Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la CLI del software Cisco SD-WAN (CVE-2022-20775)
Severidad: ALTA
Fecha de publicación: 30/09/2022
Fecha de última actualización: 26/02/2026
Varias vulnerabilidades en la CLI del software Cisco SD-WAN podrían permitir a un atacante local autenticado conseguir altos privilegios. Estas vulnerabilidades son debido a controles de acceso inapropiados en los comandos de la aplicación CLI. Un atacante podría explotar estas vulnerabilidades al ejecutar un comando malicioso en la CLI de la aplicación. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios como usuario root
Vulnerabilidad en SOLIDWORKS (CVE-2026-1333)
Severidad: ALTA
Fecha de publicación: 16/02/2026
Fecha de última actualización: 26/02/2026
Una vulnerabilidad de uso de variable no inicializada que afecta el procedimiento de lectura de archivos EPRT en SOLIDWORKS eDrawings desde la versión SOLIDWORKS Desktop 2025 hasta la versión SOLIDWORKS Desktop 2026 podría permitir a un atacante ejecutar código arbitrario al abrir un archivo EPRT especialmente diseñado.
Vulnerabilidad en SOLIDWORKS (CVE-2026-1334)
Severidad: ALTA
Fecha de publicación: 16/02/2026
Fecha de última actualización: 26/02/2026
Una vulnerabilidad de lectura fuera de límites que afecta el procedimiento de lectura de archivos EPRT en SOLIDWORKS eDrawings desde la versión SOLIDWORKS Desktop 2025 hasta la versión SOLIDWORKS Desktop 2026 podría permitir a un atacante ejecutar código arbitrario al abrir un archivo EPRT especialmente diseñado.
Vulnerabilidad en SOLIDWORKS (CVE-2026-1335)
Severidad: ALTA
Fecha de publicación: 16/02/2026
Fecha de última actualización: 26/02/2026
Una vulnerabilidad de escritura fuera de límites que afecta al procedimiento de lectura de archivos EPRT en SOLIDWORKS eDrawings desde la versión SOLIDWORKS Desktop 2025 hasta la versión SOLIDWORKS Desktop 2026 podría permitir a un atacante ejecutar código arbitrario al abrir un archivo EPRT especialmente diseñado.
Vulnerabilidad en IBM (CVE-2025-27898)
Severidad: MEDIA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 26/02/2026
IBM DB2 Recovery Expert para LUW 5.5 Corrección Provisional 002 no invalida la sesión después de un tiempo de espera, lo que podría permitir a un usuario autenticado suplantar a otro usuario en el sistema.
Vulnerabilidad en IBM (CVE-2025-27899)
Severidad: MEDIA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 26/02/2026
IBM DB2 Recovery Expert for LUW 5.5 Interim Fix 002 revela información sensible en una variable de entorno que podría facilitar ataques posteriores contra el sistema.
Vulnerabilidad en IBM (CVE-2025-27900)
Severidad: MEDIA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 26/02/2026
IBM DB2 Recovery Expert for LUW 5.5 Interim Fix 002 podría permitir a un atacante remoto realizar ataques de phishing, utilizando un ataque de redirección abierta. Al persuadir a una víctima para que visite un sitio web especialmente diseñado, un atacante remoto podría explotar esta vulnerabilidad para falsificar la URL mostrada y redirigir a un usuario a un sitio web malicioso que parecería ser de confianza. Esto podría permitir al atacante obtener información altamente sensible o realizar ataques adicionales contra la víctima.
Vulnerabilidad en IBM (CVE-2025-27903)
Severidad: MEDIA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 26/02/2026
IBM DB2 Recovery Expert for LUW 5.5 Interim Fix 002 IBM Db2 Recovery Expert for Linux, UNIX and Windows transmite datos en un canal de comunicación de texto claro que podría permitir a un atacante obtener información sensible utilizando técnicas de man-in-the-middle.
Vulnerabilidad en IBM (CVE-2025-27904)
Severidad: MEDIA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 26/02/2026
IBM DB2 Recovery Expert for LUW 5.5 Interim Fix 002 IBM Db2 Recovery Expert for Linux, UNIX and Windows es vulnerable a falsificación de petición en sitios cruzados, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía.
