CVE-2025-0532

CVE-2025-0532

Título es
CVE-2025-0532

Vie, 17/01/2025 – 18:15

Tipo
CWE-74

Gravedad v2.0
6.50

Gravedad 2.0 Txt
MEDIUM

Título en

CVE-2025-0532

Descripción en
A vulnerability was found in Codezips Gym Management System 1.0. It has been classified as critical. Affected is an unknown function of the file /dashboard/admin/new_submit.php. The manipulation of the argument m_id leads to sql injection. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used.

17/01/2025
17/01/2025
Vector CVSS:4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Vector CVSS:2.0
AV:N/AC:L/Au:S/C:P/I:P/A:P

Gravedad 4.0
5.30

Gravedad 4.0 txt
MEDIUM

Gravedad 3.1 (CVSS 3.1 Base Score)
6.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

  • https://github.com/TIANN0/CVE/issues/1

  • https://vuldb.com/?ctiid_292416=

  • https://vuldb.com/?id_292416=

  • https://vuldb.com/?submit_479100=

    • Enviar en el boletín
    Off

    CVE-2024-13503

    CVE-2024-13503

    Título es
    CVE-2024-13503

    Vie, 17/01/2025 – 14:15

    Tipo
    CWE-120

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-13503

    Descripción en
    Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') vulnerability in Newtec NTC2218, NTC2250, NTC2299 on Linux, PowerPC, ARM (Updating signaling process in the swdownload binary modules) allows Local Execution of Code, Remote Code Inclusion.
    This issue affects NTC2218, NTC2250, NTC2299: from 1.0.1.1 through 2.2.6.19. The issue is both present on the PowerPC versions of the modem and the ARM versions.

    A stack buffer buffer overflow in the swdownload binary allows attackers to execute arbitrary code. The parse_INFO function uses an unrestricted `sscanf` to read a string of an incoming network packet into a statically sized buffer.

    17/01/2025
    17/01/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Gravedad 4.0
    9.50

    Gravedad 4.0 txt
    CRITICAL

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://doi.org/10.1145/3643833.3656139


    • Enviar en el boletín
    Off

    CVE-2024-13502

    CVE-2024-13502

    Título es
    CVE-2024-13502

    Vie, 17/01/2025 – 14:15

    Tipo
    CWE-78

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-13502

    Descripción en
    Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in Newtec/iDirect NTC2218, NTC2250, NTC2299 on Linux, PowerPC, ARM allows Local Code Inclusion.This issue affects NTC2218, NTC2250, NTC2299: from 1.0.1.1 through 2.2.6.19.

    The `commit_multicast` page used to configure multicasts in the modem's web administration interface uses improperly parses incoming data from the request before passing it to an `eval` statement in a bash script. This allows attackers to inject arbitrary shell commands.

    17/01/2025
    17/01/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Gravedad 4.0
    9.30

    Gravedad 4.0 txt
    CRITICAL

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://doi.org/10.1145/3643833.3656139


    • Enviar en el boletín
    Off

    CVE-2025-0527

    CVE-2025-0527

    Título es
    CVE-2025-0527

    Vie, 17/01/2025 – 14:15

    Tipo
    CWE-74

    Gravedad v2.0
    7.50

    Gravedad 2.0 Txt
    HIGH

    Título en

    CVE-2025-0527

    Descripción en
    A vulnerability classified as critical was found in code-projects Admission Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /signupconfirm.php. The manipulation of the argument in_eml leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. Other parameters might be affected as well.

    17/01/2025
    17/01/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:N/C:P/I:P/A:P

    Gravedad 4.0
    6.90

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://code-projects.org/

  • https://github.com/Curious-L/-/issues/4

  • https://vuldb.com/?ctiid_292411=

  • https://vuldb.com/?id_292411=

  • https://vuldb.com/?submit_477899=

    • Enviar en el boletín
    Off

    CVE-2024-12370

    CVE-2024-12370

    Título es
    CVE-2024-12370

    Vie, 17/01/2025 – 09:15

    Tipo
    CWE-284

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-12370

    Descripción es
    El complemento WP Hotel Booking para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante al agregar habitaciones en todas las versiones hasta la 2.1.5 incluida. Esto hace posible que atacantes no autenticados agreguen habitaciones con precios personalizados.

    Descripción en
    The WP Hotel Booking plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check when adding rooms in all versions up to, and including, 2.1.5. This makes it possible for unauthenticated attackers to add rooms with custom prices.

