CVE-2025-32111

CVE-2025-32111

Título es
CVE-2025-32111

Vie, 04/04/2025 – 07:15

Tipo
CWE-260

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-32111

Descripción es
La imagen de Docker de acme.sh anterior a 40b6db6 se basa en un archivo .github/workflows/dockerhub.yml que carece de "persist-credentials: false" para acciones/pago.

Descripción en
The Docker image from acme.sh before 40b6db6 is based on a .github/workflows/dockerhub.yml file that lacks "persist-credentials: false" for actions/checkout.

04/04/2025
04/04/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
8.70

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Referencias

  • https://github.com/acmesh-official/acme.sh/commit/40b6db6a2715628aa977ed1853fe5256704010ae

  • https://github.com/acmesh-official/acme.sh/commit/a1de13657e79c5471dbc8fa3539ea39160937389

  • https://github.com/actions/checkout/blob/85e6279cec87321a52edac9c87bce653a07cf6c2/README.md?plain=1#L70-L72

    • Enviar en el boletín
    Off

    CVE-2025-2797

    CVE-2025-2797

    Título es
    CVE-2025-2797

    Vie, 04/04/2025 – 07:15

    Tipo
    CWE-352

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-2797

    Descripción es
    El complemento Woffice Core para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 5.4.21 incluida. Esto se debe a la falta o a una validación incorrecta de nonce en la función 'woffice_handle_user_approval_actions'. Esto permite que atacantes no autenticados aprueben el registro de cualquier usuario mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.

    Descripción en
    The Woffice Core plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 5.4.21. This is due to missing or incorrect nonce validation on the 'woffice_handle_user_approval_actions' function. This makes it possible for unauthenticated attackers to approve registration for any user via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

    04/04/2025
    04/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • http://localhost/wp-content/plugins/woffice-core/extensions/woffice-user-registration/includes/helpers.php#L52

  • https://hub.woffice.io/woffice/changelog#april-1st-2025-version-5422

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/1665f2d0-899b-4f9b-91b1-e5799c3b4d3d?source=cve

    • Enviar en el boletín
    Off

    CVE-2025-3217

    CVE-2025-3217

    Título es
    CVE-2025-3217

    Vie, 04/04/2025 – 07:15

    Tipo
    CWE-74

    Gravedad v2.0
    7.50

    Gravedad 2.0 Txt
    HIGH

    Título en

    CVE-2025-3217

    Descripción es
    Se encontró una vulnerabilidad en PHPGurukul e-Diary Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /registration.php. La manipulación del argumento emailid provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.

    Descripción en
    A vulnerability was found in PHPGurukul e-Diary Management System 1.0. It has been declared as critical. This vulnerability affects unknown code of the file /registration.php. The manipulation of the argument emailid leads to sql injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.

    04/04/2025
    04/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:N/C:P/I:P/A:P

    Gravedad 4.0
    6.90

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://github.com/rookiekuan/CVE/issues/3

  • https://phpgurukul.com/

  • https://vuldb.com/?ctiid_303172=

  • https://vuldb.com/?id_303172=

  • https://vuldb.com/?submit_546168=

    • Enviar en el boletín
    Off

    CVE-2025-3216

    CVE-2025-3216

    Título es
    CVE-2025-3216

    Vie, 04/04/2025 – 07:15

    Tipo
    CWE-74

    Gravedad v2.0
    7.50

    Gravedad 2.0 Txt
    HIGH

    Título en

    CVE-2025-3216

    Descripción es
    Se encontró una vulnerabilidad en PHPGurukul e-Diary Management System 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /password-recovery.php. La manipulación del argumento username/contactno provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.

    Descripción en
    A vulnerability was found in PHPGurukul e-Diary Management System 1.0. It has been classified as critical. This affects an unknown part of the file /password-recovery.php. The manipulation of the argument username/contactno leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.

