Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Pterodactyl (CVE-2024-34067)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 06/06/2025
Pterodactyl es un panel de administración de servidor de juegos gratuito y de código abierto creado con PHP, React y Go. Importar un huevo malicioso u obtener acceso a la instancia de Wings podría generar cross-site scripting (XSS) en el panel, que podrían usarse para obtener una cuenta de administrador en el panel. Específicamente, las siguientes cosas se ven afectadas: imágenes de Egg Docker y variables de Egg: nombre, variable de entorno, valor predeterminado, descripción, reglas de validación. Además, ciertos campos reflejarían entradas maliciosas, pero requerirían que el usuario ingresara dicha entrada a sabiendas para tener un impacto. Para iterar, esto requeriría que un administrador realizara acciones y no puede ser activado por un usuario normal del panel. Este problema se solucionó en la versión 1.11.6 y se recomienda a los usuarios que actualicen. No hay otro workaround disponible que no sea actualizar a la última versión del panel.
-
Vulnerabilidad en LB-LINK BL-W1210M v2.0 (CVE-2024-33373)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 06/06/2025
Un problema en el enrutador LB-LINK BL-W1210M v2.0 permite a los atacantes eludir los requisitos de complejidad de las contraseñas y establecer contraseñas de un solo dígito para la autenticación. Esta vulnerabilidad puede permitir a los atacantes acceder al enrutador mediante un ataque de fuerza bruta.
-
Vulnerabilidad en TP-LINK TL-7DR5130 v1.0.23 (CVE-2024-37661)
Severidad: MEDIA
Fecha de publicación: 17/06/2024
Fecha de última actualización: 06/06/2025
TP-LINK TL-7DR5130 v1.0.23 es vulnerable a ataques de mensajes de redireccionamiento ICMP falsificados. Un atacante en la misma WLAN que la víctima puede secuestrar el tráfico entre la víctima y cualquier servidor remoto enviando mensajes de redireccionamiento ICMP falsificados.
-
Vulnerabilidad en TP-LINK TL-7DR5130 v1.0.23 (CVE-2024-37662)
Severidad: MEDIA
Fecha de publicación: 17/06/2024
Fecha de última actualización: 06/06/2025
TP-LINK TL-7DR5130 v1.0.23 es vulnerable a TCP DoS o ataques de secuestro. Un atacante en la misma WLAN que la víctima puede desconectar o secuestrar el tráfico entre la víctima y cualquier servidor remoto enviando mensajes TCP RST falsificados para desalojar las asignaciones NAT en el enrutador.
-
Vulnerabilidad en Wavlink WN551K1 (CVE-2024-38892)
Severidad: MEDIA
Fecha de publicación: 24/06/2024
Fecha de última actualización: 06/06/2025
Un problema en Wavlink WN551K1 permite a un atacante remoto obtener información confidencial a través del componente ExportAllSettings.sh.
-
Vulnerabilidad en WAVLINK WN551K1 (CVE-2024-38894)
Severidad: MEDIA
Fecha de publicación: 24/06/2024
Fecha de última actualización: 06/06/2025
WAVLINK WN551K1 encontró una vulnerabilidad de inyección de comandos a través del parámetro IP de /cgi-bin/touchlist_sync.cgi.
-
Vulnerabilidad en WAVLINK WN551K1'live_mfg.shtml (CVE-2024-38895)
Severidad: MEDIA
Fecha de publicación: 24/06/2024
Fecha de última actualización: 06/06/2025
WAVLINK WN551K1'live_mfg.shtml permite a los atacantes obtener información confidencial del enrutador.
-
Vulnerabilidad en WAVLINK WN551K1 (CVE-2024-38896)
Severidad: MEDIA
Fecha de publicación: 24/06/2024
Fecha de última actualización: 06/06/2025
WAVLINK WN551K1 encontró una vulnerabilidad de inyección de comandos a través del parámetro start_hour de /cgi-bin/nightled.cgi.
