Jose Alexis Correa Valencia, Author at AlterPlex

4 Mar 2025

CVE-2025-27424

Título es
CVE-2025-27424

Mar, 04/03/2025 – 14:15

Tipo
CWE-601

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-27424

Descripción en
Websites redirecting to a non-HTTP scheme URL could allow a website address to be spoofed for a malicious page This vulnerability affects Firefox for iOS

04/03/2025

Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
4.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

https://bugzilla.mozilla.org/show_bug.cgi?id=1945392

https://www.mozilla.org/security/advisories/mfsa2025-13/

Enviar en el boletín
Off

4 Mar 2025

CVE-2025-1942

Título es
CVE-2025-1942

Mar, 04/03/2025 – 14:15

Tipo
CWE-908

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-1942

Descripción en
When String.toUpperCase() caused a string to get longer it was possible for uninitialized memory to be incorporated into the result string This vulnerability affects Firefox

04/03/2025

Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
6.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

https://bugzilla.mozilla.org/show_bug.cgi?id=1947139

https://www.mozilla.org/security/advisories/mfsa2025-14/

Enviar en el boletín
Off

4 Mar 2025

CVE-2024-50706

Título es
CVE-2024-50706

Mar, 04/03/2025 – 15:15

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-50706

Descripción en
Unauthenticated SQL injection vulnerability in Uniguest Tripleplay before 24.2.1 allows remote attackers to execute arbitrary SQL queries on the backend database.

04/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

CVE Bulletins

https://uniguest.com/wp-content/uploads/2025/02/CVE-2024-50706-Vulnerability-Summary.pdf

Enviar en el boletín
Off

4 Mar 2025

CVE-2024-9149

Título es
CVE-2024-9149

Mar, 04/03/2025 – 15:15

Tipo
CWE-89

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-9149

Descripción en
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Wind Media E-Commerce Website Template allows SQL Injection.This issue affects E-Commerce Website Template: before v1.5.

04/03/2025

Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

Gravedad 3.1 (CVSS 3.1 Base Score)
8.60

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Referencias

https://www.usom.gov.tr/bildirim/tr-25-0051

Enviar en el boletín
Off

4 Mar 2025

CVE-2024-11957

Título es
CVE-2024-11957

Mar, 04/03/2025 – 16:15

Tipo
CWE-347

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-11957

Descripción en
Improper verification of the digital signature in ksojscore.dll in Kingsoft WPS Office in versions equal or less than 12.1.0.18276

on Windows allows an attacker to load an arbitrary Windows library. The patch released in version 12.2.0.16909 to mitigate CVE-2024-7262 was not restrictive enough.

04/03/2025

Vector CVSS:4.0
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Gravedad 4.0
9.30

Gravedad 4.0 txt
CRITICAL

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

Enviar en el boletín
Off

4 Mar 2025

CVE-2025-1425

Título es
CVE-2025-1425

Mar, 04/03/2025 – 16:15

Tipo
CWE-269

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-1425

Descripción en
A Sudo privilege misconfiguration vulnerability in PocketBook InkPad Color 3 on Linux, ARM allows attackers to read file contents on the device.This issue affects InkPad Color 3: U743k3.6.8.3671.

04/03/2025

Vector CVSS:4.0
CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Gravedad 4.0
4.70

Gravedad 4.0 txt
MEDIUM

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

https://www.redguard.ch/blog/2025/03/04/security-advisory-pocketbook-inkpad-color-3/

Enviar en el boletín
Off

4 Mar 2025

CVE-2025-1424

Título es
CVE-2025-1424

Mar, 04/03/2025 – 16:15

Tipo
CWE-269

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-1424

Descripción en
A privilege escalation vulnerability in PocketBook InkPad Color 3 allows attackers to escalate to root privileges if they gain physical access to the device.
This issue affects InkPad Color 3 in version U743k3.6.8.3671.

04/03/2025

Vector CVSS:4.0
CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Gravedad 4.0
8.60

Gravedad 4.0 txt
HIGH

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

https://www.redguard.ch/blog/2025/03/04/security-advisory-pocketbook-inkpad-color-3/

Enviar en el boletín
Off

4 Mar 2025

CVE-2025-23368

Título es
CVE-2025-23368

Mar, 04/03/2025 – 16:15

Tipo
CWE-307

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-23368

Descripción en
A flaw was found in Wildfly Elytron integration. The component does not implement sufficient measures to prevent multiple failed authentication attempts within a short time frame, making it more susceptible to brute force attacks via CLI.

04/03/2025

Vector CVSS:3.1
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Gravedad 3.1 (CVSS 3.1 Base Score)
8.10

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Referencias

https://access.redhat.com/security/cve/CVE-2025-23368

https://bugzilla.redhat.com/show_bug.cgi?id=2337621

Enviar en el boletín
Off

4 Mar 2025

CVE-2025-27111

Título es
CVE-2025-27111

Mar, 04/03/2025 – 16:15

Tipo
CWE-93

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-27111

Descripción en
Rack is a modular Ruby web server interface. The Rack::Sendfile middleware logs unsanitised header values from the X-Sendfile-Type header. An attacker can exploit this by injecting escape sequences (such as newline characters) into the header, resulting in log injection. This vulnerability is fixed in 2.2.12, 3.0.13, and 3.1.11.

04/03/2025

Vector CVSS:4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Gravedad 4.0
6.90

Gravedad 4.0 txt
MEDIUM

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

https://github.com/rack/rack/commit/803aa221e8302719715e224f4476e438f2531a53

https://github.com/rack/rack/commit/aeac570bb8080ca7b53b7f2e2f67498be7ebd30b

https://github.com/rack/rack/commit/b13bc6bfc7506aca3478dc5ac1c2ec6fc53f82a3

https://github.com/rack/rack/security/advisories/GHSA-8cgq-6mh2-7j6v

Enviar en el boletín
Off

4 Mar 2025

CVE-2025-26320

Título es
CVE-2025-26320

Mar, 04/03/2025 – 16:15

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-26320

Descripción en
t0mer BroadlinkManager v5.9.1 was discovered to contain an OS command injection vulnerability via the IP Address parameter at /device/ping.

04/03/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

https://github.com/BaranTeyin1/vulnerability-research/tree/main/CVE-2025-26320

https://github.com/t0mer/broadlinkmanager-docker

https://github.com/t0mer/broadlinkmanager-docker/blob/master/broadlinkmanager/broadlinkmanager.py#L639-L657

Enviar en el boletín
Off

Autor: Jose Alexis Correa Valencia