Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en AList (CVE-2024-47067)
    Severidad: MEDIA
    Fecha de publicación: 30/09/2024
    Fecha de última actualización: 15/11/2024
    AList es un programa de listas de archivos que admite varios almacenamientos. AList contiene una vulnerabilidad de cross-site scripting reflejado en helper.go. El punto de conexión /i/:link_name toma un valor proporcionado por el usuario y lo refleja en la respuesta. El punto de conexión devuelve una respuesta application/xml, lo que la abre a las etiquetas HTML a través de XHTML y, por lo tanto, genera una vulnerabilidad XSS. Esta vulnerabilidad se solucionó en la versión 3.29.0.
  • Vulnerabilidad en basic-auth-connect (CVE-2024-47178)
    Severidad: ALTA
    Fecha de publicación: 30/09/2024
    Fecha de última actualización: 15/11/2024
    basic-auth-connect es el middleware de autenticación básica de Connect en su propio módulo. basic-auth-connect < 1.1.0 utiliza una comparación de igualdad que no es segura en cuanto al tiempo y que puede filtrar información sobre el tiempo. Este problema se ha solucionado en basic-auth-connect 1.1.0.
  • Vulnerabilidad en Scout (CVE-2024-47530)
    Severidad: MEDIA
    Fecha de publicación: 30/09/2024
    Fecha de última actualización: 15/11/2024
    Scout es un visualizador basado en la web para archivos VCF. La vulnerabilidad de redirección abierta permite realizar ataques de phishing a los usuarios al redirigirlos a una página maliciosa. El endpoint de la API /login es vulnerable a ataques de redirección abierta a través del siguiente parámetro debido a la ausencia de lógica de desinfección. Además, debido a la falta de validación del esquema, se puede realizar un ataque de degradación de HTTPS a los usuarios. Esta vulnerabilidad se corrigió en la versión 4.89.
  • Vulnerabilidad en Scout (CVE-2024-47531)
    Severidad: BAJA
    Fecha de publicación: 30/09/2024
    Fecha de última actualización: 15/11/2024
    Scout es un visualizador web para archivos VCF. Debido a la falta de desinfección en el nombre de archivo, es posible eludir la extensión de archivo deseada y hacer que los usuarios descarguen archivos maliciosos con cualquier extensión. Si se inyecta contenido malicioso dentro de los datos del archivo y los usuarios lo descargan y abren sin saberlo, es posible que se vean comprometidos los dispositivos o los datos de los usuarios. Esta vulnerabilidad se solucionó en la versión 4.89.
  • Vulnerabilidad en RestrictedPython (CVE-2024-47532)
    Severidad: ALTA
    Fecha de publicación: 30/09/2024
    Fecha de última actualización: 15/11/2024
    RestrictedPython es un entorno de ejecución restringido para que Python ejecute código no confiable. Un usuario puede obtener acceso a información protegida (y potencialmente sensible) indirectamente a través de AttributeError.obj y el módulo de cadena. El problema se solucionará en la versión 7.3. Como workaround, si la aplicación no requiere acceso a la cadena del módulo, puede eliminarla de RestrictedPython.Utilities.utility_builtins o, de lo contrario, no ponerla a disposición en el entorno de ejecución restringido.
  • Vulnerabilidad en ActivityManager (CVE-2024-34662)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 15/11/2024
    El control de acceso inadecuado en ActivityManager anterior a SMR Oct-2024 Release 1 en algunos Android 12 y 13 y SMR Sep-2024 Release 1 en algunos Android 14 permite que atacantes locales ejecuten comportamientos privilegiados.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-9487)
    Severidad: CRÍTICA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 15/11/2024
    Se identificó una vulnerabilidad de verificación incorrecta de la firma criptográfica en GitHub Enterprise Server que permitía eludir la autenticación SSO SAML, lo que daba como resultado el aprovisionamiento no autorizado de usuarios y el acceso a la instancia. Para explotarla, era necesario habilitar la función de aserciones cifradas y el atacante necesitaba acceso directo a la red, así como una respuesta SAML firmada o un documento de metadatos. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.15 y se solucionó en las versiones 3.11.16, 3.12.10, 3.13.5 y 3.14.2. Esta vulnerabilidad se informó a través del programa de recompensas por errores de GitHub.