-
Vulnerabilidad en WAVLINK WN551K1'live_check.shtml (CVE-2024-38897)
Severidad: MEDIA
Fecha de publicación: 24/06/2024
Fecha de última actualización: 06/06/2025
WAVLINK WN551K1'live_check.shtml permite a los atacantes obtener información confidencial del enrutador.
-
Vulnerabilidad en Libde265 v1.0.15 (CVE-2024-38949)
Severidad: MEDIA
Fecha de publicación: 26/06/2024
Fecha de última actualización: 06/06/2025
La vulnerabilidad de desbordamiento de búfer de montón en Libde265 v1.0.15 permite a los atacantes bloquear la aplicación mediante un payload manipulado para mostrar la función 444as420 en sdl.cc
-
Vulnerabilidad en Libde265 v1.0.15 (CVE-2024-38950)
Severidad: MEDIA
Fecha de publicación: 26/06/2024
Fecha de última actualización: 06/06/2025
La vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico en Libde265 v1.0.15 permite a los atacantes bloquear la aplicación mediante un payload manipulado para la función __interceptor_memcpy.
-
Vulnerabilidad en NetScaler Console, NetScaler Agent y NetScaler SDX (CVE-2024-6236)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 06/06/2025
Denegación de servicio en NetScaler Console (anteriormente NetScaler ADM), NetScaler Agent y NetScaler SDX
-
Vulnerabilidad en Cisco Adaptive Security Appliance y Cisco Firepower Threat Defense (CVE-2024-20382)
Severidad: MEDIA
Fecha de publicación: 23/10/2024
Fecha de última actualización: 06/06/2025
Una vulnerabilidad en la función de servicios de cliente web VPN del software Cisco Adaptive Security Appliance (ASA) y del software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado realice un ataque de cross-site scripting (XSS) contra un navegador que esté accediendo a un dispositivo afectado. Esta vulnerabilidad se debe a una validación incorrecta de la entrada proporcionada por el usuario a los endpoints de la aplicación. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que siga un enlace diseñado para enviar una entrada maliciosa a la aplicación afectada. Una explotación exitosa podría permitir al atacante ejecutar código HTML o script arbitrario en el navegador en el contexto de la página de servicios web.
-
Vulnerabilidad en MaysWind ezBookkeeping 0.7.0 (CVE-2024-57603)
Severidad: MEDIA
Fecha de publicación: 12/02/2025
Fecha de última actualización: 06/06/2025
Un problema en MaysWind ezBookkeeping 0.7.0 permite a un atacante remoto escalar privilegios a través de la falta de rate limiting.
-
Vulnerabilidad en MaysWind ezBookkeeping 0.7.0 (CVE-2024-57604)
Severidad: CRÍTICA
Fecha de publicación: 12/02/2025
Fecha de última actualización: 06/06/2025
Un problema en MaysWind ezBookkeeping 0.7.0 permite que un atacante remoto escale privilegios a través del componente token.
-
Vulnerabilidad en Source Code and Project Beauty Parlour Management System V1.1 (CVE-2025-26157)
Severidad: MEDIA
Fecha de publicación: 14/02/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad de inyección SQL en /bpms/index.php en Source Code and Project Beauty Parlour Management System V1.1, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST de nombre.
-
Vulnerabilidad en Kashipara Online Attendance Management System V1.0 (CVE-2025-26158)
Severidad: MEDIA
Fecha de publicación: 14/02/2025
Fecha de última actualización: 06/06/2025
Se descubrió una vulnerabilidad de Cross Site Scripting (XSS) almacenado en la página manage-employee.php del Kashipara Online Attendance Management System V1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar secuencias de comandos arbitrarias a través del parámetro department.
-
Vulnerabilidad en Adnan Analytify (CVE-2025-26773)
Severidad: MEDIA
Fecha de publicación: 17/02/2025
Fecha de última actualización: 06/06/2025
La vulnerabilidad de falta de autorización en Adnan Analytify permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Analytify desde la versión n/a hasta la versión 5.5.0.
