Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Supermicro (CVE-2023-40286)
Severidad: ALTA
Fecha de publicación: 27/03/2024
Fecha de última actualización: 18/06/2025
Se descubrió un problema en los dispositivos Supermicro X11SSM-F, X11SAE-F y X11SSE-F 1.66. Un atacante podría aprovechar un problema XSS.
Vulnerabilidad en Supermicro (CVE-2023-40287)
Severidad: ALTA
Fecha de publicación: 27/03/2024
Fecha de última actualización: 18/06/2025
Se descubrió un problema en los dispositivos Supermicro X11SSM-F, X11SAE-F y X11SSE-F 1.66. Un atacante podría aprovechar un problema XSS.
Vulnerabilidad en Supermicro (CVE-2023-40288)
Severidad: ALTA
Fecha de publicación: 27/03/2024
Fecha de última actualización: 18/06/2025
Se descubrió un problema en los dispositivos Supermicro X11SSM-F, X11SAE-F y X11SSE-F 1.66. Un atacante podría aprovechar un problema XSS.
Vulnerabilidad en Supermicro (CVE-2023-40289)
Severidad: ALTA
Fecha de publicación: 27/03/2024
Fecha de última actualización: 18/06/2025
Se descubrió un problema de inyección de comandos en los dispositivos Supermicro X11SSM-F, X11SAE-F y X11SSE-F 1.66. Un atacante puede aprovechar esto para elevar los privilegios de un usuario con privilegios administrativos de BMC.
Vulnerabilidad en Supermicro (CVE-2023-40290)
Severidad: ALTA
Fecha de publicación: 27/03/2024
Fecha de última actualización: 18/06/2025
Se descubrió un problema en los dispositivos Supermicro X11SSM-F, X11SAE-F y X11SSE-F 1.66. Un atacante podría aprovechar un problema XSS que afecta a Internet Explorer 11 en Windows.
Vulnerabilidad en AbrhilSoft (CVE-2022-43216)
Severidad: CRÍTICA
Fecha de publicación: 08/04/2024
Fecha de última actualización: 18/06/2025
Se descubrió que el portal del empleado de AbrhilSoft anterior a v5.6.2 contenía una vulnerabilidad de inyección SQL en la página de inicio de sesión.
Vulnerabilidad en Unify CP IP Phone (CVE-2024-28066)
Severidad: ALTA
Fecha de publicación: 08/04/2024
Fecha de última actualización: 18/06/2025
En el firmware 1.10.4.3 de Unify CP IP Phone, se utilizan credenciales débiles (una contraseña raíz codificada).
Vulnerabilidad en Apfloat v1.10.1 (CVE-2024-23085)
Severidad: ALTA
Fecha de publicación: 08/04/2024
Fecha de última actualización: 18/06/2025
Se descubrió que Apfloat v1.10.1 contenía una NullPointerException a través del componente org.apfloat.internal.DoubleScramble::scramble(double[], int, int[]).
Vulnerabilidad en Apfloat v1.10.1 (CVE-2024-23086)
Severidad: CRÍTICA
Fecha de publicación: 08/04/2024
Fecha de última actualización: 18/06/2025
Se descubrió que Apfloat v1.10.1 contiene un desbordamiento de pila a través del componente org.apfloat.internal.DoubleModMath::modPow(double.
Vulnerabilidad en Apfloat v1.10.1 (CVE-2024-23084)
Severidad: ALTA
Fecha de publicación: 08/04/2024
Fecha de última actualización: 18/06/2025
Se descubrió que Apfloat v1.10.1 contenía una excepción ArrayIndexOutOfBoundsException a través del componente org.apfloat.internal.DoubleCRTMath::add(double[], double[]).
Vulnerabilidad en lunary-ai/lunary (CVE-2024-1739)
Severidad: CRÍTICA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 18/06/2025
lunary-ai/lunary es vulnerable a un problema de autenticación debido a una validación incorrecta de las direcciones de correo electrónico durante el proceso de registro. Específicamente, el servidor no trata las direcciones de correo electrónico sin distinguir entre mayúsculas y minúsculas, lo que permite la creación de varias cuentas con la misma dirección de correo electrónico variando las mayúsculas y minúsculas de los caracteres del correo electrónico. Por ejemplo, se pueden crear cuentas para 'abc@gmail.com' y 'Abc@gmail.com', lo que genera una posible suplantación de identidad y confusión entre los usuarios.
Vulnerabilidad en Oracle Database Server (CVE-2024-21058)
Severidad: MEDIA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el componente Auditoría Unificada de Oracle Database Server. Las versiones compatibles que se ven afectadas son 19.3-19.22 y 21.3-21.13. Una vulnerabilidad fácilmente explotable permite que un atacante con privilegios elevados que tenga privilegios SYSDBA con acceso a la red a través de Oracle Net comprometa la auditoría unificada. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Unified Audit. CVSS 3.1 Puntaje base 4.9 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N).