Vulnerabilidad en OpenClaw (CVE-2026-26317)
Severidad: ALTA
Fecha de publicación: 19/02/2026
Fecha de última actualización: 26/02/2026
OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, las rutas de mutación de localhost orientadas al navegador aceptaban solicitudes de navegador de origen cruzado sin validación explícita de Origin/Referer. La vinculación de bucle invertido reduce la exposición remota, pero no evita las solicitudes iniciadas por el navegador desde orígenes maliciosos. Un sitio web malicioso puede desencadenar cambios de estado no autorizados contra el plano de control del navegador OpenClaw local de una víctima (por ejemplo, abrir pestañas, iniciar/detener el navegador, mutar almacenamiento/cookies) si el servicio de control del navegador es accesible en bucle invertido en el contexto del navegador de la víctima. A partir de la versión 2026.2.14, los métodos HTTP mutantes (POST/PUT/PATCH/DELETE) son rechazados cuando la solicitud indica un Origin/Referer que no es de bucle invertido (o 'Sec-Fetch-Site: cross-site'). Otras mitigaciones incluyen habilitar la autenticación de control del navegador (token/contraseña) y evitar ejecutar con la autenticación deshabilitada.
Vulnerabilidad en OpenClaw (CVE-2026-26328)
Severidad: MEDIA
Fecha de publicación: 20/02/2026
Fecha de última actualización: 26/02/2026
OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, bajo iMessage 'groupPolicy=allowlist', la autorización de grupo podía ser satisfecha por identidades de remitente provenientes del almacén de emparejamiento de DM, ampliando la confianza de DM a contextos de grupo. La versión 2026.2.14 corrige el problema.
Vulnerabilidad en Key Systems Inc (CVE-2026-26721)
Severidad: ALTA
Fecha de publicación: 20/02/2026
Fecha de última actualización: 26/02/2026
Un problema en el software de gestión de instalaciones globales de Key Systems Inc v.20230721a permite a un atacante remoto obtener información sensible a través del parámetro de consulta sid.
Vulnerabilidad en Key Systems Inc (CVE-2026-26722)
Severidad: CRÍTICA
Fecha de publicación: 20/02/2026
Fecha de última actualización: 26/02/2026
Un problema en el software de gestión de instalaciones globales de Key Systems Inc v.20230721a permite a un atacante remoto escalar privilegios a través del componente PIN de la funcionalidad de inicio de sesión.
Vulnerabilidad en Key Systems Inc Global Facilities Management Software (CVE-2026-26723)
Severidad: ALTA
Fecha de publicación: 20/02/2026
Fecha de última actualización: 26/02/2026
Una vulnerabilidad de Cross Site Scripting en el software Key Systems Inc Global Facilities Management v. 20230721a permite a un atacante remoto ejecutar código arbitrario a través del parámetro de función.
Vulnerabilidad en Key Systems Inc Global Facilities Management (CVE-2026-26724)
Severidad: ALTA
Fecha de publicación: 20/02/2026
Fecha de última actualización: 26/02/2026
Vulnerabilidad de Cross Site Scripting en el software Key Systems Inc Global Facilities Management v. 20230721a permite a un atacante remoto ejecutar código arbitrario a través de los parámetros selectgroup y gn en el endpoint /?Function=Groups.
Vulnerabilidad en Moodle (CVE-2026-26045)
Severidad: ALTA
Fecha de publicación: 21/02/2026
Fecha de última actualización: 26/02/2026
Se identificó una vulnerabilidad en la funcionalidad de restauración de copias de seguridad de Moodle donde los archivos de copia de seguridad especialmente diseñados no se validaban correctamente durante el procesamiento. Si se restaura un archivo de copia de seguridad malicioso, podría conducir a la ejecución no intencionada de código del lado del servidor. Dado que las capacidades de restauración suelen estar disponibles para usuarios privilegiados, la explotación requiere acceso autenticado. Una explotación exitosa podría resultar en el compromiso total del servidor Moodle.
Vulnerabilidad en TeX (CVE-2026-26046)
Severidad: ALTA
Fecha de publicación: 21/02/2026
Fecha de última actualización: 26/02/2026
Se encontró una vulnerabilidad en una configuración administrativa del filtro TeX de Moodle donde una sanitización insuficiente de la entrada de configuración podría permitir la inyección de comandos. En sitios donde el filtro TeX está habilitado e ImageMagick está instalado, un valor de configuración maliciosamente elaborado introducido por un administrador podría resultar en la ejecución no intencionada de comandos del sistema. Si bien la explotación requiere privilegios administrativos, un compromiso exitoso podría afectar a todo el servidor Moodle.