-
Vulnerabilidad en TP-Link Archer C20 router (CVE-2024-57049)
Severidad: CRÍTICA
Fecha de publicación: 18/02/2025
Fecha de última actualización: 06/06/2025
Una vulnerabilidad en el TP-Link Archer C20 router con la versión de firmware V6.6_230412 y antes permite a las personas no autorizadas evitar la autenticación de algunas interfaces bajo el directorio /CGI. Al agregar referente: http://tplinkwifi.net a la solicitud, se reconocerá que pasa la autenticación.
-
Vulnerabilidad en TP-Link WR840N V6 router (CVE-2024-57050)
Severidad: CRÍTICA
Fecha de publicación: 18/02/2025
Fecha de última actualización: 06/06/2025
Una vulnerabilidad en el TP-Link WR840N V6 router con el firmware Versión 0.9.1 4.16 y antes permite a las personas no autorizadas omitir la autenticación de algunas interfaces en el directorio/CGI. Cuando agregue el referente: http://tplinkwifi.netnet. a la solicitud, se reconocerá como aprobar la autenticación.
-
Vulnerabilidad en NetGear C7800 router (CVE-2022-41545)
Severidad: MEDIA
Fecha de publicación: 18/02/2025
Fecha de última actualización: 06/06/2025
La interfaz web administrativa de NetGear C7800 router con la versión de firmware 6.01.07 (y posiblemente otras) autentica a los usuarios mediante autenticación básica, con un encabezado HTTP que contiene un valor base64 del nombre de usuario y la contraseña en texto plano. Debido a que el servidor web tampoco utiliza seguridad de transporte de manera predeterminada, esto hace que las credenciales administrativas sean vulnerables a escuchas clandestinas por parte de un adversario durante cada solicitud autenticada que realiza un cliente al router a través de una red inalámbrica (WLAN) o una red local (LAN), en caso de que el adversario pueda realizar un ataque de intermediario.
-
Vulnerabilidad en illi Link Party! de WordPress (CVE-2023-7231)
Severidad: ALTA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 06/06/2025
El complemento illi Link Party! de WordPress, hasta la versión 1.0, carece de controles de acceso adecuados, lo que permite que visitantes no autenticados eliminen enlaces.
-
Vulnerabilidad en TOTOLINK X15 1.0.0-B20230714.1105 (CVE-2025-5502)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en TOTOLINK X15 1.0.0-B20230714.1105. Este problema afecta a la función formMapReboot del archivo /boafrm/formMapReboot. La manipulación del argumento deviceMacAddr provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en Samsung Mobile Processor Exynos (CVE-2025-23103)
Severidad: ALTA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se descubrió un problema en Samsung Mobile Processor Exynos 1480 y 2400. La falta de una verificación de longitud provoca escrituras fuera de los límites.
-
Vulnerabilidad en Samsung Mobile Processor Exynos (CVE-2025-23107)
Severidad: ALTA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se descubrió un problema en Samsung Mobile Processor Exynos 1480 y 2400. La falta de una verificación de longitud provoca escrituras fuera de los límites.
-
Vulnerabilidad en Samsung Mobile Processor Exynos (CVE-2025-23102)
Severidad: ALTA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se descubrió un problema en Samsung Mobile Processor Exynos 9820, 9825, 980, 990, 1080, 2100, 1280, 2200 y 1380. Una doble liberación en el procesador móvil conduce a una escalada de privilegios.
-
Vulnerabilidad en TOTOLINK X2000R 1.0.0-B20230726.1108 (CVE-2025-5516)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad clasificada como problemática en TOTOLINK X2000R 1.0.0-B20230726.1108. Esta afecta a una parte desconocida del archivo /boafrm/formFilter del componente URL Filtering Page. La manipulación del argumento URL Address provoca ataques de cross site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en Samsung Mobile Processor Exynos (CVE-2025-23097)
Severidad: CRÍTICA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se descubrió un problema en Samsung Mobile Processor Exynos 1380. La falta de una verificación de longitud provoca escrituras fuera de los límites.
-
Vulnerabilidad en Samsung Mobile Processor Exynos (CVE-2025-23098)
Severidad: ALTA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se descubrió un problema en Samsung Mobile Processor Exynos 980, 990, 1080, 2100, 1280, 2200, 1380. Un Use-After-Free en el procesador móvil conduce a una escalada de privilegios.
