Jose Alexis Correa Valencia, Author at AlterPlex

4 Abr 2025

CVE-2025-32054

Título es

CVE-2025-32054

Jue, 03/04/2025 – 17:15

Tipo

CWE-532

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-32054

Descripción es

En JetBrains IntelliJ IDEA anterior a 2024.3, el código fuente de 2024.2.4 se podía registrar en el archivo idea.log

Descripción en

In JetBrains IntelliJ IDEA before 2024.3, 2024.2.4 source code could be logged in the idea.log file

03/04/2025

Vector CVSS:3.1

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

3.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

LOW

Referencias

https://www.jetbrains.com/privacy-security/issues-fixed/

Enviar en el boletín

Off

4 Abr 2025

CVE-2023-47639

Título es

CVE-2023-47639

Jue, 03/04/2025 – 17:15

Tipo

CWE-209

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2023-47639

Descripción es

API Platform Core es un sistema para crear API REST y GraphQL basadas en hipermedia. Desde la versión 3.2.0 hasta la 3.2.4, los mensajes de excepción que no son excepciones HTTP son visibles en la respuesta de error JSON. Esta vulnerabilidad se corrigió en la versión 3.2.5.

Descripción en

API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. From 3.2.0 until 3.2.4, exception messages, that are not HTTP exceptions, are visible in the JSON error response. This vulnerability is fixed in 3.2.5.

03/04/2025

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

5.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://github.com/api-platform/core/commit/ba8a7e6538bccebf14c228e43a9339214c4d9201

https://github.com/api-platform/core/pull/5823

https://github.com/api-platform/core/security/advisories/GHSA-rfw5-cqjj-7v9r

Enviar en el boletín

Off

4 Abr 2025

CVE-2025-3168

Título es

CVE-2025-3168

Jue, 03/04/2025 – 17:15

Tipo

CWE-74

Gravedad v2.0

7.50

Gravedad 2.0 Txt

HIGH

Título en

CVE-2025-3168

Descripción es

Se encontró una vulnerabilidad en PHPGurukul Time Table Generator System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/edit-class.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.

Descripción en

A vulnerability was found in PHPGurukul Time Table Generator System 1.0. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file /admin/edit-class.php. The manipulation of the argument editid leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.

03/04/2025

Vector CVSS:4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vector CVSS:2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P

Gravedad 4.0

6.90

Gravedad 4.0 txt

MEDIUM

Gravedad 3.1 (CVSS 3.1 Base Score)

7.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

HIGH

Referencias

https://github.com/p1026/CVE/issues/2

https://phpgurukul.com/

https://vuldb.com/?ctiid_303127=

https://vuldb.com/?id_303127=

https://vuldb.com/?submit_543172=

Enviar en el boletín

Off

4 Abr 2025

CVE-2025-3169

Título es

CVE-2025-3169

Jue, 03/04/2025 – 17:15

Tipo

CWE-284

Gravedad v2.0

4.60

Gravedad 2.0 Txt

MEDIUM

Título en

CVE-2025-3169

Descripción es

Se encontró una vulnerabilidad en Projeqtor hasta la versión 12.0.2. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /tool/saveAttachment.php. La manipulación del argumento "attachFiles" permite la carga sin restricciones. El ataque puede ejecutarse remotamente. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 12.0.3 puede solucionar este problema. Se recomienda actualizar el componente afectado. El proveedor explica que "esta vulnerabilidad solo puede explotarse en instancias con una instalación no segura, como se recomienda durante la instalación del producto: el directorio de archivos adjuntos debe estar fuera del alcance web, de modo que, incluso si se puede cargar un archivo ejecutable, no se pueda ejecutar a través de la web".

Descripción en

A vulnerability was found in Projeqtor up to 12.0.2. It has been rated as critical. Affected by this issue is some unknown functionality of the file /tool/saveAttachment.php. The manipulation of the argument attachmentFiles leads to unrestricted upload. The attack may be launched remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used. Upgrading to version 12.0.3 is able to address this issue. It is recommended to upgrade the affected component. The vendor explains, that "this vulnerability can be exploited only on not securely installed instances, as it is adviced during product install: attachment directory should be out of web reach, so that even if executable file can be uploaded, it cannot be executed through the web."

03/04/2025

Vector CVSS:4.0

CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

Vector CVSS:2.0

AV:N/AC:H/Au:S/C:P/I:P/A:P

Gravedad 4.0

2.30

Gravedad 4.0 txt

LOW

Gravedad 3.1 (CVSS 3.1 Base Score)

5.00

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://github.com/deadmilkman/cve-reports/blob/main/01-projeqtor-rce/readme.md

https://github.com/deadmilkman/cve-reports/blob/main/01-projeqtor-rce/readme.md#proof-of-concept-poc

https://vuldb.com/?ctiid_303128=

https://vuldb.com/?id_303128=

https://vuldb.com/?submit_543250=

Enviar en el boletín

Off

4 Abr 2025

CVE-2025-3159

Título es

CVE-2025-3159

Jue, 03/04/2025 – 14:15

Tipo

CWE-119

Gravedad v2.0

4.30

Gravedad 2.0 Txt

MEDIUM

Título en

CVE-2025-3159

Descripción en

A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. This affects the function Assimp::ASE::Parser::ParseLV4MeshBonesVertices of the file code/AssetLib/ASE/ASEParser.cpp of the component ASE File Handler. The manipulation leads to heap-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of the patch is e8a6286542924e628e02749c4f5ac4f91fdae71b. It is recommended to apply a patch to fix this issue.