    17/01/2025
    17/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3210798%40wp-hotel-booking/tags/2.1.5&new=3214765%40wp-hotel-booking/tags/2.1.6

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/5df32365-5381-48e0-9313-7e83c4c6c440?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-11425

    CVE-2024-11425

    Título es
    CVE-2024-11425

    Vie, 17/01/2025 – 09:15

    Tipo
    CWE-131

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-11425

    Descripción es
    CWE-131: Existe una vulnerabilidad de cálculo incorrecto del tamaño del búfer que podría provocar una denegación de servicio del producto cuando un usuario no autenticado envía un paquete HTTPS manipulado específicamente al servidor web.

    Descripción en
    CWE-131: Incorrect Calculation of Buffer Size vulnerability exists that could cause Denial-of-Service of the
    product when an unauthenticated user is sending a crafted HTTPS packet to the webserver.

    17/01/2025
    17/01/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Gravedad 4.0
    8.70

    Gravedad 4.0 txt
    HIGH

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-01&p_enDocType=Security%20and%20Safety%20Notice&p_File_Name=SEVD-2025-014-01.pdf

    • Enviar en el boletín
    Off

    CVE-2024-12399

    CVE-2024-12399

    Título es
    CVE-2024-12399

    Vie, 17/01/2025 – 10:15

    Tipo
    CWE-924

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-12399

    Descripción es
    CWE-924: Existe una vulnerabilidad de aplicación inadecuada de la integridad del mensaje durante la transmisión en un canal de comunicación que podría causar una pérdida parcial de confidencialidad, pérdida de integridad y disponibilidad de la HMI cuando el atacante realiza un ataque man in the middle interceptando la comunicación.

    Descripción en
    CWE-924: Improper Enforcement of Message Integrity During Transmission in a Communication Channel vulnerability
    exists that could cause partial loss of confidentiality, loss of integrity and availability of the HMI when attacker performs
    man in the middle attack by intercepting the communication.

    17/01/2025
    17/01/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H

    Gravedad 4.0
    6.10

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.10

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-02&p_enDocType=Security%20and%20Safety%20Notice&p_File_Name=SEVD-2025-014-02.pdf

    • Enviar en el boletín
    Off

    CVE-2024-13378

    CVE-2024-13378

    Título es
    CVE-2024-13378

    Vie, 17/01/2025 – 10:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-13378

    Descripción es
    El complemento Gravity Forms para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro 'style_settings' en las versiones 2.9.0.1 hasta 2.9.1.3 incluida debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. El ataque solo tiene éxito en el navegador web Chrome y requiere navegar directamente por el archivo multimedia a través de la publicación adjunta.

    Descripción en
    The Gravity Forms plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘style_settings’ parameter in versions 2.9.0.1 up to, and including, 2.9.1.3 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The attack is only successful in the Chrome web browser, and requires directly browsing the media file via the attachment post.

    17/01/2025
    17/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • Gravity Forms Changelog



  • https://www.wordfence.com/threat-intel/vulnerabilities/id/f884ea43-e1a5-4b44-8a24-f68f71b0fcfb?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-13377

    CVE-2024-13377

    Título es
    CVE-2024-13377

    Vie, 17/01/2025 – 10:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-13377

    Descripción es
    El complemento Gravity Forms para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro "alt" en todas las versiones hasta la 2.9.1.3 incluida debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

    Descripción en
    The Gravity Forms plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘alt’ parameter in all versions up to, and including, 2.9.1.3 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

    17/01/2025
    17/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.20

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • Gravity Forms Changelog



  • https://www.wordfence.com/threat-intel/vulnerabilities/id/03623f00-2c3c-4590-92fe-a5eaac15b944?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-12476

    CVE-2024-12476

    Título es
    CVE-2024-12476

    Vie, 17/01/2025 – 10:15

    Tipo
    CWE-611

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-12476

    Descripción es
    Existe una vulnerabilidad de restricción inadecuada de referencia de entidad externa XML que podría causar la divulgación de información, afectar la integridad de la estación de trabajo y la posible ejecución remota de código en el equipo comprometido, cuando se importa un archivo XML específicamente manipulado en la herramienta de configuración de Web Designer.

    Descripción en
    CWE-611: Improper Restriction of XML External Entity Reference vulnerability exists that could
    cause information disclosure, impacts workstation integrity and potential remote code execution on the
    compromised computer, when specific crafted XML file is imported in the Web Designer configuration tool.

    17/01/2025
    17/01/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

    Gravedad 4.0
    8.40

    Gravedad 4.0 txt
    HIGH

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.80

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-04&p_enDocType=Security%20and%20Safety%20Notice&p_File_Name=SEVD-2025-014-04.pdf

    • Enviar en el boletín
    Off