Vulnerabilidad en RDBMS de Oracle Database Server (CVE-2024-21066)
Severidad: MEDIA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el componente RDBMS de Oracle Database Server. Las versiones compatibles que se ven afectadas son 19.3-19.22 y 21.3-21.13. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios tenga permisos de usuario autenticado e inicie sesión en la infraestructura donde se ejecuta RDBMS para comprometer RDBMS. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles del RDBMS. CVSS 3.1 Puntaje base 4.2 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N).
Vulnerabilidad en Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (CVE-2024-21095)
Severidad: ALTA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que se ven afectadas son 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12 y 23.12.0-23.12.2. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Primavera P6 Enterprise Project Portfolio Management. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Primavera P6 Enterprise Project Portfolio Management, así como acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de Primavera P6 Enterprise Project Portfolio Management. CVSS 3.1 Puntaje base 8.2 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en libcoap 4.3.4 (CVE-2024-31031)
Severidad: ALTA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 18/06/2025
Un problema en `coap_pdu.c` en libcoap 4.3.4 permite a los atacantes provocar un comportamiento indefinido a través de una secuencia de mensajes que conducen a un desbordamiento de enteros sin signo.
Vulnerabilidad en GPO (CVE-2023-3758)
Severidad: ALTA
Fecha de publicación: 18/04/2024
Fecha de última actualización: 18/06/2025
Se encontró una falla en la condición de ejecución en sssd donde la política de GPO no se aplica de manera consistente para los usuarios autenticados. Esto puede dar lugar a problemas de autorización inapropiados, otorgando o denegando acceso a recursos de manera inapropiada.
Vulnerabilidad en jberet-core logging (CVE-2024-1102)
Severidad: MEDIA
Fecha de publicación: 25/04/2024
Fecha de última actualización: 18/06/2025
Se encontró una vulnerabilidad en jberet-core logging. Una excepción en 'dbProperties' podría mostrar credenciales de usuario, como el nombre de usuario y la contraseña para la conexión a la base de datos.
Vulnerabilidad en Bombastic (CVE-2024-3508)
Severidad: MEDIA
Fecha de publicación: 25/04/2024
Fecha de última actualización: 18/06/2025
Se encontró una falla en Bombastic, que permite a los usuarios autenticados cargar SBOM comprimidos (bzip2 o zstd). El endpoint de API verifica la presencia de algunos campos y valores en el JSON. Para realizar esta verificación, primero se debe descomprimir el archivo subido.
Vulnerabilidad en Passbolt Browser Extension (CVE-2024-33669)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 18/06/2025
Se descubrió un problema en Passbolt Browser Extension antes de 4.6.2. Puede enviar múltiples solicitudes a HaveIBeenPwned mientras se escribe una contraseña, lo que resulta en una fuga de información. Esto permite a un atacante capaz de observar las consultas HTTPS de Passbolt a la API de Pwned Password forzar más fácilmente las contraseñas que el usuario escribe manualmente.
Vulnerabilidad en Passbolt API (CVE-2024-33670)
Severidad: MEDIA
Fecha de publicación: 26/04/2024
Fecha de última actualización: 18/06/2025
Passbolt API anterior a 4.6.2 permite la inyección de HTML en un parámetro de URL, lo que da como resultado que se muestre contenido personalizado cuando un usuario visita la URL manipulada. Aunque el contenido inyectado no se ejecuta como JavaScript debido a las restricciones de la Política de seguridad de contenido (CSP), aún puede afectar la apariencia y la interacción del usuario de la página.
Vulnerabilidad en PHP (CVE-2024-1874)
Severidad: CRÍTICA
Fecha de publicación: 29/04/2024
Fecha de última actualización: 18/06/2025
En las versiones de PHP 8.1.* anteriores a 8.1.28, 8.2.* anteriores a 8.2.18, 8.3.* anteriores a 8.3.5, cuando se utiliza el comando proc_open() con sintaxis de matriz, debido a un escape insuficiente, si los argumentos del comando ejecutado son controlado por un usuario malintencionado, el usuario puede proporcionar argumentos que ejecutarían comandos arbitrarios en el shell de Windows.
Vulnerabilidad en PHP (CVE-2024-2757)
Severidad: ALTA
Fecha de publicación: 29/04/2024
Fecha de última actualización: 18/06/2025
En PHP 8.3.* anterior a 8.3.5, la función mb_encode_mimeheader() se ejecuta sin cesar para algunas entradas que contienen cadenas largas de caracteres que no son espacios seguidos de un espacio. Esto podría provocar un posible ataque DoS si un usuario hostil envía datos a una aplicación que utiliza esta función.
Vulnerabilidad en PHP (CVE-2024-3096)
Severidad: MEDIA
Fecha de publicación: 29/04/2024
Fecha de última actualización: 18/06/2025
En la versión PHP 8.1.* anterior a 8.1.28, 8.2.* anterior a 8.2.18, 8.3.* anterior a 8.3.5, si una contraseña almacenada con contraseña_hash() comienza con un byte nulo (\x00), se prueba una cadena en blanco como la contraseña a través de contraseña_verify() devolverá verdadero incorrectamente.
Vulnerabilidad en CSS Exfil Protection v.1.1.0 (CVE-2024-29384)
Severidad: ALTA
Fecha de publicación: 30/04/2024
Fecha de última actualización: 18/06/2025
Un problema en CSS Exfil Protection v.1.1.0 permite a un atacante remoto obtener información confidencial a través de las funciones content.js y parseCSSRules.