-
Vulnerabilidad en Samsung Mobile Processor Exynos (CVE-2025-23100)
Severidad: ALTA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se descubrió un problema en Samsung Mobile Processor Exynos 1280, 2200, 1380, 1480, 2400. La ausencia de una comprobación NULL conduce a una denegación de servicio.
-
Vulnerabilidad en Jrohy trojan (CVE-2025-5525)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en Jrohy trojan hasta la versión 2.15.3. Se ha declarado crítica. Esta vulnerabilidad afecta la función LogChan del archivo trojan/util/linux.go. La manipulación del argumento c provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en TOTOLINK X2000R 1.0.0-B20230726.1108 (CVE-2025-5542)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en TOTOLINK X2000R 1.0.0-B20230726.1108. Se ha clasificado como problemática. Se ve afectada una función desconocida del archivo /boafrm/formPortFw del componente Virtual Server Page. La manipulación del argumento service_type provoca ataques de cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en TOTOLINK X2000R 1.0.0-B20230726.1108 (CVE-2025-5543)
Severidad: MEDIA
Fecha de publicación: 03/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en TOTOLINK X2000R 1.0.0-B20230726.1108. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente Parent Controls Page. La manipulación del argumento "Device Name" provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en billboard.js (CVE-2025-49223)
Severidad: CRÍTICA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se descubrió que billboard.js anterior a 3.15.1 contenía una contaminación de prototipo a través de la función generate, que podría permitir a los atacantes ejecutar código arbitrario o causar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
-
Vulnerabilidad en D-Link DCS-932L 2.18.01 (CVE-2025-5572)
Severidad: ALTA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en D-Link DCS-932L 2.18.01. Se ha declarado crítica. Esta vulnerabilidad afecta a la función setSystemEmail del archivo /setSystemEmail. La manipulación del argumento EmailSMTPPortNumber provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
-
Vulnerabilidad en D-Link DCS-932L 2.18.01 (CVE-2025-5573)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en D-Link DCS-932L 2.18.01. Se ha clasificado como crítica. Este problema afecta a la función setSystemWizard/setSystemControl del archivo /setSystemWizard. La manipulación del argumento AdminID provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
-
Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-5612)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /reporting.php. La manipulación del argumento fullname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
-
Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-5613)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /request-details.php. La manipulación del argumento requestid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-5616)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/profile.php. La manipulación del argumento "mobilenumber" provoca una inyección SQL. El ataque podría ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
-
Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-5617)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Online Fire Reporting System 1.2. Esta afecta a una parte desconocida del archivo /admin/manage-teams.php. La manipulación del argumento teamid provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Online Fire Reporting System 1.2 (CVE-2025-5618)
Severidad: MEDIA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Online Fire Reporting System 1.2. Esta vulnerabilidad afecta al código desconocido del archivo /admin/edit-team.php. La manipulación del argumento teamid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en Tenda CH22 1.0.0.1 (CVE-2025-5619)
Severidad: ALTA
Fecha de publicación: 04/06/2025
Fecha de última actualización: 06/06/2025
Se ha detectado una vulnerabilidad clasificada como crítica en Tenda CH22 1.0.0.1. Este problema afecta a la función formaddUserName del archivo /goform/addUserName. La manipulación del argumento Password provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
-
Vulnerabilidad en PHPGurukul Notice Board System 1.0 (CVE-2025-5638)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 06/06/2025
Se ha encontrado una vulnerabilidad en PHPGurukul Notice Board System 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin-profile.php. La manipulación del argumento "mobilenumber" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.
-
Vulnerabilidad en PHPGurukul Notice Board System 1.0 (CVE-2025-5639)
Severidad: MEDIA
Fecha de publicación: 05/06/2025
Fecha de última actualización: 06/06/2025
Se encontró una vulnerabilidad en PHPGurukul Notice Board System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /forgot-password.php. La manipulación del argumento "email" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.