Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en complemento Web Directory Free de WordPress (CVE-2024-3669)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 28/05/2025
    El complemento Web Directory Free de WordPress anterior a 1.7.2 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en complemento Responsive Tabs de WordPress (CVE-2024-4096)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 28/05/2025
    El complemento Responsive Tabs de WordPress hasta la versión 4.0.8 no sanitiza ni escapa a algunas de sus configuraciones de pestañas, lo que podría permitir a usuarios con altos privilegios, como Colaboradores y superiores, realizar ataques de Cross Site Scripting almacenado.
  • Vulnerabilidad en complemento WpStickyBar de WordPress (CVE-2024-5765)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 28/05/2025
    El complemento WpStickyBar de WordPress hasta la versión 2.1.0 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL a través de una acción AJAX disponible para usuarios no autenticados, lo que lleva a una inyección de SQL.
  • Vulnerabilidad en complemento Business Card WordPress (CVE-2024-5807)
    Severidad: ALTA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 28/05/2025
    El complemento Business Card WordPress hasta la versión 1.0.0 no impide que los usuarios con privilegios elevados, como los administradores, carguen archivos PHP maliciosos, lo que podría permitirles ejecutar código arbitrario en los servidores que alojan su sitio, incluso en configuraciones Multisitio.
  • Vulnerabilidad en complemento de WordPress WP Ajax Contact Form (CVE-2024-5808)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 28/05/2025
    El complemento de WordPress WP Ajax Contact Form hasta la versión 2.2.2 no tiene activada la verificación CSRF al eliminar correos electrónicos de la lista de correo electrónico, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión realice dicha acción a través de un ataque CSRF.
  • Vulnerabilidad en complemento de WordPress WP Ajax Contact Form (CVE-2024-5809)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 28/05/2025
    El complemento de WordPress WP Ajax Contact Form hasta la versión 2.2.2 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross Site Scripting reflejado que podría usarse contra usuarios administradores.
  • Vulnerabilidad en complemento de WordPress CZ Loan Management (CVE-2024-5975)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 28/05/2025
    El complemento de WordPress CZ Loan Management hasta la versión 1.1 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL a través de una acción AJAX disponible para usuarios no autenticados, lo que lleva a una inyección de SQL.
  • Vulnerabilidad en SourceCodester Doctor's Appointment System 1.0 (CVE-2025-4816)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad en SourceCodester Doctor's Appointment System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/appointment.php del componente GET Parameter Handler. La manipulación del ID del argumento provoca una inyección SQL. Es posible iniciar el ataque remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Sourcecodester Doctor's Appointment System 1.0 (CVE-2025-4817)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad en Sourcecodester Doctor's Appointment System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/delete-appointment.php del componente GET Parameter Handler. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Doctor's Appointment System 1.0 (CVE-2025-4818)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad en SourceCodester Doctor's Appointment System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/delete-doctor.php del componente "GET Parameter Handler. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGURUKUL Medical Card Generation System using PHP and MySQL v1.0 (CVE-2024-51106)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 28/05/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) en el componente mcgs/admin/aboutus.php de PHPGURUKUL Medical Card Generation System using PHP and MySQL v1.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios mediante la inyección de un payload manipulado en el parámetro pagetitle.
  • Vulnerabilidad en PHPGurukul Employee Record Management System 1.3 (CVE-2025-4938)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Employee Record Management System 1.3. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /registererms.php. La manipulación del argumento "Email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Credit Card Application Management System 1.0 (CVE-2025-4939)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad clasificada como problemática en PHPGurukul Credit Card Application Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /admin/new-ccapplication.php. La manipulación provoca Cross-Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Credit Card Application Management System 1.0 (CVE-2025-4941)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Credit Card Application Management System 1.0. La vulnerabilidad afecta a una función desconocida del archivo /admin/index.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Client Database Management System 1.0 (CVE-2025-5002)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Client Database Management System 1.0. Esta afecta a una parte desconocida del archivo /user_proposal_update_order.php. La manipulación del argumento order_id provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Online Time Table Generator 1.0 (CVE-2025-5003)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2025
    Fecha de última actualización: 28/05/2025
    Se ha detectado una vulnerabilidad en projectworlds Online Time Table Generator 1.0, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /semester_ajax.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Online Time Table Generator 1.0 (CVE-2025-5004)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad en projectworlds Online Time Table Generator 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/add_course.php. La manipulación del argumento c/subname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Shopping Portal 1.0 (CVE-2025-5006)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad en Campcodes Online Shopping Portal 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/category.php. La manipulación del argumento "Category" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en projectworlds Online Time Table Generator 1.0 (CVE-2025-5008)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2025
    Fecha de última actualización: 28/05/2025
    Se encontró una vulnerabilidad en projectworlds Online Time Table Generator 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/add_teacher.php. La manipulación del argumento "e" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
  • Vulnerabilidad en PHPGurukul Old Age Home Management System v1.0 (CVE-2024-48702)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 28/05/2025
    PHPGurukul Old Age Home Management System v1.0 es vulnerable a la inyección de HTML a través del parámetro searchdata.
  • Vulnerabilidad en HPGURUKUL Restaurant Table Booking System (CVE-2024-51101)
    Severidad: CRÍTICA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 28/05/2025
    Se descubrió que HPGURUKUL Restaurant Table Booking System que utiliza PHP y MySQL v1.0 contenía una vulnerabilidad de inyección SQL a través del parámetro searchdata en /rtbs/check-status.php.
  • Vulnerabilidad en PHPGURUKUL Medical Card Generation System (CVE-2024-51107)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 28/05/2025
    Varias vulnerabilidades de cross-site scripting (XSS) almacenado en el componente /mcgs/admin/contactus.php de PHPGURUKUL Medical Card Generation System que utiliza PHP y MySQL v1.0 permiten a los atacantes ejecutar secuencias de comandos web o HTML arbitrarios mediante la inyección de un payload manipulado en los parámetros pagetitle, pagedes y email.
  • Vulnerabilidad en PHPGURUKUL Medical Card Generation System (CVE-2024-51108)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 28/05/2025
    Varias vulnerabilidades de cross-site scripting (XSS) almacenado en el componente /admin/card-bwdates-report.php de PHPGURUKUL Medical Card Generation System que utiliza PHP y MySQL v1.0 permiten a los atacantes ejecutar secuencias de comandos web o HTML arbitrarios mediante la inyección de un payload manipulado en los parámetros fromdate y todate.