Vulnerabilidad en CSS Exfil Protection v.1.1.0 (CVE-2024-33436)
Severidad: MEDIA
Fecha de publicación: 30/04/2024
Fecha de última actualización: 18/06/2025
Un problema en CSS Exfil Protection v.1.1.0 permite a un atacante remoto obtener información confidencial debido a la falta de soporte para variables CSS
Vulnerabilidad en CSS Exfil Protection v.1.1.0 (CVE-2024-33437)
Severidad: ALTA
Fecha de publicación: 30/04/2024
Fecha de última actualización: 18/06/2025
Un problema en CSS Exfil Protection v.1.1.0 permite a un atacante remoto obtener información confidencial debido a la falta de soporte para las reglas de estilo CSS.
Vulnerabilidad en ICS-CERT (CVE-2024-3746)
Severidad: MEDIA
Fecha de publicación: 30/04/2024
Fecha de última actualización: 18/06/2025
Todo el directorio principal, C:\ScadaPro y sus subdirectorios y archivos, están configurados de forma predeterminada para permitir a los usuarios, incluidos los usuarios sin privilegios, escribir o sobrescribir archivos.
Vulnerabilidad en IBM Cognos Controller (CVE-2021-20450)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 18/06/2025
IBM Cognos Controller 10.4.1, 10.4.2 y 11.0.0 no establece el atributo seguro en los tokens de autorización ni en las cookies de sesión. Los atacantes pueden obtener los valores de las cookies enviando un enlace http:// a un usuario o colocando este enlace en un sitio al que accede el usuario. La cookie se enviará al enlace inseguro y el atacante podrá obtener el valor de la cookie espiando el tráfico. ID de IBM X-Force: 196640.
Vulnerabilidad en glibc 2.15 (CVE-2024-33599)
Severidad: ALTA
Fecha de publicación: 06/05/2024
Fecha de última actualización: 18/06/2025
nscd: desbordamiento de búfer en la región stack de la memoria en la caché de netgroup Si la caché de tamaño fijo del daemon de caché del servicio de nombres (nscd) se agota debido a las solicitudes de los clientes, una solicitud posterior del cliente de datos de netgroup puede provocar un desbordamiento del búfer basado en la pila. Esta falla se introdujo en glibc 2.15 cuando se agregó el caché a nscd. Esta vulnerabilidad sólo está presente en el binario nscd.
Vulnerabilidad en glibc 2.15 (CVE-2024-33600)
Severidad: MEDIA
Fecha de publicación: 06/05/2024
Fecha de última actualización: 18/06/2025
nscd: el puntero nulo falla después de una respuesta no encontrada Si el caché del daemon de caché del servicio de nombres (nscd) no logra agregar una respuesta de grupo de red no encontrado al caché, la solicitud del cliente puede resultar en una desreferencia del puntero nulo. Esta falla se introdujo en glibc 2.15 cuando se agregó el caché a nscd. Esta vulnerabilidad sólo está presente en el binario nscd.
Vulnerabilidad en glibc 2.15 (CVE-2024-33601)
Severidad: ALTA
Fecha de publicación: 06/05/2024
Fecha de última actualización: 18/06/2025
nscd: la caché de netgroup puede terminar el daemon ante una falla en la asignación de memoria La caché de netgroup del daemon de caché del servicio de nombres (nscd) usa xmalloc o xrealloc y estas funciones pueden terminar el proceso debido a una falla en la asignación de memoria que resulta en una denegación de servicio a los clientes. La falla se introdujo en glibc 2.15 cuando se agregó el caché a nscd. Esta vulnerabilidad sólo está presente en el binario nscd.
Vulnerabilidad en glibc 2.15 (CVE-2024-33602)
Severidad: ALTA
Fecha de publicación: 06/05/2024
Fecha de última actualización: 18/06/2025
nscd: la caché de netgroup supone que la devolución de llamada de NSS utiliza cadenas en el búfer La caché de netgroup del daemon de caché del servicio de nombres (nscd) puede dañar la memoria cuando la devolución de llamada de NSS no almacena todas las cadenas en el búfer proporcionado. La falla se introdujo en glibc 2.15 cuando se agregó el caché a nscd. Esta vulnerabilidad sólo está presente en el binario nscd.
Vulnerabilidad en GNOME GLib (CVE-2024-34397)
Severidad: MEDIA
Fecha de publicación: 07/05/2024
Fecha de última actualización: 18/06/2025
Se descubrió un problema en GNOME GLib anterior a 2.78.5 y en 2.79.x y 2.80.x anterior a 2.80.1. Cuando un cliente basado en GDBus se suscribe a señales de un servicio de sistema confiable, como NetworkManager, en un ordenador compartido, otros usuarios del mismo ordenador pueden enviar señales D-Bus falsificadas que el cliente basado en GDBus interpretará erróneamente como enviadas por el mismo. servicio de sistema confiable. Esto podría provocar que el cliente basado en GDBus se comporte incorrectamente, con un impacto que depende de la aplicación.
