Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Apache XML Graphics FOP (CVE-2024-28168)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 16/07/2025
    Vulnerabilidad de restricción incorrecta de referencia de entidad externa XML ('XXE') en Apache XML Graphics FOP. Este problema afecta a Apache XML Graphics FOP: 2.9. Se recomienda a los usuarios que actualicen a la versión 2.10, que soluciona el problema.
  • Vulnerabilidad en PHPGurukul Medical Card Generation System 1.0 (CVE-2024-10296)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 16/07/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Medical Card Generation System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/card-bwdates-reports-details.php del componente Report of Medical Card Page. La manipulación del argumento fromdate/todate conduce a una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20916)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites en la cadena de lectura de SPen en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20917)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites al aplicar código binario de contenido PDF en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20918)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites al aplicar datos adicionales del contenido base en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20919)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites al aplicar binarios de contenido de video en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20920)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites en datos de enlaces de acción en Samsung Notes anteriores a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20921)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites al aplicar código binario de contenido de texto en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20922)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites al agregar un párrafo de texto en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer la memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20929)
    Severidad: ALTA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La escritura fuera de los límites al analizar imágenes jpeg en Samsung Notes anteriores a la versión 4.4.26.71 permite a atacantes locales ejecutar código arbitrario.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20930)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites al analizar una imagen jpeg en Samsung Notes anterior a la versión 4.4.26.71 permite a atacantes locales leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20931)
    Severidad: ALTA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La escritura fuera de los límites al analizar una imagen bmp en Samsung Notes anterior a la versión 4.4.26.71 permite a atacantes locales ejecutar código arbitrario.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20932)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites en el rol de análisis de una imagen bmp en Samsung Notes anterior a la versión 4.4.26.71 permite a atacantes locales leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20933)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 16/07/2025
    La lectura fuera de los límites en el análisis de imágenes bmp en Samsung Notes anteriores a la versión 4.4.26.71 permite a atacantes locales leer memoria fuera de los límites.
  • Vulnerabilidad en Apache Felix HTTP Webconsole Plugin (CVE-2025-27867)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2025
    Fecha de última actualización: 16/07/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Apache Felix HTTP Webconsole Plugin. Este problema afecta a Apache Felix HTTP Webconsole Plugin desde la versión 1.X hasta la 1.2.0. Se recomienda a los usuarios actualizar a la versión 1.2.2, que soluciona el problema.
  • Vulnerabilidad en IBM TXSeries (CVE-2024-56474)
    Severidad: MEDIA
    Fecha de publicación: 02/04/2025
    Fecha de última actualización: 16/07/2025
    IBM TXSeries para multiplataformas 9.1 y 11.1 es vulnerable a Cross-Site Request Forgery que podría permitir que un atacante ejecute acciones maliciosas y no autorizadas transmitidas de un usuario que confía el sitio web.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-55909)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 16/07/2025
    IBM Concert Software 1.0.0 a 1.0.5 podría permitir que un usuario autenticado provoque una denegación de servicio debido a la expansión de archivos de archivo sin controlar el consumo de recursos.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-55910)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 16/07/2025
    IBM Concert Software 1.0.0 a 1.0.5 es vulnerable a Server-Side Request Forgery (SSRF). Esto podría permitir que un atacante autenticado envíe solicitudes no autorizadas desde el sistema, lo que podría provocar la enumeración de la red o facilitar otros ataques.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-55912)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 16/07/2025
    IBM Concert Software 1.0.0 a 1.0.5 utiliza algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-55913)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2025
    Fecha de última actualización: 16/07/2025
    IBM Concert Software 1.0.0 a 1.0.5 podría permitir que un atacante remoto acceda a directorios del sistema. Un atacante podría enviar una solicitud URL especialmente manipulada que contenga secuencias de "punto punto" (/../) para ver archivos arbitrarios en el sistema.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20971)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 16/07/2025
    La validación de entrada incorrecta en Samsung Flow anterior a la versión 4.9.17.6 permite que atacantes locales accedan a datos dentro de Samsung Flow.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20972)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 16/07/2025
    La verificación incorrecta de la intención por parte del receptor de transmisión en Samsung Flow anterior a la versión 4.9.17.6 permite que atacantes locales modifiquen la configuración de Samsung Flow.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20977)
    Severidad: BAJA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 16/07/2025
    El uso de la intención implícita para la comunicación confidencial en la traducción de Samsung Notes anteriores a la versión 4.4.29.23 permite a atacantes locales obtener información confidencial. Se requiere la interacción del usuario para activar esta vulnerabilidad.
