión 0.1 no tiene verificación CSRF en algunos lugares y le falta depuración y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue payloads XSS almacenado a través de un ataque CSRF.
-
Vulnerabilidad en Ntz Antispam de WordPress (CVE-2024-8094)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento Ntz Antispam de WordPress hasta la versión 2.0e no tiene una verificación CSRF activada al actualizar sus configuraciones, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión las cambie mediante un ataque CSRF.
-
Vulnerabilidad en BabelZ para WordPress (CVE-2024-8095)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento BabelZ para WordPress hasta la versión 1.1.5 no tiene verificación CSRF en algunos lugares y le falta depuración y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue payloads XSS almacenado a través de un ataque CSRF.
-
Vulnerabilidad en Smart Post Show de WordPress (CVE-2024-8187)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento Smart Post Show de WordPress anterior a la versión 3.0.1 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
-
Vulnerabilidad en Page Builder: Pagelayer de WordPress (CVE-2024-8426)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento Page Builder: Pagelayer de WordPress anterior a la versión 1.8.8 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting incluso cuando unfiltered_html no está permitido.
-
Vulnerabilidad en Page Builder: Pagelayer de WordPress (CVE-2024-8618)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
El complemento Page Builder: Pagelayer de WordPress anterior a la versión 1.9.0 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
-
Vulnerabilidad en PHPGurukul Company Visitor Management System 2.0 (CVE-2025-4717)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Company Visitor Management System 2.0. Se trata de una función desconocida del archivo /visitors-form.php. La manipulación del argumento fullname provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2025-4725)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad clasificada como crítica en itsourcecode Placement Management System 1.0. Esta afecta a una parte desconocida del archivo /view_drive.php. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2025-4726)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
Se ha detectado una vulnerabilidad en itsourcecode Placement Management System 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /view_student.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en SourceCodester Best Online News Portal 1.0 (CVE-2025-4728)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad en SourceCodester Best Online News Portal 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /search.php. La manipulación del argumento searchtitle provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4734)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad clasificada como crítica en Campcodes Sales and Inventory System 1.0. La función afectada es desconocida en el archivo /pages/ci_update.php. La manipulación del argumento "Name" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Daily Expense Tracker 1.1 (CVE-2025-4736)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad en PHPGurukul Daily Expense Tracker 1.1, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /register.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en Contact Form builder with drag & drop for WordPress de WordPress (CVE-2025-3201)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
El complemento Contact Form builder with drag & drop for WordPress de WordPress anterior a la versión 2.4.3 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como los colaboradores, realizar ataques de Cross-Site Scripting almacenado.
-
Vulnerabilidad en D-Link DI-7003GV2 24.04.18D1 R(68125) (CVE-2025-4751)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad clasificada como problemática en D-Link DI-7003GV2 24.04.18D1 R(68125). Se ve afectada una función desconocida del archivo /index.data. La manipulación provoca la divulgación de información. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Beauty Parlour Management System 1.1 (CVE-2025-4757)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad en PHPGurukul Beauty Parlour Management System 1.1. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /forgot-password.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Beauty Parlour Management System 1.1 (CVE-2025-4758)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se ha detectado una vulnerabilidad crítica en PHPGurukul Beauty Parlour Management System 1.1. Se ve afectada una función desconocida del archivo /contact.php. La manipulación del argumento fname provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
-
Vulnerabilidad en PHPGurukul Complaint Management System 2.0 (CVE-2025-4761)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Complaint Management System 2.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/admin-profile.php. La manipulación del argumento "mobilenumber" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Zoo Management System 2.1 (CVE-2025-4765)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad en PHPGurukul Zoo Management System 2.1. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/contactus.php. La manipulación del argumento mobnum provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Zoo Management System 2.1 (CVE-2025-4766)
Severidad: MEDIA
Fecha de publicación: 16/05/2025
Fecha de última actualización: 27/05/2025
Se encontró una vulnerabilidad en PHPGurukul Zoo Management System 2.1. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/profile.php. La manipulación del argumento contactnumber provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.