03/04/2025

Vector CVSS:4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Vector CVSS:3.1

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Vector CVSS:2.0

AV:L/AC:L/Au:S/C:P/I:P/A:P

Gravedad 4.0

4.80

Gravedad 4.0 txt

MEDIUM

Gravedad 3.1 (CVSS 3.1 Base Score)

5.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://github.com/assimp/assimp/issues/6024

https://github.com/assimp/assimp/issues/6024#issue-2877382033

https://github.com/assimp/assimp/pull/6051

https://github.com/tellypresence/assimp/commit/e8a6286542924e628e02749c4f5ac4f91fdae71b

https://vuldb.com/?ctiid_303105=

https://vuldb.com/?id_303105=

https://vuldb.com/?submit_542247=

Enviar en el boletín

Off

4 Abr 2025

CVE-2025-0272

Título es

CVE-2025-0272

Jue, 03/04/2025 – 15:15

Tipo

CWE-80

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-0272

Descripción en

HCL DevOps Deploy / HCL Launch is vulnerable to HTML injection. This vulnerability may allow a user to embed arbitrary HTML tags in the Web UI potentially leading to sensitive information disclosure.

03/04/2025

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

5.40

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0120137

Enviar en el boletín

Off

4 Abr 2025

CVE-2025-3160

Título es

CVE-2025-3160

Jue, 03/04/2025 – 15:15

Tipo

CWE-119

Gravedad v2.0

1.70

Gravedad 2.0 Txt

LOW

Título en

CVE-2025-3160

Descripción en

A vulnerability has been found in Open Asset Import Library Assimp 5.4.3 and classified as problematic. This vulnerability affects the function Assimp::SceneCombiner::AddNodeHashes of the file code/Common/SceneCombiner.cpp of the component File Handler. The manipulation leads to out-of-bounds read. An attack has to be approached locally. The exploit has been disclosed to the public and may be used. The patch is identified as a0993658f40d8e13ff5823990c30b43c82a5daf0. It is recommended to apply a patch to fix this issue.

03/04/2025

Vector CVSS:4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Vector CVSS:3.1

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Vector CVSS:2.0

AV:L/AC:L/Au:S/C:P/I:N/A:N

Gravedad 4.0

4.80

Gravedad 4.0 txt

MEDIUM

Gravedad 3.1 (CVSS 3.1 Base Score)

3.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

LOW

Referencias

https://github.com/assimp/assimp/commit/a0993658f40d8e13ff5823990c30b43c82a5daf0

https://github.com/assimp/assimp/issues/6025

https://github.com/assimp/assimp/issues/6025#issue-2877385383

https://github.com/assimp/assimp/pull/6049

https://vuldb.com/?ctiid_303106=

https://vuldb.com/?id_303106=

https://vuldb.com/?submit_542248=

https://github.com/assimp/assimp/issues/6025#issue-2877385383

Enviar en el boletín

Off

4 Abr 2025

CVE-2025-3190

Título es

CVE-2025-3190

Jue, 03/04/2025 – 15:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-3190

Descripción en

Rejected reason: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. Reason: This candidate was issued in error. Notes: All references and descriptions in this candidate have been removed to prevent accidental usage.

03/04/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Enviar en el boletín

Off

4 Abr 2025

CVE-2024-4877

Título es

CVE-2024-4877

Jue, 03/04/2025 – 16:15

Tipo

CWE-268

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-4877

Descripción en

OpenVPN version 2.4.0 through 2.6.10 on Windows allows an external, lesser privileged process to create a named pipe which the OpenVPN GUI component would connect to allowing it to escalate its privileges

03/04/2025

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Referencias

https://community.openvpn.net/openvpn/wiki/CVE-2024-4877

https://www.mail-archive.com/openvpn-users@lists.sourceforge.net/msg07634.html

Enviar en el boletín

Off

4 Abr 2025

CVE-2025-22457

Título es

CVE-2025-22457

Jue, 03/04/2025 – 16:15

Tipo

CWE-121

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2025-22457

Descripción en

A stack-based buffer overflow in Ivanti Connect Secure before version 22.7R2.6, Ivanti Policy Secure before version 22.7R1.4, and Ivanti ZTA Gateways before version 22.8R2.2 allows a remote unauthenticated attacker to achieve remote code execution.

03/04/2025

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

Gravedad 3.1 (CVSS 3.1 Base Score)

9.00

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

CRITICAL

Referencias

https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457

Enviar en el boletín

Off

Autor: Jose Alexis Correa Valencia