Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Syslifters SysReptor (CVE-2024-36076)
    Severidad: ALTA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 11/12/2025
    Syslifters SysReptor anterior a 2024.40 tiene una vulnerabilidad CSRF para conexiones WebSocket.
  • Vulnerabilidad en Ckeditor y Angular (CVE-2025-61261)
    Severidad: MEDIA
    Fecha de publicación: 07/11/2025
    Fecha de última actualización: 11/12/2025
    Una vulnerabilidad reflejada de cross-site scripting (XSS) en CKeditor v46.1.0 y Angular v18.0.0 permite a los atacantes ejecutar código arbitrario en el contexto del navegador de un usuario mediante la inyección de una carga útil manipulada.
  • Vulnerabilidad en tQuadra CMS (CVE-2025-60574)
    Severidad: ALTA
    Fecha de publicación: 07/11/2025
    Fecha de última actualización: 11/12/2025
    Una vulnerabilidad de inclusión local de ficheros (LFI) ha sido identificada en tQuadra CMS 4.2.1117. El problema existe en la ruta "/styles/", que no logra sanear correctamente la entrada proporcionada por el usuario. Un atacante puede explotar esto enviando una solicitud GET manipulada para recuperar ficheros arbitrarios del sistema subyacente.
  • Vulnerabilidad en rickxy Hospital Management System (CVE-2025-63497)
    Severidad: ALTA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 11/12/2025
    La funcionalidad de visualización de recetas médicas de pacientes en his_doc_view_single_patient.php del Sistema de Gestión Hospitalaria rickxy versión 1.0 contiene una vulnerabilidad de inyección SQL. El parámetro GET pat_number se concatena directamente en las consultas SQL sin la sanitización adecuada, permitiendo a atacantes autenticados (rol de médico) ejecutar consultas SQL arbitrarias.
  • Vulnerabilidad en Open5GS (CVE-2025-63288)
    Severidad: ALTA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 11/12/2025
    En Open5GS 2.7.6, el AMF falla al recibir un mensaje NGSetupRequest anómalo, resultando en denegación de servicio.