CVE-2025-32020

CVE-2025-32020

Título es
CVE-2025-32020

Mar, 08/04/2025 – 15:15

Tipo
CWE-89

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-32020

Descripción en
The crud-query-parser library parses query parameters from HTTP requests and converts them to database queries. Improper neutralization of the order/sort parameter in the TypeORM adapter, which allows SQL injection. You are impacted by this vulnerability if you are using the TypeORM adapter, ordering is enabled and you have not set-up a property filter. This vulnerability is fixed in 0.1.0.

08/04/2025
08/04/2025
Vector CVSS:4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Gravedad 4.0
9.30

Gravedad 4.0 txt
CRITICAL

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

  • https://github.com/Guichaguri/crud-query-parser/security/advisories/GHSA-9r25-rp3p-h2w4

    • Enviar en el boletín
    Off

    CVE-2025-29985

    CVE-2025-29985

    Título es
    CVE-2025-29985

    Mar, 08/04/2025 – 11:15

    Tipo
    CWE-1188

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-29985

    Descripción en
    Dell Common Event Enabler, version(s) CEE 9.0.0.0, contain(s) an Initialization of a Resource with an Insecure Default vulnerability in the Common Anti-Virus Agent (CAVA). An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Unauthorized access.

    08/04/2025
    08/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://www.dell.com/support/kbdoc/en-us/000303931/dsa-2025-158-security-update-for-dell-common-event-enabler-vulnerabilities

    • Enviar en el boletín
    Off

    CVE-2025-30166

    CVE-2025-30166

    Título es
    CVE-2025-30166

    Mar, 08/04/2025 – 11:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-30166

    Descripción en
    Pimcore's Admin Classic Bundle provides a Backend UI for Pimcore. An HTML injection issue allows users with access to the email sending functionality to inject arbitrary HTML code into emails sent via the admin interface, potentially leading to session cookie theft and the alteration of page content. The vulnerability was discovered in the /admin/email/send-test-email endpoint using the POST method. The vulnerable parameter is content, which permits the injection of arbitrary HTML code during the email sending process. While JavaScript code injection is blocked through filtering, HTML code injection remains possible. This vulnerability is fixed in 1.7.6.

    08/04/2025
    08/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Gravedad 4.0
    1.80

    Gravedad 4.0 txt
    LOW

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://github.com/pimcore/admin-ui-classic-bundle/commit/76b690d4f8fcd9c9d41766bc5238c2513242e60e

  • https://github.com/pimcore/admin-ui-classic-bundle/security/advisories/GHSA-x82r-6j37-vrgg

    • Enviar en el boletín
    Off

    CVE-2025-29986

    CVE-2025-29986

    Título es
    CVE-2025-29986

    Mar, 08/04/2025 – 11:15

    Tipo
    CWE-923

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-29986

    Descripción en
    Dell Common Event Enabler, version(s) CEE 9.0.0.0, contain(s) an Improper Restriction of Communication Channel to Intended Endpoints vulnerability in the Common Anti-Virus Agent (CAVA). An unauthenticated attacker with remote access could potentially exploit this vulnerability, leading to Unauthorized access.

    08/04/2025
    08/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

    Gravedad 3.1 (CVSS 3.1 Base Score)
    8.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://www.dell.com/support/kbdoc/en-us/000303931/dsa-2025-158-security-update-for-dell-common-event-enabler-vulnerabilities

    • Enviar en el boletín
    Off

    CVE-2025-2568

    CVE-2025-2568

    Título es
    CVE-2025-2568

    Mar, 08/04/2025 – 12:15

    Tipo
    CWE-862

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-2568

    Descripción en
    The Vayu Blocks – Gutenberg Blocks for WordPress & WooCommerce plugin for WordPress is vulnerable to unauthorized access and modification of data due to missing capability checks on the 'vayu_blocks_get_toggle_switch_values_callback' and 'vayu_blocks_save_toggle_switch_callback' function in versions 1.0.4 to 1.2.1. This makes it possible for unauthenticated attackers to read plugin options and update any option with a key name ending in '_value'.

    08/04/2025
    08/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/browser/vayu-blocks/trunk/inc/function.php#L126

  • https://plugins.trac.wordpress.org/browser/vayu-blocks/trunk/inc/function.php#L133

  • https://plugins.trac.wordpress.org/browser/vayu-blocks/trunk/inc/function.php#L139

  • https://plugins.trac.wordpress.org/browser/vayu-blocks/trunk/inc/function.php#L182

  • https://plugins.trac.wordpress.org/changeset/3263702/

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/27ca93a1-3dfc-4bbd-834a-1c04d9e22ebf?source=cve

    • Enviar en el boletín
    Off

    CVE-2025-2876

    CVE-2025-2876

    Título es
    CVE-2025-2876

    Mar, 08/04/2025 – 12:15

    Tipo
    CWE-862

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-2876

    Descripción en
    The MelaPress Login Security and MelaPress Login Security Premium plugins for WordPress is vulnerable to unauthorized loss of data due to a missing capability check on the 'monitor_admin_actions' function in version 2.1.0. This makes it possible for unauthenticated attackers to delete any user.