    04/04/2025
    04/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:N/C:P/I:P/A:P

    Gravedad 4.0
    6.90

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://github.com/rookiekuan/CVE/issues/1

  • https://github.com/rookiekuan/CVE/issues/2

  • https://phpgurukul.com/

  • https://vuldb.com/?ctiid_303171=

  • https://vuldb.com/?id_303171=

  • https://vuldb.com/?submit_546166=

    • Enviar en el boletín
    Off

    CVE-2025-3215

    CVE-2025-3215

    Título es
    CVE-2025-3215

    Vie, 04/04/2025 – 07:15

    Tipo
    CWE-74

    Gravedad v2.0
    6.50

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2025-3215

    Descripción es
    Se encontró una vulnerabilidad en PHPGurukul Restaurant Table Booking System 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/add-subadmin.php. La manipulación del argumento "fullname" provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Otros parámetros también podrían verse afectados.

    Descripción en
    A vulnerability was found in PHPGurukul Restaurant Table Booking System 1.0 and classified as critical. Affected by this issue is some unknown functionality of the file /admin/add-subadmin.php. The manipulation of the argument fullname leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. Other parameters might be affected as well.

    04/04/2025
    04/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 4.0
    5.30

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/Camllia2024/mycve/issues/1

  • https://phpgurukul.com/

  • https://vuldb.com/?ctiid_303170=

  • https://vuldb.com/?id_303170=

  • https://vuldb.com/?submit_546164=

    • Enviar en el boletín
    Off

    CVE-2025-32054

    CVE-2025-32054

    Título es
    CVE-2025-32054

    Jue, 03/04/2025 – 17:15

    Tipo
    CWE-532

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-32054

    Descripción es
    En JetBrains IntelliJ IDEA anterior a 2024.3, el código fuente de 2024.2.4 se podía registrar en el archivo idea.log

    Descripción en
    In JetBrains IntelliJ IDEA before 2024.3, 2024.2.4 source code could be logged in the idea.log file

    03/04/2025
    03/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    3.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    LOW

    Referencias

  • https://www.jetbrains.com/privacy-security/issues-fixed/

    • Enviar en el boletín
    Off

    CVE-2023-47639

    CVE-2023-47639

    Título es
    CVE-2023-47639

    Jue, 03/04/2025 – 17:15

    Tipo
    CWE-209

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2023-47639

    Descripción es
    API Platform Core es un sistema para crear API REST y GraphQL basadas en hipermedia. Desde la versión 3.2.0 hasta la 3.2.4, los mensajes de excepción que no son excepciones HTTP son visibles en la respuesta de error JSON. Esta vulnerabilidad se corrigió en la versión 3.2.5.

    Descripción en
    API Platform Core is a system to create hypermedia-driven REST and GraphQL APIs. From 3.2.0 until 3.2.4, exception messages, that are not HTTP exceptions, are visible in the JSON error response. This vulnerability is fixed in 3.2.5.

    03/04/2025
    03/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/api-platform/core/commit/ba8a7e6538bccebf14c228e43a9339214c4d9201

  • https://github.com/api-platform/core/pull/5823

  • https://github.com/api-platform/core/security/advisories/GHSA-rfw5-cqjj-7v9r

    • Enviar en el boletín
    Off

    CVE-2025-3168

    CVE-2025-3168

    Título es
    CVE-2025-3168

    Jue, 03/04/2025 – 17:15

    Tipo
    CWE-74

    Gravedad v2.0
    7.50

    Gravedad 2.0 Txt
    HIGH

    Título en

    CVE-2025-3168

    Descripción es
    Se encontró una vulnerabilidad en PHPGurukul Time Table Generator System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/edit-class.php. La manipulación del argumento editid provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.

    Descripción en
    A vulnerability was found in PHPGurukul Time Table Generator System 1.0. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the file /admin/edit-class.php. The manipulation of the argument editid leads to sql injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.