Vulnerabilidad en Totolink AC1200 Wireless Dual Band Gigabit Router A3002RU_V3 (CVE-2024-34196)
Severidad: ALTA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 18/06/2025
Totolink AC1200 Wireless Dual Band Gigabit Router A3002RU_V3 Firmware V3.0.0-B20230809.1615 es vulnerable al desbordamiento del búfer. El programa "boa" permite a los atacantes modificar el valor del campo "vwlan_idx" mediante "formMultiAP". Esto puede provocar un desbordamiento de la pila a través de la función CGI "formWlEncrypt" al construir solicitudes HTTP maliciosas y pasar un valor SSID de WLAN que excede la longitud esperada, lo que podría resultar en la ejecución de comandos o ataques de denegación de servicio.
Vulnerabilidad en WWBN AVideo 12.4 (CVE-2024-34899)
Severidad: MEDIA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 18/06/2025
WWBN AVideo 12.4 es vulnerable a Cross Site Scripting (XSS).
Vulnerabilidad en School Task Manager v.1.0 (CVE-2024-26517)
Severidad: CRÍTICA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 18/06/2025
Una vulnerabilidad de inyección SQL en School Task Manager v.1.0 permite a un atacante remoto obtener información confidencial a través de un payload manipulado para el componente delete-task.php.
Vulnerabilidad en LuckyFrameWeb v3.5.2 (CVE-2024-35081)
Severidad: ALTA
Fecha de publicación: 23/05/2024
Fecha de última actualización: 18/06/2025
Se descubrió que LuckyFrameWeb v3.5.2 contenía una vulnerabilidad de eliminación de archivos arbitraria a través del parámetro fileName en el método fileDownload.
Vulnerabilidad en Rejetto HTTP File Server (CVE-2024-23692)
Severidad: CRÍTICA
Fecha de publicación: 31/05/2024
Fecha de última actualización: 18/06/2025
Rejetto HTTP File Server, hasta la versión 2.3m incluida, es vulnerable a una vulnerabilidad de inyección de plantilla. Esta vulnerabilidad permite que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema afectado enviando una solicitud HTTP especialmente manipulada. A partir de la fecha de asignación de CVE, Rejetto HFS 2.3m ya no es compatible.
Vulnerabilidad en libiec61850 v1.5 (CVE-2024-36702)
Severidad: ALTA
Fecha de publicación: 11/06/2024
Fecha de última actualización: 18/06/2025
Se descubrió que libiec61850 v1.5 contenía un desbordamiento del montón a través de la función BerEncoder_encodeLength en /asn1/ber_encoder.c.
Vulnerabilidad en ALCASAR (CVE-2024-38293)
Severidad: CRÍTICA
Fecha de publicación: 13/06/2024
Fecha de última actualización: 18/06/2025
ALCASAR anterior a 3.6.1 permite CSRF y la ejecución remota de código en Activity.php.
Vulnerabilidad en Modern Campus - Omni CMS 2023.1 (CVE-2023-35858)
Severidad: MEDIA
Fecha de publicación: 13/06/2024
Fecha de última actualización: 18/06/2025
Las vulnerabilidades de inyección XPath en el blog y las funciones RSS de Modern Campus - Omni CMS 2023.1 permiten que un atacante remoto no autenticado obtenga información de la aplicación.
Vulnerabilidad en openeclass (CVE-2024-31777)
Severidad: CRÍTICA
Fecha de publicación: 13/06/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad de carga de archivos en openeclass v.3.15 y anteriores permite a un atacante ejecutar código arbitrario a través de un archivo manipulado en el endpoint certbadge.php.
Vulnerabilidad en MintHCM 4.0.3 (CVE-2024-36656)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 18/06/2025
En MintHCM 4.0.3, un usuario registrado puede ejecutar código JavaScript arbitrario y lograr un ataque de cross-site scripting (XSS) reflejado.
Vulnerabilidad en iTerm2 (CVE-2024-38395)
Severidad: CRÍTICA
Fecha de publicación: 16/06/2024
Fecha de última actualización: 18/06/2025
En iTerm2 anterior a 3.5.2, la configuración "La terminal puede informar el título de la ventana" no se respeta y, por lo tanto, puede ocurrir la ejecución remota de código, pero "no es trivialmente explotable".
Vulnerabilidad en Oracle Database Core de Oracle Database Server (CVE-2024-21123)
Severidad: BAJA
Fecha de publicación: 16/07/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el componente Oracle Database Core de Oracle Database Server. Las versiones compatibles que se ven afectadas son 19.3-19.23. Una vulnerabilidad fácilmente explotable permite a un atacante con privilegios elevados tener privilegios SYSDBA e iniciar sesión en la infraestructura donde se ejecuta Oracle Database Core para comprometer Oracle Database Core. Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, inserción o eliminación de acceso a algunos de los datos accesibles de Oracle Database Core. CVSS 3.1 Puntaje base 2.3 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en Oracle Database Portable Clusterware de Oracle Database Server (CVE-2024-21126)
Severidad: MEDIA
Fecha de publicación: 16/07/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el componente Oracle Database Portable Clusterware de Oracle Database Server. Las versiones compatibles que se ven afectadas son 19.3-19.23 y 21.3-21.14. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de DNS comprometa Oracle Database Portable Clusterware. Si bien la vulnerabilidad se encuentra en Oracle Database Portable Clusterware, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Database Portable Clusterware. CVSS 3.1 Puntuación base 5.8 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L).