  • Vulnerabilidad en Gradio (CVE-2024-47867)
    Severidad: BAJA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 15/11/2024
    Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Esta vulnerabilidad es una **falta de comprobación de integridad** en el cliente FRP descargado, lo que podría permitir a los atacantes introducir código malicioso. Si un atacante obtiene acceso a la URL remota desde la que se descarga el cliente FRP, podría modificar el binario sin ser detectado, ya que el servidor Gradio no verifica la suma de comprobación ni la firma del archivo. Cualquier usuario que utilice el mecanismo de uso compartido del servidor Gradio que descarga el cliente FRP podría verse afectado por esta vulnerabilidad, especialmente aquellos que dependen del binario ejecutable para la tunelización segura de datos. No existe un workaround directo para este problema sin actualizar. Sin embargo, los usuarios pueden validar manualmente la integridad del cliente FRP descargado implementando la suma de comprobación o la verificación de la firma en su propio entorno para asegurarse de que el binario no haya sido alterado.
  • Vulnerabilidad en Pedalo Connector para WordPress (CVE-2024-9822)
    Severidad: CRÍTICA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 15/11/2024
    El complemento Pedalo Connector para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 2.0.5 incluida. Esto se debe a una restricción insuficiente en la función 'login_admin_user'. Esto hace posible que atacantes no autenticados inicien sesión con el primer usuario, que normalmente es el administrador, o si no existe, con el primer administrador.
  • Vulnerabilidad en Dolby Vision Provisioning de Lenovo (CVE-2024-5474)
    Severidad: MEDIA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 15/11/2024
    Se informó de una posible vulnerabilidad de divulgación de información en el paquete de software Dolby Vision Provisioning de Lenovo anterior a la versión 2.0.0.2 que podría permitir que un atacante local lea archivos en el sistema con privilegios elevados durante la instalación del paquete. Las versiones instaladas anteriormente no se ven afectadas por este problema.
  • Vulnerabilidad en parisneo/lollms-webui (CVE-2024-6985)
    Severidad: MEDIA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 15/11/2024
    Existe una vulnerabilidad de path traversal en el endpoint de la API open_personality_folder de parisneo/lollms-webui. Esta vulnerabilidad permite a un atacante leer cualquier carpeta en personality_folder en la computadora de la víctima, incluso aunque sanitize_path esté configurado. El problema surge debido a una desinfección incorrecta del parámetro personality_folder, que puede explotarse para recorrer directorios y acceder a archivos arbitrarios.
  • Vulnerabilidad en Eclipse Mosquitto (CVE-2024-8376)
    Severidad: ALTA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 15/11/2024
    En Eclipse Mosquitto hasta la versión 2.0.18a, un atacante puede lograr fugas de memoria, fallas de segmentación o heap-use-after-free enviando secuencias específicas de paquetes "CONECTAR", "DESCONECTAR", "SUBSCRIBE", "CANCELAR SUSCRIPCIÓN" y "PUBLICAR".
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-9539)
    Severidad: MEDIA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 15/11/2024
    Se identificó una vulnerabilidad de divulgación de información en GitHub Enterprise Server a través de una URL de un recurso cargado por un atacante, lo que le permite recuperar información de metadatos de un usuario que hace clic en la URL y explotarla para crear una página de phishing convincente. Esto requería que el atacante cargara archivos SVG maliciosos y engañara al usuario víctima para que hiciera clic en la URL del recurso cargado. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se corrigió en las versiones 3.14.2, 3.13.5, 3.12.10 y 3.11.16. Esta vulnerabilidad se informó a través del programa de recompensas por errores de GitHub.
