The NP Quote Request for WooCommerce plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 1.9.179 due to missing validation on a user controlled key. This makes it possible for unauthenticated attackers to read the content of quote requests.
20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
7.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Ángel Abundis, programador y sociólogo mexicano egresado de la Universidad de Guadalajara, ha creado un sitio web que facilita la identificación de prendas y otros artículos encontrados en Rancho Izaguirre, ubicado en Teuchitlán, Jalisco. Este lugar se convirtió en un punto de atención nacional debido al descubrimiento de un supuesto centro de adiestramiento y exterminio, presuntamente operado por el Cártel Jalisco Nueva Generación.
En septiembre de 2024, la Guardia Nacional realizó un operativo para asegurar el rancho, ya que se sospechaba que era utilizado por el crimen organizado para instruir y reclutar personas. El colectivo ‘Guerreros Buscadores de Jalisco’, conformado por familiares de personas desaparecidas, inspeccionó el sitio a principios de marzo tras recibir una denuncia anónima, hallando evidencias de actividades delictivas a gran escala.
La organización civil denunció la existencia de hornos clandestinos de cremación y encontró centenares de objetos que podrían pertenecer a las víctimas, incluidos medicamentos, ropa, artículos de higiene personal y maletas. Hasta el momento, se han localizado más de 1,300 objetos personales y restos óseos.
La IA está está reforzando al crimen organizado, advierte la Europol
Tráfico de drogas, estafas en línea, venta de drogas y lavado de dinero. Un informe reciente de la agencia policíaca revela cómo la inteligencia artificial favorece el aumento de estos delitos en países de la Unión Europea.
La Fiscalía de Jalisco publicó una base de datos en Excel con más de 1,000 registros para que las familias y colectivos de búsqueda pudieran revisar los hallazgos en el predio. Sin embargo, el método propuesto por las autoridades resultó poco práctico, ya que las fotografías de los objetos solo podían consultarse abriendo enlaces individuales en nuevas pestañas.
Para solucionar este inconveniente, Abundis diseñó una plataforma denominada ‘Catálogo de Indicios – Rancho Izaguirre Teuchitlán, Jalisco’. Este sitio web organiza la información difundida por la Fiscalía estatal según el tipo de objetos, color, marca y talla. Al seleccionar una fotografía, el sistema despliega una ficha informativa con detalles adicionales sobre la prenda, incluyendo observaciones relevantes.
Página principal del “Catálogo de Indicios – Rancho Izaguirre Teuchitlán, Jalisco” que facilita la identificación de prendas.Cortesía Catálogo de Indicios – Rancho Izaguirre Teuchitlán, Jalisco
La herramienta se habilitó un día después de que las autoridades de Jalisco difundieran los primeros 495 hallazgos. El catálogo se actualiza conforme se publican nuevos datos oficiales. Actualmente, cuenta con 1,308 registros, entre ellos más de 200 pantalones, 154 pares de zapatos, 51 prendas de ropa interior y 170 mochilas. Abundis ha dicho a la prensa que el diseño, programación y publicación del portal le tomó apenas cuatro horas. Los gastos operativos del sitio fueron cubiertos en su totalidad por él mismo.
The File Away plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the ajax() function in all versions up to, and including, 3.9.9.0.1. This makes it possible for unauthenticated attackers, leveraging the use of a reversible weak algorithm, to read the contents of arbitrary files on the server, which can contain sensitive information.
20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
7.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Incorrect Use of Privileged APIs, Cleartext Transmission of Sensitive Information, Insufficiently Protected Credentials vulnerability in Nebula Informatics SecHard allows Authentication Bypass, Interface Manipulation, Authentication Abuse, Harvesting Information via API Event Monitoring.This issue affects SecHard: before 3.3.0.20220411.
20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
9.00
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Server-Side Request Forgery (SSRF), Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'), URL Redirection to Untrusted Site ('Open Redirect') vulnerability in Apache Druid.
This issue affects all previous Druid versions.
When using the Druid management proxy, a request that has a specially crafted URL could be used to redirect the request to an arbitrary server instead. This has the potential for XSS or XSRF. The user is required to be authenticated for this exploit. The management proxy is enabled in Druid's out-of-box configuration. It may be disabled to mitigate this vulnerability. If the management proxy is disabled, some web console features will not work properly, but core functionality is unaffected.
Users are recommended to upgrade to Druid 31.0.2 or Druid 32.0.1, which fixes the issue.
The HT Mega – Absolute Addons For Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘marker_title’, 'notification_content', and 'stt_button_text' parameters in all versions up to, and including, 2.8.3 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The vulnerability was partially patched in version 2.8.3.
20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
6.40
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la función de registro de mlflow/mlflow versiones 2.17.0 a 2.20.1. Esta vulnerabilidad permite a un atacante crear una nueva cuenta, que puede utilizarse para realizar acciones no autorizadas en nombre del usuario malicioso.
Descripción en
A Cross-Site Request Forgery (CSRF) vulnerability exists in the Signup feature of mlflow/mlflow versions 2.17.0 to 2.20.1. This vulnerability allows an attacker to create a new account, which may be used to perform unauthorized actions on behalf of the malicious user.
20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.40
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Una vulnerabilidad en parisneo/lollms-webui v13 surge de la gestión de los límites multiparte por parte del servidor al subir archivos. El servidor no limita ni valida la longitud del límite ni los caracteres añadidos, lo que permite a un atacante manipular solicitudes con límites excesivamente largos, lo que provoca el agotamiento de recursos y, finalmente, una denegación de servicio (DoS). A pesar de un parche en el commit 483431bb, que impedía añadir guiones al límite multiparte, la solución es insuficiente. El servidor sigue siendo vulnerable si se utilizan otros caracteres (p. ej., '4', 'a') en lugar de guiones. Esto permite a los atacantes explotar la vulnerabilidad utilizando caracteres diferentes, lo que provoca el agotamiento de recursos y la indisponibilidad del servicio.
Descripción en
A vulnerability in parisneo/lollms-webui v13 arises from the server's handling of multipart boundaries in file uploads. The server does not limit or validate the length of the boundary or the characters appended to it, allowing an attacker to craft requests with excessively long boundaries, leading to resource exhaustion and eventual denial of service (DoS). Despite an attempted patch in commit 483431bb, which blocked hyphen characters from being appended to the multipart boundary, the fix is insufficient. The server remains vulnerable if other characters (e.g., '4', 'a') are used instead of hyphens. This allows attackers to exploit the vulnerability using different characters, causing resource exhaustion and service unavailability.
20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
7.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Las versiones 0.3.4 y anteriores de AutoGPT son vulnerables a Server-Side Template Injection (SSTI) que podría provocar una Ejecución Remota de Código (RCE). Esta vulnerabilidad se debe al manejo inadecuado de las cadenas de formato proporcionadas por el usuario en la implementación `AgentOutputBlock`, donde se pasa información maliciosa al motor de plantillas Jinja2 sin las medidas de seguridad adecuadas. Los atacantes pueden explotar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema host. El problema se ha corregido en la versión 0.4.0.
Descripción en
AutoGPT versions 0.3.4 and earlier are vulnerable to a Server-Side Template Injection (SSTI) that could lead to Remote Code Execution (RCE). The vulnerability arises from the improper handling of user-supplied format strings in the `AgentOutputBlock` implementation, where malicious input is passed to the Jinja2 templating engine without adequate security measures. Attackers can exploit this flaw to execute arbitrary commands on the host system. The issue is fixed in version 0.4.0.
20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
8.80
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