  • Vulnerabilidad en ARTEC EMA Mail 6.92 (CVE-2025-46610)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 16/07/2025
    ARTEC EMA Mail 6.92 permite CSRF.
  • Vulnerabilidad en VMware (CVE-2025-22248)
    Severidad: CRÍTICA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/07/2025
    La imagen de Docker bitnami/pgpool y el diagrama k8s bitnami/postgres-ha, en la configuración predeterminada, incluyen el usuario "repmgr" que permite el acceso no autenticado a la base de datos dentro del clúster. PGPOOL_SR_CHECK_USER es el usuario que Pgpool utiliza para realizar comprobaciones de replicación en streaming en los nodos y no debe tener un nivel de confianza. Esto permite iniciar sesión en una base de datos PostgreSQL con el usuario "repmgr" sin autenticación. Si Pgpool se expone externamente, un atacante podría usar este usuario para acceder al servicio. Esto también está presente en el diagrama Helm de Kubernetes bitnami/postgres-ha.
  • Vulnerabilidad en Ivanti Cloud Services (CVE-2025-22460)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/07/2025
    Las credenciales predeterminadas en la aplicación Ivanti Cloud Services anterior a la versión 5.0.5 permiten que un atacante autenticado local aumente sus privilegios.
  • Vulnerabilidad en Ivanti Neurons (CVE-2025-22462)
    Severidad: CRÍTICA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/07/2025
    Una omisión de autenticación en Ivanti Neurons para ITSM (solo local) anterior a 2023.4, 2024.2 y 2024.3 con el parche de seguridad de mayo de 2025 permite que un atacante remoto no autenticado obtenga acceso administrativo al sistema.
  • Vulnerabilidad en KeeperChat IOS Application v.5.8.8 (CVE-2025-29627)
    Severidad: MEDIA
    Fecha de publicación: 09/06/2025
    Fecha de última actualización: 16/07/2025
    Un problema en KeeperChat IOS Application v.5.8.8 permite que un atacante físicamente próximo escale privilegios a través del módulo de autenticación biométrica
  • Vulnerabilidad en D-Link DIR-632 FW103B08 (CVE-2025-5969)
    Severidad: ALTA
    Fecha de publicación: 10/06/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad en D-Link DIR-632 FW103B08, clasificada como crítica. Esta vulnerabilidad afecta a la función FUN_00425fd8 del archivo /biurl_grou del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en FoxCMS (CVE-2025-6094)
    Severidad: MEDIA
    Fecha de publicación: 15/06/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad, clasificada como crítica, en FoxCMS hasta la versión 1.2.5. Este problema afecta a la función batchCope del archivo app/admin/controller/Download.php. La manipulación de los identificadores de los argumentos provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en D-Link DIR-665 1.00 (CVE-2025-6158)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad crítica en D-Link DIR-665 1.00. Esta vulnerabilidad afecta a la función sub_AC78 del componente HTTP POST Request Handler. La manipulación provoca un desbordamiento del búfer en la pila. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en HackerOne (CVE-2025-24286)
    Severidad: ALTA
    Fecha de publicación: 19/06/2025
    Fecha de última actualización: 16/07/2025
    Una vulnerabilidad que permite a un usuario autenticado con el rol de Operador de respaldo modificar trabajos de respaldo, lo que podría ejecutar código arbitrario.