  • Vulnerabilidad en kernel de Linux (CVE-2024-50145)
    Severidad: MEDIA
    Fecha de publicación: 07/11/2024
    Fecha de última actualización: 15/11/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: octeon_ep: Agregar manejo de fallas de asignación de SKB en __octep_oq_process_rx() build_skb() devuelve NULL en caso de una falla de asignación de memoria, por lo que se maneja dentro de __octep_oq_process_rx() para evitar la desreferencia del puntero NULL. __octep_oq_process_rx() es llamado durante el sondeo NAPI por el controlador. Si la asignación de skb falla, sigue extrayendo paquetes de la cola DMA de Rx: no deberíamos interrumpir el sondeo inmediatamente y, por lo tanto, indicar falsamente a octep_napi_poll() que la presión de Rx está disminuyendo. Como no hay un skb asociado en este caso, no procesa los paquetes y no los empuja hacia arriba en la pila de red: se omiten. Se implementa una función auxiliar para desmapear/vaciar todos los buferes de fragmentos utilizados por el paquete descartado. El contador 'alloc_failures' se incrementa para marcar el error de asignación de skb en las estadísticas del controlador. Encontrado por Linux Verification Center (linuxtesting.org) con SVACE.
  • Vulnerabilidad en Black Widgets For Elementor de Modernaweb Studio (CVE-2024-51662)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Black Widgets For Elementor de Modernaweb Studio permite XSS almacenado. Este problema afecta a Black Widgets For Elementor: desde n/a hasta 1.3.6.
  • Vulnerabilidad en NicheAddons Sales Page Addon – Elementor & Beaver Builder (CVE-2024-51585)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en NicheAddons Sales Page Addon – Elementor & Beaver Builder permite XSS almacenado. Este problema afecta al complemento Sales Page de NicheAddons – Elementor y Beaver Builder: desde n/a hasta 1.4.2.
  • Vulnerabilidad en bnayawpguy Meta Store Elements (CVE-2024-51592)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en bnayawpguy Meta Store Elements permite XSS basado en DOM. Este problema afecta a los elementos de Meta Store: desde n/a hasta 1.0.9.
  • Vulnerabilidad en Gmap Point List de Rafel Sansó (CVE-2024-51594)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Gmap Point List de Rafel Sansó permite XSS almacenado. Este problema afecta a Gmap Point List: desde n/a hasta 1.1.2.
  • Vulnerabilidad en sksdev SKSDEV Toolkit (CVE-2024-51595)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en sksdev SKSDEV Toolkit permite XSS almacenado. Este problema afecta a SKSDEV Toolkit: desde n/a hasta 1.0.0.
  • Vulnerabilidad en Nilesh Shiragave Business (CVE-2024-51596)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Nilesh Shiragave Business permite XSS almacenado. Este problema afecta a Business: desde n/a hasta 1.3.
  • Vulnerabilidad en Russell Albin Simple Business Manager (CVE-2024-51599)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Russell Albin Simple Business Manager permite XSS almacenado. Este problema afecta a Simple Business Manager: desde n/a hasta 4.6.7.4.
  • Vulnerabilidad en Mircea N. NMR Strava activities (CVE-2024-51603)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Mircea N. NMR Strava activities permite XSS basado en DOM. Este problema afecta a las actividades de NMR Strava: desde n/a hasta 1.0.6.
  • Vulnerabilidad en Carlo Andro Mabugay Media Modal (CVE-2024-51604)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Carlo Andro Mabugay Media Modal permite XSS basado en DOM. Este problema afecta a Media Modal: desde n/a hasta 1.0.2.
  • Vulnerabilidad en Genoo, LLC Genoo (CVE-2024-51605)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Genoo, LLC Genoo permite XSS basado en DOM. Este problema afecta a Genoo: desde n/a hasta 6.0.10.
  • Vulnerabilidad en SEO Themes Display Terms Shortcode (CVE-2024-51610)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en SEO Themes Display Terms Shortcode permite XSS almacenado. Este problema afecta al código corto de términos de visualización: desde n/a hasta 1.0.4.
  • Vulnerabilidad en Ehues Gboy Custom Google Map (CVE-2024-51882)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Ehues Gboy Custom Google Map permite una inyección SQL ciega. Este problema afecta a Gboy Custom Google Map: desde n/a hasta 1.2.
  • Vulnerabilidad en Webangon The Pack Elementor addons (CVE-2024-52356)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Webangon The Pack Elementor addons permite XSS almacenado. Este problema afecta a los complementos The Pack Elementor: desde n/a hasta 2.1.0.