Vulnerabilidad en editor de fórmulas TeX de Moodle (CVE-2026-26047)
Severidad: MEDIA
Fecha de publicación: 21/02/2026
Fecha de última actualización: 26/02/2026
Se ha identificado una vulnerabilidad de denegación de servicio en el editor de fórmulas TeX de Moodle. Al renderizar contenido TeX usando mimetex, si los límites de tiempo de ejecución son insuficientes, podrían permitir que fórmulas especialmente diseñadas consuman excesivos recursos del servidor. Un usuario autenticado podría abusar de este comportamiento para degradar el rendimiento o causar interrupción del servicio.
Vulnerabilidad en BigBlueButton (CVE-2026-27466)
Severidad: ALTA
Fecha de publicación: 21/02/2026
Fecha de última actualización: 26/02/2026
BigBlueButton es un aula virtual de código abierto. En las versiones 3.0.21 e inferiores, la documentación oficial para 'Personalización del Servidor' en Soporte para ClamAV como escáner de archivos de presentación contiene instrucciones que dejan un servidor BBB vulnerable a la denegación de servicio. El comando defectuoso expone ambos puertos (3310 y 7357) a internet. Un atacante remoto puede usar esto para enviar documentos complejos o grandes a clamd y malgastar recursos del servidor, o apagar el proceso clamd. La documentación de clamd advierte explícitamente sobre la exposición de este puerto. Habilitar ufw (cortafuegos de ubuntu) durante la instalación no ayuda, porque Docker enruta el tráfico del contenedor a través de la tabla nat, la cual no es gestionada ni restringida por ufw. Las reglas instaladas por ufw en la tabla de filtros no tienen efecto en el tráfico de docker. Además, el ejemplo proporcionado también monta /var/bigbluebutton con permisos de escritura en el contenedor, lo cual no debería ser necesario. Futuras vulnerabilidades en clamd pueden permitir a los atacantes manipular archivos en esa carpeta. Los usuarios no se ven afectados a menos que hayan optado por seguir las instrucciones adicionales de la documentación de BigBlueButton. Este problema ha sido solucionado en la versión 3.0.22.
Vulnerabilidad en BigBlueButton (CVE-2026-27467)
Severidad: BAJA
Fecha de publicación: 21/02/2026
Fecha de última actualización: 26/02/2026
BigBlueButton es un aula virtual de código abierto. En las versiones 3.0.19 e inferiores, al unirse por primera vez a una sesión con el micrófono silenciado, el cliente envía audio al servidor independientemente del estado de silencio. Los medios se descartan en el lado del servidor, por lo que no es audible para ningún participante, pero esto puede permitir a operadores de servidor maliciosos acceder a datos de audio. El comportamiento solo es incorrecto entre unirse a la reunión y la primera vez que el usuario quita el silencio. Este problema ha sido solucionado en la versión 3.0.20.
Vulnerabilidad en Web Ofisi Emlak (CVE-2019-25459)
Severidad: ALTA
Fecha de publicación: 22/02/2026
Fecha de última actualización: 26/02/2026
Web Ofisi Emlak V2 contiene múltiples vulnerabilidades de inyección SQL en el endpoint que permiten a atacantes no autenticados manipular consultas a la base de datos a través de parámetros GET. Los atacantes pueden inyectar código SQL en parámetros como emlak_durumu, emlak_tipi, il, ilce, kelime y semt para extraer información sensible de la base de datos o realizar ataques de inyección SQL ciega basada en tiempo.
Vulnerabilidad en Web Ofisi Platinum E-Ticaret (CVE-2019-25460)
Severidad: ALTA
Fecha de publicación: 22/02/2026
Fecha de última actualización: 26/02/2026
Web Ofisi Platinum E-Ticaret v5 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro GET 'q'. Los atacantes pueden enviar solicitudes al endpoint arama con valores 'q' maliciosos utilizando técnicas de inyección SQL basadas en tiempo para extraer información sensible de la base de datos.
Vulnerabilidad en Web Ofisi Platinum E-Ticaret (CVE-2019-25461)
Severidad: ALTA
Fecha de publicación: 22/02/2026
Fecha de última actualización: 26/02/2026
Web Ofisi Platinum E-Ticaret v5 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro 'q'. Los atacantes pueden enviar solicitudes POST al endpoint ajax/productsFilterSearch con valores 'q' maliciosos utilizando técnicas de inyección SQL ciega basada en tiempo para extraer información sensible de la base de datos.