Vulnerabilidad en Oracle Reports Developer de Oracle Fusion Middleware (CVE-2024-21133)
Severidad: MEDIA
Fecha de publicación: 16/07/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto Oracle Reports Developer de Oracle Fusion Middleware (componente: Servlet). Las versiones compatibles que se ven afectadas son 12.2.1.4.0 y 12.2.1.19.0. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa a Oracle Reports Developer. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en Oracle Reports Developer, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de Oracle Reports Developer, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Reports Developer. CVSS 3.1 Puntaje base 6.1 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Java VM de Oracle Database Server (CVE-2024-21174)
Severidad: BAJA
Fecha de publicación: 16/07/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles que se ven afectadas son 19.3-19.23, 21.3-21.14 y 23.4. Una vulnerabilidad difícil de explotar permite que un atacante con pocos privilegios que tenga privilegios de Crear sesión y Crear procedimiento con acceso a la red a través de Oracle Net comprometa la máquina virtual Java. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java VM. CVSS 3.1 Puntuación base 3.1 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21208)
Severidad: BAJA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Networking). Las versiones compatibles afectadas son Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23; Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23; Oracle GraalVM Enterprise Edition: 20.3.15 y 21.3.11. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos ponga en peligro Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start o subprogramas Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen del entorno aislado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (por ejemplo, código instalado por un administrador). Puntuación base de CVSS 3.1: 3,7 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Oracle Java SE (CVE-2024-21210)
Severidad: BAJA
Fecha de publicación: 15/10/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad en Oracle Java SE (componente: Hotspot). Las versiones compatibles afectadas son Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4 y 23. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos ponga en peligro Oracle Java SE. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la actualización, inserción o eliminación no autorizada de algunos datos accesibles de Oracle Java SE. Nota: Esta vulnerabilidad se puede explotar mediante el uso de API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en entornos aislados o subprogramas Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen del entorno aislado de Java para su seguridad. Puntuación base CVSS 3.1 3.7 (impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en Cisco UCS Central Software (CVE-2024-20280)
Severidad: MEDIA
Fecha de publicación: 16/10/2024
Fecha de última actualización: 18/06/2025
Una vulnerabilidad en la función de copia de seguridad de Cisco UCS Central Software podría permitir que un atacante con acceso a un archivo de copia de seguridad obtenga información confidencial almacenada en los archivos de copia de seguridad de estado completo y de configuración. Esta vulnerabilidad se debe a una debilidad en el método de cifrado que se utiliza para la función de copia de seguridad. Un atacante podría explotar esta vulnerabilidad accediendo a un archivo de copia de seguridad y aprovechando una clave estática que se utiliza para la función de configuración de copia de seguridad. Una explotación exitosa podría permitir que un atacante con acceso a un archivo de copia de seguridad obtenga información confidencial que se almacena en los archivos de copia de seguridad de estado completo y los archivos de copia de seguridad de configuración, como credenciales de usuario local, contraseñas de servidor de autenticación, nombres de comunidad de Protocolo simple de administración de red (SNMP) y el certificado y la clave del servidor SSL del dispositivo.
Vulnerabilidad en Gateway (CVE-2024-10295)
Severidad: ALTA
Fecha de publicación: 24/10/2024
Fecha de última actualización: 18/06/2025
Se encontró una falla en Gateway. El envío de una autenticación "básica" que no sea base64 con caracteres especiales puede provocar que APICast autentique incorrectamente una solicitud. Un encabezado de autenticación básica mal formado que contenga caracteres especiales omite la autenticación y permite el acceso no autorizado al backend. Este problema puede ocurrir debido a una falla en el proceso de decodificación base64, que hace que APICast omita el resto de las comprobaciones de autenticación y proceda a enrutar la solicitud en sentido ascendente.
Vulnerabilidad en Post Grid Team de WPXPO PostX (CVE-2024-50443)
Severidad: MEDIA
Fecha de publicación: 28/10/2024
Fecha de última actualización: 18/06/2025
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Post Grid Team de WPXPO PostX permite XSS almacenado. Este problema afecta a PostX: desde n/a hasta 4.1.12.
Vulnerabilidad en IBM CICS TX Standard 11.1 (CVE-2024-41744)
Severidad: MEDIA
Fecha de publicación: 01/11/2024
Fecha de última actualización: 18/06/2025
IBM CICS TX Standard 11.1 es vulnerable a cross-site request forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía.