  • Vulnerabilidad en LIQUID DESIGN Ltd. LIQUID BLOCKS (CVE-2024-52357)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en LIQUID DESIGN Ltd. LIQUID BLOCKS permite XSS almacenado. Este problema afecta a LIQUID BLOCKS: desde n/a hasta 1.2.0.
  • Vulnerabilidad en Cyberchimps Responsive Addons for Elementor (CVE-2024-52358)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Cyberchimps Responsive Addons for Elementor permite XSS basado en DOM. Este problema afecta a Responsive Addons for Elementor: desde n/a hasta 1.5.4.
  • Vulnerabilidad en Andrew Milo Postcasa Shortcode (CVE-2024-52352)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Andrew Milo Postcasa Shortcode permite XSS basado en DOM. Este problema afecta a Postcasa Shortcode: desde n/a hasta 1.0.
  • Vulnerabilidad en Gabriel Serafini Christian Science Bible Lesson Subjects (CVE-2024-52353)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Gabriel Serafini Christian Science Bible Lesson Subjects permite XSS basado en DOM. Este problema afecta a los temas de lecciones bíblicas de la Ciencia Cristiana: desde n/a hasta 2.0.
  • Vulnerabilidad en Cool Plugins Web Stories Widgets For Elementor (CVE-2024-52354)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Cool Plugins Web Stories Widgets For Elementor permite XSS almacenado. Este problema afecta a Web Stories Widgets For Elementor: desde n/a hasta 1.1.
  • Vulnerabilidad en Hyumika OSM – OpenStreetMap (CVE-2024-52355)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Hyumika OSM – OpenStreetMap permite XSS almacenado. Este problema afecta a OSM – OpenStreetMap: desde n/a hasta 6.1.2.
  • Vulnerabilidad en D-Link DSL6740C (CVE-2024-11062)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    El módem D-Link DSL6740C tiene una vulnerabilidad de inyección de comandos del sistema operativo, que permite a atacantes remotos con privilegios de administrador inyectar y ejecutar comandos de sistema arbitrarios a través de una funcionalidad específica proporcionada por SSH y Telnet.
  • Vulnerabilidad en D-Link DSL6740C (CVE-2024-11063)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    El módem D-Link DSL6740C tiene una vulnerabilidad de inyección de comandos del sistema operativo, que permite a atacantes remotos con privilegios de administrador inyectar y ejecutar comandos de sistema arbitrarios a través de una funcionalidad específica proporcionada por SSH y Telnet.
  • Vulnerabilidad en D-Link DSL6740C (CVE-2024-11064)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    El módem D-Link DSL6740C tiene una vulnerabilidad de inyección de comandos del sistema operativo, que permite a atacantes remotos con privilegios de administrador inyectar y ejecutar comandos de sistema arbitrarios a través de una funcionalidad específica proporcionada por SSH y Telnet.
  • Vulnerabilidad en D-Link DSL6740C (CVE-2024-11065)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    El módem D-Link DSL6740C tiene una vulnerabilidad de inyección de comandos del sistema operativo, que permite a atacantes remotos con privilegios de administrador inyectar y ejecutar comandos de sistema arbitrarios a través de una funcionalidad específica proporcionada por SSH y Telnet.
  • Vulnerabilidad en D-Link DSL6740C (CVE-2024-11066)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    El módem D-Link DSL6740C tiene una vulnerabilidad de inyección de comandos del sistema operativo, que permite a atacantes remotos con privilegios de administrador inyectar y ejecutar comandos de sistema arbitrarios a través de la página web específica.
  • Vulnerabilidad en D-Link DSL6740C (CVE-2024-11067)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    El módem D-Link DSL6740C tiene una vulnerabilidad de Path Traversal, que permite a atacantes remotos no autenticados aprovechar esta vulnerabilidad para leer archivos arbitrarios del sistema. Además, dado que la contraseña predeterminada del dispositivo es una combinación de la dirección MAC, los atacantes pueden obtener la dirección MAC a través de esta vulnerabilidad e intentar iniciar sesión en el dispositivo utilizando la contraseña predeterminada.