Vulnerabilidad en higuma web-audio-recorder-js (CVE-2026-2964)
Severidad: BAJA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Se identificó una vulnerabilidad en higuma web-audio-recorder-js 0.1/0.1.1. Afecta a la función extend de la biblioteca lib/WebAudioRecorder.js del componente Dynamic Config Handling. Si se manipula se puede provocar una modificación incontrolada de atributos de prototipo de objeto. Es posible lanzar el ataque de forma remota. Los ataques de esta naturaleza son altamente complejos y se consideran difíciles de explotar. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en componente KeycloakSecurityPolicy de Apache Camel Keycloak (CVE-2026-23552)
Severidad: CRÍTICA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Elusión de la aceptación de tokens entre dominios (realms) en el componente KeycloakSecurityPolicy de Apache Camel Keycloak. La política de seguridad KeycloakSecurityPolicy de Camel-Keycloak no valida la declaración 'iss' (emisor) de los tokens JWT contra el dominio (realm) configurado. Un token emitido por un dominio (realm) de Keycloak es aceptado silenciosamente por una política configurada para un dominio (realm) completamente diferente, rompiendo el aislamiento de inquilinos. Este problema afecta a Apache Camel: desde la versión 4.15.0 hasta antes de la 4.18.0. Se recomienda a los usuarios actualizar a la versión 4.18.0, que corrige el problema.
Vulnerabilidad en Apache Camel de Apache Software Foundation (CVE-2026-25747)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Vulnerabilidad de deserialización de datos no confiables en el componente Apache Camel LevelDB. La clase Camel-LevelDB DefaultLevelDBSerializer deserializa datos leídos del repositorio de agregación LevelDB usando java.io.ObjectInputStream sin aplicar ningún ObjectInputFilter o restricciones de carga de clases. Un atacante que puede escribir en los archivos de la base de datos LevelDB utilizados por una aplicación Camel puede inyectar un objeto Java serializado manipulado que, cuando es deserializado durante las operaciones normales del repositorio de agregación, resulta en ejecución de código arbitrario en el contexto de la aplicación. Este problema afecta a Apache Camel: desde 4.10.0 antes de 4.10.8, desde 4.14.0 antes de 4.14.5, desde 4.15.0 antes de 4.18.0. Se recomienda a los usuarios actualizar a la versión 4.18.0, que corrige el problema. Para las versiones LTS 4.10.x, se recomienda a los usuarios actualizar a 4.10.9, mientras que para las versiones LTS 4.14.x, se recomienda a los usuarios actualizar a 4.14.5.
Vulnerabilidad en fofolee uTools-quickcommand (CVE-2025-70044)
Severidad: MEDIA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Un problema relacionado con CWE-295: Validación inadecuada de certificados fue descubierto en fofolee uTools-quickcommand 5.0.3.
Vulnerabilidad en jxcore jxm master (CVE-2025-70045)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Un problema relacionado con CWE-295: Validación Incorrecta de Certificados fue descubierto en jxcore jxm master. La aplicación deshabilita la validación de certificados TLS/SSL al establecer 'rejectUnauthorized': false en las opciones de solicitud HTTPS cuando 'jx_obj.IsSecure' es true
Vulnerabilidad en YMFE yapi (CVE-2025-70058)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Un problema relacionado con CWE-295: Validación Incorrecta de Certificados fue descubierto en YMFE yapi v1.12.0. La aplicación deshabilita la validación de certificados TLS/SSL al establecer 'rejectUnauthorized': false en la configuración del agente HTTPS para las solicitudes de Axios.
Vulnerabilidad en Security Center de Tenable (CVE-2026-2697)
Severidad: MEDIA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Una Referencia Indirecta a Objeto (IDOR) en Security Center permite a un atacante remoto autenticado escalar privilegios a través del parámetro 'owner'.
Vulnerabilidad en ZIA Admin UI de Zscaler (CVE-2026-22567)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Validación indebida de la entrada proporcionada por el usuario en la UI de administración de ZIA podría permitir a un administrador autenticado iniciar funciones de backend a través de campos de entrada específicos en escenarios limitados.
Vulnerabilidad en ZIA Admin UI de Zscaler (CVE-2026-22568)
Severidad: MEDIA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Neutralización incorrecta de elementos especiales en la entrada proporcionada por el usuario dentro de la IU de administración de ZIA podría permitir a un administrador autenticado acceder o recuperar información interna no autorizada en raras condiciones.
Vulnerabilidad en Security Center de Tenable (CVE-2026-2698)
Severidad: MEDIA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Existe una vulnerabilidad de control de acceso inadecuado donde un usuario autenticado podría acceder a áreas fuera de su ámbito autorizado.
Vulnerabilidad en Society Management System Portal (CVE-2026-26464)
Severidad: MEDIA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Se encontró Cross-Site Scripting (XSS) Almacenado en la página /admin/edit_user.php de Society Management System Portal V1.0, lo que permite a atacantes remotos inyectar y almacenar código JavaScript arbitrario que se ejecuta en los navegadores de los usuarios. Esta vulnerabilidad puede ser explotada a través del parámetro name en una solicitud HTTP POST, lo que lleva a la ejecución de scripts maliciosos cuando el contenido afectado es visto por otros usuarios, incluidos los administradores.