Vulnerabilidad en kernel de Linux (CVE-2022-21505)
Severidad: MEDIA
Fecha de publicación: 24/12/2024
Fecha de última actualización: 18/06/2025
En el kernel de Linux, si se utiliza la evaluación IMA con el parámetro de arranque "ima_appraise=log", el bloqueo se puede anular con kexec en cualquier máquina cuando el arranque seguro está deshabilitado o no está disponible. IMA impide configurar "ima_appraise=log" desde el parámetro de arranque cuando el arranque seguro está habilitado, pero esto no cubre los casos en los que se utiliza el bloqueo sin arranque seguro. CVSS 3.1 Puntuación base 6,7 (impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en rsync (CVE-2024-12088)
Severidad: MEDIA
Fecha de publicación: 14/01/2025
Fecha de última actualización: 18/06/2025
Se encontró un fallo en rsync. Al usar la opción `--safe-links`, rsync no verifica correctamente si un destino de enlace simbólico contiene otro enlace simbólico dentro de él. Esto genera una vulnerabilidad de Path Traversal, que puede provocar la escritura arbitraria de archivos fuera del directorio deseado.
Vulnerabilidad en rsync daemon (CVE-2024-12084)
Severidad: CRÍTICA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 18/06/2025
Se encontró un fallo de desbordamiento de búfer basado en montón en rsync daemon. Este problema se debe a una gestión inadecuada de las longitudes de suma de comprobación controladas por el atacante (s2length) en el código. Cuando MAX_DIGEST_LEN excede el valor fijo SUM_LENGTH (16 bytes), un atacante puede escribir fuera de los límites en el búfer de sum2.
Vulnerabilidad en mqlink.elf en Ruijie RG-EW300N (CVE-2024-42936)
Severidad: CRÍTICA
Fecha de publicación: 21/01/2025
Fecha de última actualización: 18/06/2025
El componente de servicio mqlink.elf en Ruijie RG-EW300N con firmware ReyeeOS 1.300.1422 es vulnerable a la ejecución remota de código a través de un mensaje de agente MQTT modificado.
Vulnerabilidad en Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2025-21502)
Severidad: MEDIA
Fecha de publicación: 21/01/2025
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles afectadas son Oracle Java SE: 8u431-perf, 11.0.25, 17.0.13, 21.0.5, 23.0.1; Oracle GraalVM for JDK: 17.0.13, 21.0.5, 23.0.1; Oracle GraalVM Enterprise Edition: 20.3.16 y 21.3.12. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos ponga en peligro Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la actualización, inserción o eliminación no autorizada de algunos datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede explotar mediante el uso de API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en entornos aislados o applets Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen de Java sandbox para la seguridad. Puntuación base CVSS 3.1 4.8 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).
Vulnerabilidad en Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (CVE-2025-21526)
Severidad: MEDIA
Fecha de publicación: 21/01/2025
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles afectadas son 20.12.1.0-20.12.21.5, 21.12.1.0-21.12.20.0, 22.12.1.0-22.12.16.0 y 23.12.1.0-23.12.10.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP ponga en peligro Primavera P6 Enterprise Project Portfolio Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad se encuentra en Primavera P6 Enterprise Project Portfolio Management, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado el acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Primavera P6 Enterprise Project Portfolio Management, así como el acceso no autorizado a un subconjunto de datos accesibles de Primavera P6 Enterprise Project Portfolio Management. Puntuación base CVSS 3.1: 5,4 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (CVE-2025-21528)
Severidad: MEDIA
Fecha de publicación: 21/01/2025
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles afectadas son 20.12.1.0-20.12.21.5, 21.12.1.0-21.12.20.0, 22.12.1.0-22.12.16.0 y 23.12.1.0-23.12.10.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro Primavera P6 Enterprise Project Portfolio Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la actualización, inserción o eliminación no autorizada de algunos datos accesibles de Primavera P6 Enterprise Project Portfolio Management. Puntuación base CVSS 3.1: 4,3 (impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N).
Vulnerabilidad en MySQL Connectors de Oracle MySQL (CVE-2025-21548)
Severidad: MEDIA
Fecha de publicación: 21/01/2025
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto MySQL Connectors de Oracle MySQL (componente: Connector/Python). Las versiones compatibles afectadas son 9.1.0 y anteriores. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos ponga en peligro MySQL Connectors. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de MySQL Connectors, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Connectors y la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetible (DOS completo) de MySQL Connectors. Puntuación base de CVSS 3.1: 6,4 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:H/A:H).
Vulnerabilidad en Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (CVE-2025-21558)
Severidad: MEDIA
Fecha de publicación: 21/01/2025
Fecha de última actualización: 18/06/2025
Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles afectadas son 20.12.1.0-20.12.21.5, 21.12.1.0-21.12.20.0 y 22.12.1.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP ponga en peligro Primavera P6 Enterprise Project Portfolio Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad se encuentra en Primavera P6 Enterprise Project Portfolio Management, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado el acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Primavera P6 Enterprise Project Portfolio Management, así como el acceso no autorizado a un subconjunto de datos accesibles de Primavera P6 Enterprise Project Portfolio Management. Puntuación base CVSS 3.1: 5,4 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Senayan Library Management System SLiMS 9 Bulian 9.6.1 (CVE-2025-22980)
Severidad: MEDIA
Fecha de publicación: 22/01/2025
Fecha de última actualización: 18/06/2025
Existe una vulnerabilidad de inyección SQL en Senayan Library Management System SLiMS 9 Bulian 9.6.1 a través del parámetro tempLoanID en el formulario de préstamo en /admin/modules/circulation/loan.php.