  • Vulnerabilidad en Netgear EX6100 1.0.2.28_1.1.138 (CVE-2025-6510)
    Severidad: ALTA
    Fecha de publicación: 23/06/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en Netgear EX6100 1.0.2.28_1.1.138. Se ha clasificado como crítica. Este problema afecta a la función sub_415EF8. La manipulación provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Netgear EX6150 1.0.0.46_1.0.76 (CVE-2025-6511)
    Severidad: ALTA
    Fecha de publicación: 23/06/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad crítica en Netgear EX6150 1.0.0.46_1.0.76. Esta afecta a la función sub_410090. La manipulación provoca un desbordamiento del búfer en la pila. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en langchain-ai/langchain (CVE-2025-2828)
    Severidad: CRÍTICA
    Fecha de publicación: 23/06/2025
    Fecha de última actualización: 16/07/2025
    Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en el componente RequestsToolkit del paquete langchain-community (en concreto, langchain_community.agent_toolkits.openapi.toolkit.RequestsToolkit) en la versión 0.0.27 de langchain-ai/langchain. Esta vulnerabilidad se debe a que el kit de herramientas no impone restricciones a las solicitudes a direcciones de internet remotas, lo que le permite acceder también a direcciones locales. Por lo tanto, un atacante podría explotar esta vulnerabilidad para realizar escaneos de puertos, acceder a servicios locales, recuperar metadatos de instancias de entornos en la nube (p. ej., Azure, AWS) e interactuar con servidores de la red local. Este problema se ha corregido en la versión 0.0.28.
  • Vulnerabilidad en D-Link DIR-619L 2.06B01 (CVE-2025-6614)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en D-Link DIR-619L 2.06B01. Este problema afecta a la función formSetWANType_Wizard5 del archivo /goform/formSetWANType_Wizard5. La manipulación del argumento curTime provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en TOTOLINK A702R 4.0.0-B20230721.1521 (CVE-2025-6627)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad en TOTOLINK A702R 4.0.0-B20230721.1521, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /boafrm/formIpv6Setup del componente HTTP POST Request Handler. La manipulación del argumento "submit-url" provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en TOTOLINK N200RE 9.3.5u.6095_B20200916/9.3.5u.6139_B20201216 (CVE-2025-7154)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en TOTOLINK N200RE 9.3.5u.6095_B20200916/9.3.5u.6139_B20201216. Este problema afecta a la función sub_41A0F8 del archivo /cgi-bin/cstecgi.cgi. La manipulación del argumento "Hostname" provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en LeAudioService (CVE-2025-21002)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Un control de acceso inadecuado en LeAudioService anterior a SMR Jul-2025 Release 1 permite a atacantes locales manipular la transmisión de Auracast.
  • Vulnerabilidad en Emergency SOS (CVE-2025-21003)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El almacenamiento inseguro de información confidencial en Emergency SOS antes de la versión 1 de SMR Jul-2025 permite que atacantes locales accedan a información confidencial.
  • Vulnerabilidad en Microsoft Office (CVE-2025-49702)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El acceso a un recurso mediante un tipo incompatible ('confusión de tipos') en Microsoft Office permite que un atacante no autorizado ejecute código localmente.
  • Vulnerabilidad en Microsoft Office Word (CVE-2025-49703)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Use after free en Microsoft Office Word permite que un atacante no autorizado ejecute código localmente.
  • Vulnerabilidad en Microsoft Office SharePoint (CVE-2025-49704)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El control inadecuado de la generación de código ('inyección de código') en Microsoft Office SharePoint permite que un atacante autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Office PowerPoint (CVE-2025-49705)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El desbordamiento del búfer basado en montón en Microsoft Office PowerPoint permite que un atacante no autorizado ejecute código localmente.
  • Vulnerabilidad en Microsoft Office SharePoint (CVE-2025-49706)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    La autenticación incorrecta en Microsoft Office SharePoint permite que un atacante autorizado realice suplantación de identidad a través de una red.