Vulnerabilidad en Tencent iOA (CVE-2025-63945)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Una vulnerabilidad de escalada de privilegios (PE) en la aplicación Tencent iOA hasta la versión 210.9.28693.621001 en dispositivos Windows permite a un usuario local ejecutar programas con grandes privilegios. Sin embargo, la ejecución requiere que el usuario local sea capaz de explotar con éxito una condición de carrera.
Vulnerabilidad en Tencent PC (CVE-2025-63946)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Una vulnerabilidad de escalada de privilegios (PE) en la aplicación Tencent PC Manager hasta la versión 17.10.28554.205 en dispositivos Windows permite a un usuario local ejecutar programas con privilegios elevados. Sin embargo, la ejecución requiere que el usuario local sea capaz de explotar con éxito una condición de carrera.
Vulnerabilidad en saitoha libsixel (CVE-2025-61146)
Severidad: MEDIA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Se descubrió que saitoha libsixel hasta la v1.8.7 contenía una fuga de memoria a través del componente malloc_stub.c.
Vulnerabilidad en Traccar open-source GPS (CVE-2025-68930)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Las versiones del sistema de seguimiento GPS de código abierto Traccar hasta la 6.11.1 inclusive contienen una vulnerabilidad de Secuestro de WebSocket entre Sitios (CSWSH) en el endpoint `/api/socket`. La aplicación no valida el encabezado 'Origin' durante el handshake de WebSocket. Esto permite a un atacante remoto eludir la Política del Mismo Origen (SOP) y establecer una conexión WebSocket full-duplex utilizando las credenciales de un usuario legítimo (JSESSIONID). En el momento de la publicación, no está claro si hay una solución disponible.
Vulnerabilidad en Traccar open-source GPS (CVE-2026-23521)
Severidad: MEDIA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Las versiones del sistema de seguimiento GPS de código abierto Traccar hasta la 6.11.1 inclusive contienen un problema en el que los usuarios autenticados que pueden crear o editar dispositivos pueden establecer el 'uniqueId' de un dispositivo a una ruta absoluta. Al cargar una imagen de dispositivo, Traccar utiliza ese 'uniqueId' para construir la ruta del sistema de archivos sin asegurar que la ruta resuelta permanezca bajo la raíz de medios. Esto permite escribir archivos fuera del directorio de medios. Al momento de la publicación, no está claro si hay una solución disponible.
Vulnerabilidad en traccar (CVE-2026-25648)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Versiones del sistema de seguimiento GPS de código abierto Traccar a partir de la 6.11.1 contienen un problema en el que usuarios autenticados pueden ejecutar JavaScript arbitrario en el contexto de los navegadores de otros usuarios al subir archivos SVG maliciosos como imágenes de dispositivo. La aplicación acepta subidas de archivos SVG sin sanitización y los sirve con el Content-Type 'image/svg+xml', permitiendo que el JavaScript incrustado se ejecute cuando las víctimas ven la imagen. En el momento de la publicación, no está claro si hay una solución disponible.
Vulnerabilidad en Traccar (CVE-2026-25649)
Severidad: ALTA
Fecha de publicación: 23/02/2026
Fecha de última actualización: 26/02/2026
Las versiones del sistema de seguimiento GPS de código abierto Traccar hasta la 6.11.1 inclusive contienen un problema en el que usuarios autenticados pueden robar códigos de autorización de OAuth 2.0 al explotar una vulnerabilidad de redirección abierta en dos endpoints relacionados con OIDC. El parámetro 'redirect_uri' no se valida contra una lista blanca, permitiendo a los atacantes redirigir códigos de autorización a URL controladas por el atacante, lo que permite la toma de control de cuentas en cualquier aplicación integrada con OAuth. Al momento de la publicación, no está claro si hay una solución disponible.
Vulnerabilidad en MuYuCMS (CVE-2025-15589)
Severidad: MEDIA
Fecha de publicación: 24/02/2026
Fecha de última actualización: 26/02/2026
Se encontró una vulnerabilidad en MuYuCMS 2.7 que afecta a la función delete_dir_file del archivo application/admin/controller/Template.php del componente Template Management Page. Esta manipulación del argumento temn/tp provoca un salto de ruta. Es posible iniciar el ataque en remoto. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación pero no respondió de ninguna manera.