Vulnerabilidad en Eliott Robson Mass Messaging en BuddyPress (CVE-2025-23798)
Severidad: ALTA
Fecha de publicación: 22/01/2025
Fecha de última actualización: 18/06/2025
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Eliott Robson Mass Messaging en BuddyPress permite XSS reflejado. Este problema afecta a Mass Messaging en BuddyPress: desde n/a hasta 2.2.1.
Vulnerabilidad en Silicon Labs Gecko OS (CVE-2024-23937)
Severidad: MEDIA
Fecha de publicación: 31/01/2025
Fecha de última actualización: 18/06/2025
Esta vulnerabilidad permite a los atacantes adyacentes a la red divulgar información confidencial sobre las instalaciones afectadas de Silicon Labs Gecko OS. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la interfaz de depuración. El problema es el resultado de la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla como especificador de formato. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del dispositivo.
Vulnerabilidad en IBM Security Verify Access Appliance and Container (CVE-2024-35138)
Severidad: MEDIA
Fecha de publicación: 04/02/2025
Fecha de última actualización: 18/06/2025
IBM Security Verify Access Appliance and Container 10.0.0 a 10.0.8 es vulnerable a Cross-Site Request Forgery, lo que podría permitir que un atacante ejecute acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía.
Vulnerabilidad en Nagios Network Analyzer 2024R1.0.3 (CVE-2025-28132)
Severidad: MEDIA
Fecha de publicación: 01/04/2025
Fecha de última actualización: 18/06/2025
Una falla en la gestión de sesiones en Nagios Network Analyzer 2024R1.0.3 permite a un atacante reutilizar tokens de sesión incluso después de que un usuario cierre sesión, lo que provoca accesos no autorizados y robo de cuentas. Esto se debe a una expiración de sesión insuficiente, donde los tokens de sesión siguen siendo válidos después del cierre de sesión, lo que permite a un atacante suplantar la identidad de los usuarios y realizar acciones en su nombre.
Vulnerabilidad en PEXIP Infinity (CVE-2024-37917)
Severidad: ALTA
Fecha de publicación: 02/04/2025
Fecha de última actualización: 18/06/2025
PEXIP Infinity antes de 35.0 tiene una validación de entrada inadecuada que permite a los atacantes remotos activar una denegación de servicio (aborto de software) a través de un mensaje de señalización manipulado.
Vulnerabilidad en PEXIP Infinity 29 (CVE-2025-30080)
Severidad: ALTA
Fecha de publicación: 02/04/2025
Fecha de última actualización: 18/06/2025
La señalización en PEXIP Infinity 29 a 36.2 antes de 37.0 tiene una validación de entrada inadecuada que permite a los atacantes remotos activar una negación temporal de servicio (aborto de software).
Vulnerabilidad en fluent-bit v.3.7.2 (CVE-2025-29477)
Severidad: MEDIA
Fecha de publicación: 04/04/2025
Fecha de última actualización: 18/06/2025
Un problema en fluent-bit v.3.7.2 permite que un atacante local provoque una denegación de servicio a través de la función consume_event.
Vulnerabilidad en HAX CMS PHP (CVE-2025-32028)
Severidad: CRÍTICA
Fecha de publicación: 08/04/2025
Fecha de última actualización: 18/06/2025
HAX CMS PHP le permite gestionar su universo de micrositios con un backend PHP. Varias funciones de carga de archivos dentro de la aplicación HAX CMS PHP llaman a una función de "guardar" en "HAXCMSFile.php". Esta función de "guardar" utiliza una lista de denegados para impedir que se carguen al servidor tipos específicos de archivo. Esta lista no es exhaustiva y solo bloquea los archivos ".php", ".sh", ".js" y ".css". La lógica existente provoca que el sistema "fallo abrir" en lugar de "fallo cerrar". Esta vulnerabilidad se corrigió en la versión 10.0.3.
Vulnerabilidad en Dify v1.0 (CVE-2025-29720)
Severidad: MEDIA
Fecha de publicación: 14/04/2025
Fecha de última actualización: 18/06/2025
Se descubrió que Dify v1.0 contenía Server-Side Request Forgery (SSRF) a través del componente controllers.console.remote_files.RemoteFileUploadApi.
Vulnerabilidad en Drupal Bootstrap Site Alert (CVE-2025-3901)
Severidad: MEDIA
Fecha de publicación: 23/04/2025
Fecha de última actualización: 18/06/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal Bootstrap Site Alert permite Cross-Site Scripting (XSS). Este problema afecta a Bootstrap Site Alert: desde la versión 0.0.0 hasta la 1.13.0 y desde la versión 3.0.0 hasta la 3.0.4.