  • Vulnerabilidad en D-Link DSL6740C (CVE-2024-11068)
    Severidad: CRÍTICA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 15/11/2024
    El módem D-Link DSL6740C tiene una vulnerabilidad de uso incorrecto de API privilegiadas, que permite a atacantes remotos no autenticados modificar la contraseña de cualquier usuario aprovechando la API, otorgando así acceso a servicios web, SSH y Telnet utilizando la cuenta de ese usuario.
  • Vulnerabilidad en Dell SmartFabric OS10 (CVE-2024-48838)
    Severidad: BAJA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    El software Dell SmartFabric OS10, versiones 10.5.6.x, 10.5.5.x, 10.5.4.x, 10.5.3.x, contiene una vulnerabilidad de acceso a archivos o directorios por parte de terceros. Un atacante con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que le permitiría acceder al sistema de archivos.
  • Vulnerabilidad en Dell SmartFabric OS10 (CVE-2024-49557)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    El software Dell SmartFabric OS10, versiones 10.5.6.x, 10.5.5.x, 10.5.4.x, 10.5.3.x, contiene una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando ('inyección de comando'). Un atacante con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la ejecución de código.
  • Vulnerabilidad en Dell SmartFabric OS10 (CVE-2024-49558)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    El software Dell SmartFabric OS10, versiones 10.5.6.x, 10.5.5.x, 10.5.4.x, 10.5.3.x, contiene una vulnerabilidad de administración de privilegios incorrecta. Un atacante con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría una elevación de privilegios.
  • Vulnerabilidad en Dell SmartFabric OS10 (CVE-2024-49560)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    El software Dell SmartFabric OS10, versiones 10.5.6.x, 10.5.5.x, 10.5.4.x, 10.5.3.x, contiene una vulnerabilidad de inyección de comandos. Un atacante con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la ejecución de comandos.
  • Vulnerabilidad en Mendix Runtime (CVE-2024-50313)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    Se ha identificado una vulnerabilidad en Mendix Runtime V10 (todas las versiones anteriores a la V10.16.0, solo si la aplicación utiliza el mecanismo de autenticación básica), Mendix Runtime V10.12 (todas las versiones anteriores a la V10.12.7, solo si la aplicación utiliza el mecanismo de autenticación básica), Mendix Runtime V10.6 (todas las versiones anteriores a la V10.6.15, solo si la aplicación utiliza el mecanismo de autenticación básica), Mendix Runtime V8 (todas las versiones), Mendix Runtime V9 (todas las versiones anteriores a la V9.24.29, solo si la aplicación utiliza el mecanismo de autenticación básica). La implementación de autenticación básica de las aplicaciones afectadas contiene una vulnerabilidad de condición de ejecución que podría permitir a atacantes remotos no autenticados eludir las medidas de bloqueo de cuentas predeterminadas.
  • Vulnerabilidad en code-projects Job Recruitment (CVE-2024-11127)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    Se ha encontrado una vulnerabilidad en code-projects Job Recruitment hasta la versión 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo admin.php. La manipulación del argumento userid conduce a una inyección SQL. El ataque se puede lanzar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en ZZCMS (CVE-2024-11130)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    Se ha detectado una vulnerabilidad en ZZCMS hasta 2023. Se ha calificado como problemática. Este problema afecta a una funcionalidad desconocida del archivo /admin/msg.php. La manipulación de la palabra clave del argumento provoca Cross Site Scripting. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2024-21949)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    La validación incorrecta de la entrada del usuario en el controlador NPU podría permitir que un atacante proporcione un búfer con un tamaño inesperado, lo que podría provocar un bloqueo del sistema.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2024-21974)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    Una validación de entrada incorrecta en el controlador NPU podría permitir que un atacante proporcione un puntero especialmente manipulado que podría conducir a la ejecución de código arbitrario.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2024-21975)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 15/11/2024
    Una validación de entrada incorrecta en el controlador NPU podría permitir que un atacante proporcione un puntero especialmente manipulado que podría conducir a la ejecución de código arbitrario.