CVE-2024-13105

CVE-2024-13105

Título es
CVE-2024-13105

Jue, 02/01/2025 – 11:15

Tipo
CWE-266

Gravedad v2.0
5.00

Gravedad 2.0 Txt
MEDIUM

Título en

CVE-2024-13105

Descripción es
Se ha encontrado una vulnerabilidad en D-Link DIR-816 A2 1.10CNB05_R1B011D88210 y se ha clasificado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /goform/form2Dhcpd.cgi del componente DHCPD Setting Handler. La manipulación conduce a controles de acceso inadecuados. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.

Descripción en
A vulnerability has been found in D-Link DIR-816 A2 1.10CNB05_R1B011D88210 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /goform/form2Dhcpd.cgi of the component DHCPD Setting Handler. The manipulation leads to improper access controls. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.

02/01/2025
02/01/2025
Vector CVSS:4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector CVSS:2.0
AV:N/AC:L/Au:N/C:N/I:P/A:N

Gravedad 4.0
6.90

Gravedad 4.0 txt
MEDIUM

Gravedad 3.1 (CVSS 3.1 Base Score)
5.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

  • https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Unauthorized_Vulnerability/D-Link/DIR-816/form2Dhcpd.md

  • https://vuldb.com/?ctiid_289921=

  • https://vuldb.com/?id_289921=

  • https://vuldb.com/?submit_472085=

  • https://www.dlink.com/

    • Enviar en el boletín
    Off

    CVE-2024-11184

    CVE-2024-11184

    Título es
    CVE-2024-11184

    Jue, 02/01/2025 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-11184

    Descripción es
    El complemento de WordPress wp-enable-svg hasta la versión 0.7 no desinfecta los archivos SVG cuando se cargan, lo que permite que los autores y superiores carguen SVG que contengan scripts maliciosos.

    Descripción en
    The wp-enable-svg WordPress plugin through 0.7 does not sanitize SVG files when uploaded, allowing for authors and above to upload SVGs containing malicious scripts

    02/01/2025
    02/01/2025
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/fc982bcb-9974-481f-aef4-580ae9edc3c8/

    • Enviar en el boletín
    Off

    CVE-2024-12595

    CVE-2024-12595

    Título es
    CVE-2024-12595

    Jue, 02/01/2025 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-12595

    Descripción es
    El complemento de WordPress AHAthat Plugin hasta la versión 1.6 no escapa del parámetro $_SERVER['REQUEST_URI'] antes de devolverlo en un atributo, lo que podría provocar Cross-Site Scripting reflejado en navegadores web antiguos.

    Descripción en
    The AHAthat Plugin WordPress plugin through 1.6 does not escape the $_SERVER['REQUEST_URI'] parameter before outputting it back in an attribute, which could lead to Reflected Cross-Site Scripting in old web browsers

    02/01/2025
    02/01/2025
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/7a506438-3106-477f-816d-b9b116ec8555/

    • Enviar en el boletín
    Off

    CVE-2024-11357

    CVE-2024-11357

    Título es
    CVE-2024-11357

    Jue, 02/01/2025 – 06:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-11357

    Descripción es
    El complemento de WordPress goodlayers-core anterior a la versión 2.0.10 no desinfecta ni escapa de algunas de sus configuraciones, lo que podría permitir que los usuarios con el rol de colaborador y superior realicen ataques de Cross-Site Scripting almacenado.

    Descripción en
    The goodlayers-core WordPress plugin before 2.0.10 does not sanitise and escape some of its settings, which could allow users with the contributor role and above to perform Stored Cross-Site Scripting attacks.

    02/01/2025
    02/01/2025
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://wpscan.com/vulnerability/7e8c6816-9b7a-43e8-9508-789c8051dd9b/

    • Enviar en el boletín
    Off

    CVE-2024-56829

    CVE-2024-56829

    Título es
    CVE-2024-56829

    Jue, 02/01/2025 – 04:15

    Tipo
    CWE-434

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-56829

    Descripción en
    Huang Yaoshi Pharmaceutical Management Software through 16.0 allows arbitrary file upload via a .asp filename in the fileName element of the UploadFile element in a SOAP request to /XSDService.asmx.

    02/01/2025
    02/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    10.00

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    CRITICAL

    Referencias

  • https://github.com/Zerone0x00/CVE/blob/main/%E9%BB%84%E8%8D%AF%E5%B8%88%E8%8D%AF%E4%B8%9A%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6/UploadFile%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0.md

    • Enviar en el boletín
    Off

    CVE-2025-22214

    CVE-2025-22214

    Título es
    CVE-2025-22214

    Jue, 02/01/2025 – 04:15

    Tipo
    CWE-89

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-22214

    Descripción en
    Landray EIS 2001 through 2006 allows Message/fi_message_receiver.aspx?replyid= SQL injection.