    03/04/2025
    03/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:L/Au:N/C:P/I:P/A:P

    Gravedad 4.0
    6.90

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://github.com/p1026/CVE/issues/2

  • https://phpgurukul.com/

  • https://vuldb.com/?ctiid_303127=

  • https://vuldb.com/?id_303127=

  • https://vuldb.com/?submit_543172=

    • Enviar en el boletín
    Off

    CVE-2025-3169

    CVE-2025-3169

    Título es
    CVE-2025-3169

    Jue, 03/04/2025 – 17:15

    Tipo
    CWE-284

    Gravedad v2.0
    4.60

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2025-3169

    Descripción es
    Se encontró una vulnerabilidad en Projeqtor hasta la versión 12.0.2. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /tool/saveAttachment.php. La manipulación del argumento "attachFiles" permite la carga sin restricciones. El ataque puede ejecutarse remotamente. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 12.0.3 puede solucionar este problema. Se recomienda actualizar el componente afectado. El proveedor explica que "esta vulnerabilidad solo puede explotarse en instancias con una instalación no segura, como se recomienda durante la instalación del producto: el directorio de archivos adjuntos debe estar fuera del alcance web, de modo que, incluso si se puede cargar un archivo ejecutable, no se pueda ejecutar a través de la web".

    Descripción en
    A vulnerability was found in Projeqtor up to 12.0.2. It has been rated as critical. Affected by this issue is some unknown functionality of the file /tool/saveAttachment.php. The manipulation of the argument attachmentFiles leads to unrestricted upload. The attack may be launched remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used. Upgrading to version 12.0.3 is able to address this issue. It is recommended to upgrade the affected component. The vendor explains, that "this vulnerability can be exploited only on not securely installed instances, as it is adviced during product install: attachment directory should be out of web reach, so that even if executable file can be uploaded, it cannot be executed through the web."

    03/04/2025
    03/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:N/AC:H/Au:S/C:P/I:P/A:P

    Gravedad 4.0
    2.30

    Gravedad 4.0 txt
    LOW

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.00

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/deadmilkman/cve-reports/blob/main/01-projeqtor-rce/readme.md

  • https://github.com/deadmilkman/cve-reports/blob/main/01-projeqtor-rce/readme.md#proof-of-concept-poc

  • https://vuldb.com/?ctiid_303128=

  • https://vuldb.com/?id_303128=

  • https://vuldb.com/?submit_543250=

    • Enviar en el boletín
    Off

    CVE-2025-3159

    CVE-2025-3159

    Título es
    CVE-2025-3159

    Jue, 03/04/2025 – 14:15

    Tipo
    CWE-119

    Gravedad v2.0
    4.30

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2025-3159

    Descripción en
    A vulnerability, which was classified as critical, was found in Open Asset Import Library Assimp 5.4.3. This affects the function Assimp::ASE::Parser::ParseLV4MeshBonesVertices of the file code/AssetLib/ASE/ASEParser.cpp of the component ASE File Handler. The manipulation leads to heap-based buffer overflow. The attack needs to be approached locally. The exploit has been disclosed to the public and may be used. The identifier of the patch is e8a6286542924e628e02749c4f5ac4f91fdae71b. It is recommended to apply a patch to fix this issue.

    03/04/2025
    03/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

    Vector CVSS:2.0
    AV:L/AC:L/Au:S/C:P/I:P/A:P

    Gravedad 4.0
    4.80

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://github.com/assimp/assimp/issues/6024

  • https://github.com/assimp/assimp/issues/6024#issue-2877382033

  • https://github.com/assimp/assimp/pull/6051

  • https://github.com/tellypresence/assimp/commit/e8a6286542924e628e02749c4f5ac4f91fdae71b

  • https://vuldb.com/?ctiid_303105=

  • https://vuldb.com/?id_303105=

  • https://vuldb.com/?submit_542247=

    • Enviar en el boletín
    Off