Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Rhonabwy (CVE-2024-25714)
    Severidad: CRÍTICA
    Fecha de publicación: 11/02/2024
    Fecha de última actualización: 18/10/2024
    En Rhonabwy hasta la versión 1.1.13, la verificación de firmas HMAC utiliza una función strcmp que es vulnerable a ataques de canal lateral, porque detiene la comparación cuando se detecta la primera diferencia en las dos firmas. (La solución utiliza gnutls_memcmp, que tiene ejecución en tiempo constante).
  • Vulnerabilidad en Foxit PDF Reader (CVE-2024-7722)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad de divulgación de información de Use-After-Free de objetos de documentos de Foxit PDF Reader. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos Doc. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-23702.
  • Vulnerabilidad en Foxit PDF Reader AcroForm (CVE-2024-7723)
    Severidad: ALTA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad de ejecución remota de código de Foxit PDF Reader AcroForm Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de AcroForms. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23736.
  • Vulnerabilidad en Foxit PDF Reader AcroForm (CVE-2024-7724)
    Severidad: ALTA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad de ejecución remota de código de Foxit PDF Reader AcroForm Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de AcroForms. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23900.
  • Vulnerabilidad en Foxit PDF Reader AcroForm (CVE-2024-7725)
    Severidad: ALTA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad de ejecución remota de código de Foxit PDF Reader AcroForm Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de AcroForms. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23928.
  • Vulnerabilidad en Substance3D - Painter (CVE-2024-20787)
    Severidad: MEDIA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 10.0.1 y anteriores de Substance3D - Painter se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Dimension (CVE-2024-45146)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 4.0.3 y anteriores de Dimension se ven afectadas por una vulnerabilidad de tipo Use After Free que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Dimension (CVE-2024-45150)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 4.0.3 y anteriores de Dimension se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Lightroom Desktop (CVE-2024-45145)
    Severidad: MEDIA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 7.4.1, 13.5, 12.5.1 y anteriores de Lightroom Desktop se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45138)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de tipo Use After Free que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45139)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en el montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45140)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45141)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45142)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de condición de escritura de lo que se escribe y lo que se escribe, que podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual. Esta vulnerabilidad permite a un atacante escribir un valor controlado en una ubicación de memoria arbitraria, lo que puede provocar la ejecución de código. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45143)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en el montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45144)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Substance3D - Stager (CVE-2024-45152)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 3.0.3 y anteriores de Substance3D - Stager se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InCopy (CVE-2024-45136)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 19.4, 18.5.3 y anteriores de InCopy se ven afectadas por una vulnerabilidad de carga sin restricciones de archivos de tipo peligroso que podría provocar la ejecución de código arbitrario por parte de un atacante. Un atacante podría aprovechar esta vulnerabilidad cargando un archivo malicioso que luego se puede ejecutar en el servidor. Para aprovechar este problema se requiere la interacción del usuario.
  • Vulnerabilidad en InDesign Desktop (CVE-2024-45137)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 19.4, 18.5.3 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos que podría provocar la ejecución de código arbitrario. Un atacante podría aprovechar esta vulnerabilidad cargando un archivo malicioso que, al ejecutarse, podría ejecutar código arbitrario en el contexto del servidor. Para aprovechar este problema se requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Framemaker (CVE-2024-47421)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 2020.6, 2022.4 y anteriores de Adobe Framemaker se ven afectadas por una vulnerabilidad de lectura fuera de los límites al analizar un archivo manipulado, lo que podría provocar una lectura más allá del final de una estructura de memoria asignada. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Adobe Framemaker (CVE-2024-47422)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 2020.6, 2022.4 y anteriores de Adobe Framemaker se ven afectadas por una vulnerabilidad de ruta de búsqueda no confiable que podría provocar la ejecución de código arbitrario. Un atacante podría aprovechar esta vulnerabilidad insertando una ruta maliciosa en los directorios de búsqueda, que la aplicación podría ejecutar sin saberlo. Esto podría permitir al atacante ejecutar código arbitrario en el contexto del usuario actual. Para aprovechar este problema se requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Framemaker (CVE-2024-47423)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 2020.6, 2022.4 y anteriores de Adobe Framemaker se ven afectadas por una vulnerabilidad de carga sin restricciones de archivos de tipo peligroso que podría provocar la ejecución de código arbitrario. Un atacante podría aprovechar esta vulnerabilidad cargando un archivo malicioso que el sistema pueda procesar o ejecutar automáticamente. Para aprovechar este problema, es necesaria la interacción del usuario.