    02/01/2025
    02/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/Zerone0x00/CVE/blob/main/%E8%93%9D%E5%87%8CEISsql%E6%B3%A8%E5%85%A5/1.md

    • Enviar en el boletín
    Off

    CVE-2002-20002

    CVE-2002-20002

    Título es
    CVE-2002-20002

    Jue, 02/01/2025 – 05:15

    Tipo
    CWE-338

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2002-20002

    Descripción en
    The Net::EasyTCP package before 0.15 for Perl always uses Perl's builtin rand(), which is not a strong random number generator, for cryptographic keys.

    02/01/2025
    02/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/briandfoy/cpan-security-advisory/issues/184

  • https://metacpan.org/release/MNAGUIB/EasyTCP-0.15/view/EasyTCP.pm

  • https://metacpan.org/release/MNAGUIB/EasyTCP-0.26/changes

    • Enviar en el boletín
    Off

    CVE-2024-56830

    CVE-2024-56830

    Título es
    CVE-2024-56830

    Jue, 02/01/2025 – 05:15

    Tipo
    CWE-338

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-56830

    Descripción en
    The Net::EasyTCP package 0.15 through 0.26 for Perl uses Perl's builtin rand() if no strong randomization module is present.

    02/01/2025
    02/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/briandfoy/cpan-security-advisory/issues/184

  • https://metacpan.org/release/MNAGUIB/EasyTCP-0.26/changes

    • Enviar en el boletín
    Off

    La explosión de una Tesla Cybertruck en el hotel Trump de Las Vegas es investigada como un posible acto terrorista

    Las autoridades están investigando la explosión de una Tesla Cybertruck ocurrida el miércoles frente al Trump International Hotel de Las Vegas, en Nevada, como un posible acto de terrorismo, según informó ABC News.

    La Policía Metropolitana de Las Vegas explicó que el incidente se produjo en la entrada principal del hotel. Aunque el fuego ya ha sido controlado, se pidió al público evitar la zona. De acuerdo con las autoridades, el conductor del vehículo ingresó al área de valet, donde la camioneta explotó, causando su muerte. Hasta el momento, es la única víctima fatal del incidente. Además, siete personas que se encontraban cerca sufrieron heridas leves.

    Mientras no se esclarezcan los motivos ni se descarten otras hipótesis, la policía está tratando el incidente como un posible acto criminal y de terrorismo. La recolección de evidencias y las investigaciones continúan.

    Los investigadores aún no han determinado la causa exacta de la explosión. El enfoque principal de la investigación es establecer si se trató de un fallo del vehículo o si un factor externo provocó el estallido. Según un funcionario informado sobre el caso, el vehículo transportaba una carga de explosivos similares a fuegos artificiales. Las autoridades trabajan con urgencia para determinar el posible motivo detrás del suceso y si el conductor tenía la intención de provocar la explosión.

    X content

    This content can also be viewed on the site it originates from.

    A pesar de la gravedad del evento, el sheriff Kevin McMahill aseguró que no cree que exista una amenaza adicional para la comunidad. «Creemos que ahora todo está seguro», declaró, aunque advirtió que aún hay aspectos desconocidos que se deben investigar.

    El hotel Trump de Las Vegas, que frecuentemente enfrenta amenazas y mantiene estrictas medidas de seguridad debido a su vínculo con el expresidente Donald Trump, fue el escenario de este incidente. Elon Musk, CEO de Tesla y aliado cercano de Trump, aseguró que el equipo directivo de la compañía está investigando el caso. «Hemos confirmado que la explosión fue causada por fuegos artificiales de gran tamaño o una bomba transportada en la parte trasera del Cybertruck alquilado y que no está relacionada con el vehículo en sí. Toda la telemetría del vehículo dio positivo en el momento de la explosión», escribió Musk en X (anteriormente Twitter). Además, señaló que nunca antes habían enfrentado un evento de esta naturaleza.

    CVE-2025-0168

    CVE-2025-0168

    Título es
    CVE-2025-0168

    Mié, 01/01/2025 – 14:15

    Tipo
    CWE-74

    Gravedad v2.0
    6.50

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2025-0168

    Descripción en
    A vulnerability classified as critical has been found in code-projects Job Recruitment 1.0. This affects an unknown part of the file /_parse/_feedback_system.php. The manipulation of the argument person leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.

    01/01/2025
    01/01/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 4.0
    5.30

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://code-projects.org/

  • https://github.com/UnrealdDei/cve/blob/main/sql11.md

  • https://vuldb.com/?ctiid_289917=

  • https://vuldb.com/?id_289917=

  • https://vuldb.com/?submit_473107=

    • Enviar en el boletín
    Off