    08/04/2025
    08/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://melapress.com/wordpress-login-security/releases/

  • https://plugins.trac.wordpress.org/browser/melapress-login-security/trunk/app/modules/temporary-logins/class-temporary-logins.php#L71

  • https://plugins.trac.wordpress.org/changeset/3267748/

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/559cbc69-85b6-4bad-9bb2-26d64195ba7e?source=cve

    • Enviar en el boletín
    Off

    CVE-2025-30280

    CVE-2025-30280

    Título es
    CVE-2025-30280

    Mar, 08/04/2025 – 09:15

    Tipo
    CWE-204

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-30280

    Descripción es
    Se ha identificado una vulnerabilidad en Mendix Runtime V10 (todas las versiones anteriores a la V10.21.0), Mendix Runtime V10.12 (todas las versiones), Mendix Runtime V10.18 (todas las versiones), Mendix Runtime V10.6 (todas las versiones), Mendix Runtime V8 (todas las versiones) y Mendix Runtime V9 (todas las versiones anteriores a la V9.24.34). Las aplicaciones afectadas permiten la enumeración de entidades debido a respuestas distinguibles en ciertas acciones del cliente. Esto podría permitir que un atacante remoto no autenticado liste todas las entidades y nombres de atributos válidos de una aplicación basada en Mendix Runtime.

    Descripción en
    A vulnerability has been identified in Mendix Runtime V10 (All versions

    08/04/2025
    08/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Gravedad 4.0
    6.90

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://cert-portal.siemens.com/productcert/html/ssa-874353.html

    • Enviar en el boletín
    Off

    CVE-2025-30000

    CVE-2025-30000

    Título es
    CVE-2025-30000

    Mar, 08/04/2025 – 09:15

    Tipo
    CWE-295

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-30000

    Descripción es
    Se ha identificado una vulnerabilidad en Siemens License Server (SLS) (todas las versiones anteriores a la V4.3). La aplicación afectada no restringe correctamente los permisos de los usuarios. Esto podría permitir que un atacante con pocos privilegios aumente sus privilegios.

    Descripción en
    A vulnerability has been identified in Siemens License Server (SLS) (All versions

    08/04/2025
    08/04/2025
    Vector CVSS:4.0
    CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

    Gravedad 4.0
    5.40

    Gravedad 4.0 txt
    MEDIUM

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.70

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://cert-portal.siemens.com/productcert/html/ssa-525431.html

    • Enviar en el boletín
    Off

    CVE-2025-3433

    CVE-2025-3433

    Título es
    CVE-2025-3433

    Mar, 08/04/2025 – 09:15

    Tipo
    CWE-601

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-3433

    Descripción es
    El complemento Advanced Advertising System para WordPress es vulnerable a Open Redirect en todas las versiones hasta la 1.3.1 incluida. Esto se debe a una validación insuficiente de la URL de redirección proporcionada mediante el parámetro 'redir'. Esto permite que atacantes no autenticados redirijan a los usuarios a sitios potencialmente maliciosos si logran engañarlos para que realicen una acción.

    Descripción en
    The Advanced Advertising System plugin for WordPress is vulnerable to Open Redirect in all versions up to, and including, 1.3.1. This is due to insufficient validation on the redirect url supplied via the 'redir' parameter. This makes it possible for unauthenticated attackers to redirect users to potentially malicious sites if they can successfully trick them into performing an action.

    08/04/2025
    08/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.10

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/browser/advanced-advertising-system/trunk/shortcode.php#L165

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/72a56589-9dc0-47a7-bb68-e31f84a639ee?source=cve

    • Enviar en el boletín
    Off

    CVE-2025-3432

    CVE-2025-3432

    Título es
    CVE-2025-3432

    Mar, 08/04/2025 – 09:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-3432

    Descripción es
    El complemento AAWP Obfuscator para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'data-aawp-web' en todas las versiones hasta la 1.0 incluida, debido a una depuración de entrada y al escape de salida insuficiente. Esto permite a atacantes autenticados, con acceso de autor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.

    Descripción en
    The AAWP Obfuscator plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'data-aawp-web' parameter in all versions up to, and including, 1.0 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

    08/04/2025
    08/04/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://wordpress.org/plugins/aawp-obfuscator/

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/26b1b899-37a2-44fd-b961-5e6175e0417f?source=cve

    • Enviar en el boletín
    Off