Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en LmxCMS 1.41 (CVE-2025-4541)
Severidad: MEDIA
Fecha de publicación: 11/05/2025
Fecha de última actualización: 12/06/2025
Se ha detectado una vulnerabilidad crítica en LmxCMS 1.41. La función `manageZt` del archivo `c\admin\ZtAction.class.php` del componente `POST Request Handler` se ve afectada. La manipulación del argumento `sortid` provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en Jenkins Cadence vManager Plugin (CVE-2025-47886)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 12/06/2025
Una vulnerabilidad de cross-site request forgery (CSRF) en Jenkins Cadence vManager Plugin 4.0.1-286.v9e25a_740b_a_48 y versiones anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando un nombre de usuario y una contraseña especificados por el atacante.
-
Vulnerabilidad en Jenkins Cadence vManager Plugin (CVE-2025-47887)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 12/06/2025
Las comprobaciones de permisos faltantes en Jenkins Cadence vManager Plugin 4.0.1-286.v9e25a_740b_a_48 y versiones anteriores permiten que atacantes con permiso general/de lectura se conecten a una URL especificada por el atacante utilizando el nombre de usuario y la contraseña especificados por el atacante.
-
Vulnerabilidad en Jenkins DingTalk Plugin (CVE-2025-47888)
Severidad: MEDIA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 12/06/2025
Jenkins DingTalk Plugin 2.7.3 y versiones anteriores deshabilitan incondicionalmente la validación del certificado SSL/TLS y del nombre de host para las conexiones a los webhooks DingTalk configurados.
-
Vulnerabilidad en Jenkins WSO2 Oauth Plugin (CVE-2025-47889)
Severidad: CRÍTICA
Fecha de publicación: 14/05/2025
Fecha de última actualización: 12/06/2025
Jenkins WSO2 Oauth Plugin 1.0 y versiones anteriores, las solicitudes de autenticación se aceptan sin validación por el ámbito de seguridad "WSO2 Oauth", lo que permite que atacantes no autenticados inicien sesión en los controladores que utilizan este ámbito de seguridad con cualquier nombre de usuario y cualquier contraseña, incluidos nombres de usuario que no existen.
-
Vulnerabilidad en WebERP (CVE-2025-46052)
Severidad: CRÍTICA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 12/06/2025
Una vulnerabilidad de inyección SQL basada en errores (SQLi) en WebERP v4.15.2 permite a los atacantes ejecutar comandos SQL arbitrarios y extraer datos confidenciales inyectando un payload manipulado en el campo de formulario DEL en una solicitud POST a /StockCounts.php
-
Vulnerabilidad en WebERP v4.15.2 (CVE-2025-46053)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 12/06/2025
Una vulnerabilidad de inyección SQL en WebERP v4.15.2 permite a los atacantes ejecutar comandos SQL arbitrarios y extraer datos confidenciales inyectando un payload manipulado en los parámetros ReportID y ReplaceReportID dentro de una solicitud POST a /reportwriter/admin/ReportCreator.php
-
Vulnerabilidad en powertip.ts en Lila (CVE-2025-48051)
Severidad: MEDIA
Fecha de publicación: 15/05/2025
Fecha de última actualización: 12/06/2025
powertip.ts en Lila (para Lichess) antes de ab0beaf permite XSS en algunas aplicaciones debido a un patrón de uso innerHTML en el que el texto se extrae de un nodo DOM y se interpreta como HTML.