  • Vulnerabilidad en Adobe Framemaker (CVE-2024-47424)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 2020.6, 2022.4 y anteriores de Adobe Framemaker se ven afectadas por una vulnerabilidad de desbordamiento de enteros o de envoltura que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Adobe Framemaker (CVE-2024-47425)
    Severidad: ALTA
    Fecha de publicación: 09/10/2024
    Fecha de última actualización: 18/10/2024
    Las versiones 2020.6, 2022.4 y anteriores de Adobe Framemaker se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en kernel de Linux (CVE-2024-47674)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: evitar dejar asignaciones pfn parciales en caso de error Como señala Jann, las asignaciones PFN son especiales, porque a diferencia de las asignaciones de memoria normales, no hay información de duración asociada con la asignación: es solo una asignación sin procesar de PFN sin recuento de referencias de una 'página de estructura'. Todo eso es muy intencional, pero significa que es fácil arruinar la limpieza en caso de errores. Sí, un mmap() fallido siempre limpiará eventualmente cualquier asignación parcial, pero sin ninguna duración explícita en la asignación de la tabla de páginas en sí, es muy fácil hacer el manejo de errores en el orden incorrecto. En particular, es fácil liberar por error el almacenamiento de respaldo físico antes de que las tablas de páginas se limpien realmente y (temporalmente) tengan entradas PTE colgantes obsoletas. Para hacer que esta situación sea menos propensa a errores, simplemente asegúrese de que cualquier asignación pfn parcial se elimine temprano, antes de cualquier otro manejo de errores.
  • Vulnerabilidad en Oracle Global Lifecycle Management FMW Installer de Oracle Fusion Middleware (CVE-2024-21190)
    Severidad: CRÍTICA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Global Lifecycle Management FMW Installer de Oracle Fusion Middleware (componente: Cloning). La versión compatible afectada es la 12.2.1.4.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de SFTP ponga en peligro Oracle Global Lifecycle Management FMW Installer. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Global Lifecycle Management FMW Installer. Puntuación base de CVSS 3.1: 7,5 (impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N).
  • Vulnerabilidad en Oracle Enterprise Manager Fusion Middleware Control de Oracle Fusion Middleware (CVE-2024-21191)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Enterprise Manager Fusion Middleware Control de Oracle Fusion Middleware (componente: complemento FMW Control). La versión compatible afectada es la 12.2.1.4.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Enterprise Manager Fusion Middleware Control. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad se encuentra en Oracle Enterprise Manager Fusion Middleware Control, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Oracle Enterprise Manager Fusion Middleware Control, así como el acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos de los datos accesibles de Oracle Enterprise Manager Fusion Middleware Control. Puntuación base CVSS 3.1 7.6 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N).
  • Vulnerabilidad en Oracle Enterprise Manager for Fusion Middleware de Oracle Fusion Middleware (CVE-2024-21192)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Enterprise Manager for Fusion Middleware de Oracle Fusion Middleware (componente: WebLogic Mgmt). La versión compatible afectada es la 12.2.1.4.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios elevados que inicie sesión en la infraestructura donde se ejecuta Oracle Enterprise Manager for Fusion Middleware ponga en peligro Oracle Enterprise Manager for Fusion Middleware. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Enterprise Manager for Fusion Middleware. Puntuación base de CVSS 3.1: 4,4 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-21193)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PS). Las versiones compatibles afectadas son 8.0.39 y anteriores, 8.4.2 y anteriores y 9.0.1 y anteriores. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos ponga en peligro MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetible (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4,9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-21194)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles afectadas son 8.0.39 y anteriores, 8.4.2 y anteriores y 9.0.1 y anteriores. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos ponga en peligro MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetible (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4,9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle BI Publisher de Oracle Analytics (CVE-2024-21195)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: Plantillas de diseño). Las versiones compatibles afectadas son 7.0.0.0.0, 7.6.0.0.0 y 12.2.1.4.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP ponga en peligro Oracle BI Publisher. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle BI Publisher, así como una actualización, inserción o eliminación no autorizada de algunos de los datos accesibles de Oracle BI Publisher y la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Oracle BI Publisher. Puntuación base CVSS 3.1 7.6 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L).
  • Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2024-21202)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: PIA Core Technology). Las versiones compatibles afectadas son 8.59, 8.60 y 8.61. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro PeopleSoft Enterprise PeopleTools. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad se encuentra en PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la actualización, inserción o eliminación no autorizada de algunos datos accesibles de PeopleSoft Enterprise PeopleTools, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. Puntuación base de CVSS 3.1: 6,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-21204)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PS). Las versiones compatibles afectadas son 8.4.0 y 9.0.1 y anteriores. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometa MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetible (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4,9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle Service Bus de Oracle Fusion Middleware (CVE-2024-21205)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Service Bus de Oracle Fusion Middleware (componente: OSB Core Functionality). La versión compatible afectada es la 12.2.1.4.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Service Bus. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Service Bus. Puntuación base de CVSS 3.1: 6,5 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2024-21214)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Query). Las versiones compatibles afectadas son 8.59, 8.60 y 8.61. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa PeopleSoft Enterprise PeopleTools. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de PeopleSoft Enterprise PeopleTools, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de PeopleSoft Enterprise PeopleTools. Puntuación base de CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
  • Vulnerabilidad en Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2024-21215)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones compatibles afectadas son 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetitivo (DOS completo) de Oracle WebLogic Server. Puntuación base de CVSS 3.1: 7,5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2024-21216)
    Severidad: CRÍTICA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones compatibles afectadas son 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de T3, IIOP ponga en peligro Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la toma de control de Oracle WebLogic Server. Puntuación base CVSS 3.1: 9,8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21248)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles afectadas son anteriores a la 7.0.22 y a la 7.1.2. Esta vulnerabilidad, que es difícil de explotar, permite que un atacante con pocos privilegios que inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox pueda comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada de algunos datos accesibles de Oracle VM VirtualBox, así como un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle VM VirtualBox y la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Oracle VM VirtualBox. Puntuación base CVSS 3.1: 5,3 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L).
  • Vulnerabilidad en Oracle Product Hub de Oracle E-Business Suite (CVE-2024-21252)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Product Hub de Oracle E-Business Suite (componente: Catálogo de artículos). Las versiones compatibles afectadas son 12.2.3-12.2.13. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometa Oracle Product Hub. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle Product Hub, así como el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de Oracle Product Hub. Puntuación base CVSS 3.1: 8,1 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21253)
    Severidad: BAJA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles afectadas son anteriores a la 7.0.22. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios elevados que inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox pueda comprometer Oracle VM VirtualBox. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar una denegación parcial de servicio (DOS parcial) de Oracle VM VirtualBox. Puntuación base de CVSS 3.1: 2,3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L).
  • Vulnerabilidad en Oracle BI Publisher de Oracle Analytics (CVE-2024-21254)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: Web Server). Las versiones compatibles afectadas son 7.0.0.0.0, 7.6.0.0.0 y 12.2.1.4.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios reducidos y acceso a la red a través de HTTP ponga en peligro Oracle BI Publisher. Los ataques exitosos de esta vulnerabilidad pueden provocar la toma de control de Oracle BI Publisher. Puntuación base de CVSS 3.1: 8,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2024-21255)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: XMLPublisher). Las versiones compatibles afectadas son 8.59, 8.60 y 8.61. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer PeopleSoft Enterprise PeopleTools. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la toma de control de PeopleSoft Enterprise PeopleTools. Puntuación base de CVSS 3.1: 8,8 (impactos en confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21259)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles afectadas son anteriores a la 7.0.22 y a la 7.1.2. Esta vulnerabilidad, que es difícil de explotar, permite que un atacante con privilegios elevados que inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometa Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la toma de control de Oracle VM VirtualBox. Puntuación base CVSS 3.1: 7,5 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21263)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles afectadas son anteriores a la 7.0.22 y a la 7.1.2. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con pocos privilegios que inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometa Oracle VM VirtualBox. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetible (DOS completo) de Oracle VM VirtualBox y un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle VM VirtualBox. Puntuación base de CVSS 3.1: 6,1 (impactos en la confidencialidad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21273)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles afectadas son anteriores a la 7.0.22 y a la 7.1.2. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante con privilegios elevados que inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox ponga en peligro Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle VM VirtualBox. Puntuación base de CVSS 3.1: 6.0 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle Banking Liquidity Management de Oracle Financial Services Applications (CVE-2024-21284)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Banking Liquidity Management de Oracle Financial Services Applications (componente: Reports). La versión compatible afectada es la 14.5.0.12.0. Esta vulnerabilidad, difícil de explotar, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP ponga en peligro Oracle Banking Liquidity Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la toma de control de Oracle Banking Liquidity Management. Puntuación base CVSS 3.1 7.1 (impactos en confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle Banking Liquidity Management de Oracle Financial Services Applications (CVE-2024-21285)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Banking Liquidity Management de Oracle Financial Services Applications (componente: Reports). La versión compatible afectada es la 14.5.0.12.0. Esta vulnerabilidad, difícil de explotar, permite que un atacante con pocos privilegios y acceso a la red a través de HTTP ponga en peligro Oracle Banking Liquidity Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la toma de control de Oracle Banking Liquidity Management. Puntuación base CVSS 3.1 7.1 (impactos en confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H).