Vulnerabilidad en juzaweb CMS (CVE-2025-5420)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se detectó una vulnerabilidad clasificada como problemática en juzaweb CMS hasta la versión 3.4.2. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin-cp/file-manager/upload del componente Profile Page. La manipulación del argumento Upload provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5421)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se ha detectado una vulnerabilidad, clasificada como crítica, en juzaweb CMS hasta la versión 3.4.2. Este problema afecta a una funcionalidad desconocida del archivo /admin-cp/plugin/editor del componente Plugin Editor Page. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5422)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se encontró una vulnerabilidad clasificada como problemática en juzaweb CMS hasta la versión 3.4.2. Esta afecta a una parte desconocida del archivo /admin-cp/logs/email del componente Email Logs Page. La manipulación genera controles de acceso inadecuados. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5423)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se ha detectado una vulnerabilidad en juzaweb CMS hasta la versión 3.4.2, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin-cp/setting/system/general del componente General Setting Page. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5424)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se encontró una vulnerabilidad en juzaweb CMS hasta la versión 3.4.2, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin-cp/media del componente Media Page. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5425)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se encontró una vulnerabilidad en juzaweb CMS hasta la versión 3.4.2. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin-cp/theme/editor/default del componente Theme Editor Page. La manipulación genera controles de acceso inadecuados. Es posible lanzar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5426)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se encontró una vulnerabilidad en juzaweb CMS hasta la versión 3.4.2. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin-cp/menus del componente Menu Page. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5427)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se encontró una vulnerabilidad en juzaweb CMS hasta la versión 3.4.2. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin-cp/permalinks del componente Permalinks Page. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Vulnerabilidad en juzaweb CMS (CVE-2025-5429)
Severidad: MEDIA
Fecha de publicación: 02/06/2025
Fecha de última actualización: 18/06/2025
Se detectó una vulnerabilidad crítica en juzaweb CMS hasta la versión 3.4.2. Esta vulnerabilidad afecta al código desconocido del archivo /admin-cp/plugin/install del componente Plugins Page. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
Vulnerabilidad en File Station 5 (CVE-2025-22486)
Severidad: ALTA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de validación incorrecta de certificados que afecta a File Station 5. Si se explota, esta vulnerabilidad podría permitir que atacantes remotos con acceso de usuario comprometan la seguridad del sistema. Ya hemos corregido la vulnerabilidad en las siguientes versiones: File Station 5 5.5.6.4791 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-22490)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de desreferencia de puntero nulo que afecta a File Station 5. Si un atacante remoto obtiene una cuenta de usuario, puede explotar la vulnerabilidad para lanzar un ataque de denegación de servicio (DoS). Ya hemos corregido la vulnerabilidad en la siguiente versión: File Station 5 5.5.6.4847 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29871)
Severidad: BAJA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de lectura fuera de los límites que afecta a File Station 5. Si un atacante local obtiene una cuenta de administrador, puede explotar la vulnerabilidad para obtener datos confidenciales. Ya hemos corregido la vulnerabilidad en la siguiente versión: File Station 5 5.5.6.4847 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29872)
Severidad: ALTA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de asignación de recursos sin límites o de limitación que afecta a File Station 5. Si un atacante remoto obtiene una cuenta de usuario, puede explotar la vulnerabilidad para impedir que otros sistemas, aplicaciones o procesos accedan al mismo tipo de recurso. Ya hemos corregido la vulnerabilidad en la siguiente versión: File Station 5 5.5.6.4847 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29873)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de desreferencia de puntero nulo que afecta a File Station 5. Si un atacante remoto obtiene una cuenta de usuario, puede explotar la vulnerabilidad para lanzar un ataque de denegación de servicio (DoS). Ya hemos corregido la vulnerabilidad en la siguiente versión: File Station 5 5.5.6.4847 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29876)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de desreferencia de puntero nulo que afecta a File Station 5. Si un atacante remoto obtiene una cuenta de usuario, puede explotar la vulnerabilidad para lanzar un ataque de denegación de servicio (DoS). Ya hemos corregido la vulnerabilidad en la siguiente versión: File Station 5 5.5.6.4847 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29877)
Severidad: MEDIA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de desreferencia de puntero nulo que afecta a File Station 5. Si un atacante remoto obtiene una cuenta de usuario, puede explotar la vulnerabilidad para lanzar un ataque de denegación de servicio (DoS). Ya hemos corregido la vulnerabilidad en la siguiente versión: File Station 5 5.5.6.4847 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29883)
Severidad: ALTA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de validación incorrecta de certificados que afecta a File Station 5. Si se explota, esta vulnerabilidad podría permitir que atacantes remotos con acceso de usuario comprometan la seguridad del sistema. Ya hemos corregido la vulnerabilidad en las siguientes versiones: File Station 5 5.5.6.4791 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29884)
Severidad: ALTA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de validación incorrecta de certificados que afecta a File Station 5. Si se explota, esta vulnerabilidad podría permitir que atacantes remotos con acceso de usuario comprometan la seguridad del sistema. Ya hemos corregido la vulnerabilidad en las siguientes versiones: File Station 5 5.5.6.4791 y posteriores.
Vulnerabilidad en File Station 5 (CVE-2025-29885)
Severidad: ALTA
Fecha de publicación: 06/06/2025
Fecha de última actualización: 18/06/2025
Se ha informado de una vulnerabilidad de validación incorrecta de certificados que afecta a File Station 5. Si se explota, esta vulnerabilidad podría permitir que atacantes remotos con acceso de usuario comprometan la seguridad del sistema. Ya hemos corregido la vulnerabilidad en las siguientes versiones: File Station 5 5.5.6.4791 y posteriores.