Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en weDevs WP Project Manager (CVE-2025-32280)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 09/04/2025
    La vulnerabilidad de Cross Site Request Forgery (CSRF) en weDevs WP Project Manager permite Cross Site Request Forgery. Este problema afecta a WP Project Manager desde la versión n/a hasta la 2.6.22.
  • Vulnerabilidad en Web::API (CVE-2024-57868)
    Severidad: MEDIA
    Fecha de publicación: 05/04/2025
    Fecha de última actualización: 09/04/2025
    Web::API 2.8 y versiones anteriores para Perl utilizan la función rand() como fuente predeterminada de entropía, la cual no es criptográficamente segura para las funciones criptográficas. Específicamente, Web::API utiliza la librería Data::Random, que indica específicamente que es útil principalmente para programas de prueba. Data::Random utiliza la función rand().
  • Vulnerabilidad en MediaTek, Inc. (CVE-2025-20654)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    En el servicio WLAN, existe una posible escritura fuera de los límites debido a una comprobación incorrecta de los límites. Esto podría provocar la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para su explotación. ID de parche: WCNCR00406897; ID de problema: MSV-2875.
  • Vulnerabilidad en MediaTek, Inc. (CVE-2025-20655)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    En Keymaster, existe una posible lectura fuera de los límites debido a la falta de una comprobación de los límites. Esto podría provocar la divulgación de información local si un actor malicioso ya ha obtenido el privilegio de System. No se requiere la interacción del usuario para la explotación. ID de parche: DTV04427687; ID de problema: MSV-3183.
  • Vulnerabilidad en MediaTek, Inc. (CVE-2025-20656)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    En DA, existe una posible escritura fuera de los límites debido a la falta de una comprobación de los límites. Esto podría provocar una escalada local de privilegios si un atacante tiene acceso físico al dispositivo, sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para su explotación. ID de parche: ALPS09625423; ID de problema: MSV-3033.
  • Vulnerabilidad en MediaTek, Inc. (CVE-2025-20658)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    En DA, existe una posible omisión de permisos debido a un error lógico. Esto podría provocar una escalada local de privilegios si un atacante tiene acceso físico al dispositivo, sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para la explotación. ID de parche: ALPS09474894; ID de problema: MSV-2597.
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28402)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del parámetro jobId
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28403)
    Severidad: ALTA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método editSave y no valida correctamente si el usuario solicitante tiene privilegios administrativos antes de permitir modificaciones en la configuración del sistema.
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28405)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método changeStatus
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28406)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del parámetro jobLogId
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28407)
    Severidad: ALTA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método de edición del endpoint /edit/{dictId} y no valida correctamente si el usuario solicitante tiene permiso para modificar el dictId especificado.
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28408)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método selectDeptTree del endpoint /selectDeptTree/{deptId} no valida correctamente el parámetro deptId
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28409)
    Severidad: ALTA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método add del endpoint /add/{parentId} y no valida correctamente si el usuario solicitante tiene permiso para agregar un elemento del menú bajo el parentId especificado.
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28410)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método cancelAuthUserAll y no valida correctamente si el usuario solicitante tiene privilegios administrativos.
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28411)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método editSave en /tool/gen/editSave
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28412)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del método /editSave en SysNoticeController
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28413)
    Severidad: CRÍTICA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del componente SysDictTypeController
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28400)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del parámetro postID en el método de edición.
  • Vulnerabilidad en RUoYi v.4.8.0 (CVE-2025-28401)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Un problema en RUoYi v.4.8.0 permite que un atacante remoto escale privilegios a través del parámetro menuId
  • Vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0 (CVE-2025-3383)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Se encontró una vulnerabilidad en SourceCodester Web-based Pharmacy Product Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /search/search_sales.php. La manipulación del argumento "Nombre" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en 1000 Projects Human Resource Management System 1.0 (CVE-2025-3384)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2025
    Fecha de última actualización: 09/04/2025
    Se encontró una vulnerabilidad en 1000 Projects Human Resource Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /controller/employee.php. La manipulación del argumento "email" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en YzmCMS 7.1 (CVE-2025-3397)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 09/04/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en YzmCMS 7.1. Se ve afectada una función desconocida del archivo message.tpl. La manipulación del argumento gourl provoca ataques de cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en ESAFENET CDG 5.6.3.154.205_20250114 (CVE-2025-3399)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 09/04/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en ESAFENET CDG 5.6.3.154.205_20250114. Este problema afecta a una funcionalidad desconocida del archivo /pubinfo/updateNotice.jsp. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en ESAFENET CDG 5.6.3.154.205_20250114 (CVE-2025-3400)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 09/04/2025
    Se encontró una vulnerabilidad clasificada como crítica en ESAFENET CDG 5.6.3.154.205_20250114. Esta afecta a una parte desconocida del archivo /client/UnChkMailApplication.jsp. La manipulación del argumento typename provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en ESAFENET CDG 5.6.3.154.205_20250114 (CVE-2025-3401)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 09/04/2025
    Se ha detectado una vulnerabilidad en ESAFENET CDG 5.6.3.154.205_20250114, clasificada como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /parameter/getLimitIPList.jsp. La manipulación del argumento noticeId provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.