  • Vulnerabilidad en Visual Studio Code - Python extension (CVE-2025-49714)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Violación del límite de confianza en Visual Studio Code - Python extension permite que un atacante no autorizado ejecute código localmente.
  • Vulnerabilidad en Windows Netlogon (CVE-2025-49716)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El consumo descontrolado de recursos en Windows Netlogon permite que un atacante no autorizado deniegue el servicio en una red.
  • Vulnerabilidad en Windows Fast FAT Driver (CVE-2025-49721)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El desbordamiento del búfer basado en montón en Windows Fast FAT Driver permite que un atacante no autorizado eleve privilegios localmente.
  • Vulnerabilidad en Windows Print Spooler Components (CVE-2025-49722)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El consumo descontrolado de recursos en Windows Print Spooler Components permite que un atacante autorizado deniegue el servicio en una red adyacente.
  • Vulnerabilidad en Windows StateRepository (CVE-2025-49723)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    La falta de autorización en la API de Windows StateRepository permite que un atacante autorizado realice manipulaciones localmente.
  • Vulnerabilidad en Windows Connected Devices Platform Service (CVE-2025-49724)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Use after free en Windows Connected Devices Platform Service permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Windows Notification (CVE-2025-49725)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Use after free en Windows Notification permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Windows Notification (CVE-2025-49726)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Use after free en Windows Notification permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Windows Win32K: GRFX (CVE-2025-49727)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    Desbordamiento de búfer basado en montón en Windows Win32K: GRFX permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Windows Routing and Remote Access Service (CVE-2025-49729)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 16/07/2025
    El desbordamiento del búfer basado en Windows Routing and Remote Access Service (RRAS) permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Netgear D6400 1.0.0.114 (CVE-2025-7407)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en Netgear D6400 1.0.0.114. Esta afecta a una parte desconocida del archivo diag.cgi. La manipulación del argumento host_name provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó con el proveedor con prontitud y se confirmó la existencia de la vulnerabilidad. Su reacción fue muy rápida, profesional y amable. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en Tenda O3V2 1.0.0.12(3880) (CVE-2025-7421)
    Severidad: ALTA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en Tenda O3V2 1.0.0.12(3880). Se ha clasificado como crítica. Este problema afecta a la función fromMacFilterModify del archivo /goform/operateMacFilter del componente httpd. La manipulación del argumento mac provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda O3V2 1.0.0.12(3880) (CVE-2025-7422)
    Severidad: ALTA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha detectado una vulnerabilidad crítica en Tenda O3V2 1.0.0.12(3880). La función setAutoReboot del archivo /goform/setNetworkService del componente httpd se ve afectada. La manipulación del argumento week provoca un desbordamiento del búfer en la pila. Es posible ejecutar el ataque en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda O3V2 1.0.0.12(3880) (CVE-2025-7423)
    Severidad: ALTA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en Tenda O3V2 1.0.0.12(3880). Esta vulnerabilidad afecta a la función formWifiMacFilterSet del archivo /goform/setWrlFilterList del componente httpd. La manipulación del argumento macList provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH451 (CVE-2025-7434)
    Severidad: ALTA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se detectó una vulnerabilidad en Tenda FH451 hasta la versión 1.0.0.9, clasificada como crítica. Este problema afecta la función fromAddressNat del archivo /goform/addressNat del componente POST Request Handler. La manipulación de la página de argumentos provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Recruitment Management System 1.0 (CVE-2025-7436)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en Campcodes Online Recruitment Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/ajax.php?action=delete_vacancy. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Appointment Booking System 1.0 (CVE-2025-7587)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se encontró una vulnerabilidad en code-projects Online Appointment Booking System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /cover.php. La manipulación del argumento uname/psw provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Dairy Farm Shop Management System 1.3 (CVE-2025-7592)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 16/07/2025
    Se ha encontrado una vulnerabilidad en PHPGurukul Dairy Farm Shop Management System 1.3, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo receipts.php. La manipulación del argumento "del" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.