Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en LG Mobile (CVE-2023-44125)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    La vulnerabilidad es el uso de PendingIntents implícitos sin el conjunto PendingIntent.FLAG_IMMUTABLE que conduce al robo y/o (sobre)escritura de archivos arbitrarios con privilegios del sistema en la aplicación de servicio personalizado ("com.lge.abba"). La aplicación del atacante, si tuviera acceso a las notificaciones de la aplicación, podría interceptarlas y redirigirlas a su actividad, antes de otorgar permisos de acceso a los proveedores de contenido con el indicador `android:grantUriPermissions="true"`.
  • Vulnerabilidad en LG Mobile (CVE-2023-44126)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    La vulnerabilidad es que la aplicación de administración de llamadas ("com.android.server.telecom") parcheada por LG envía muchas transmisiones implícitas propiedad de LG que revelan datos sensibles a todas las aplicaciones de terceros instaladas en el mismo dispositivo. Esas intenciones incluyen datos como estados de llamadas, duraciones, números llamados, información de contactos, etc.
  • Vulnerabilidad en Plus Ver9.0.3 (CVE-2023-43825)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    La vulnerabilidad de path traversal relative en Shihonkanri Plus Ver9.0.3 y versiones anteriores permite a un atacante local ejecutar un código arbitrario haciendo que un usuario legítimo importe un archivo de copia de seguridad del producto especialmente manipulado.
  • Vulnerabilidad en LG Mobile (CVE-2023-44127)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    La vulnerabilidad es que la aplicación de administración de Llamadas ("com.android.server.telecom") parcheada por LG lanza intenciones implícitas que revelan datos sensibles a todas las aplicaciones de terceros instaladas en el mismo dispositivo. Esas intenciones incluyen datos como detalles de contacto y números de teléfono.
  • Vulnerabilidad en MariaDB (CVE-2023-5157)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    Se encontró una vulnerabilidad en MariaDB. Un escaneo de puertos OpenVAS en los puertos 3306 y 4567 permite que un cliente remoto malicioso provoque una denegación de servicio.
  • Vulnerabilidad en JumpServer (CVE-2023-43651)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    JumpServer es un host de bastionado de código abierto. Un usuario autenticado puede aprovechar una vulnerabilidad en las sesiones de MongoDB para ejecutar comandos arbitrarios, lo que lleva a la ejecución remota de código. Esta vulnerabilidad puede aprovecharse aún más para obtener privilegios de root en el sistema. A través de la interfaz WEB CLI proporcionada por el componente koko, un usuario inicia sesión en la base de datos mongoDB autorizada y explota la sesión de MongoDB para ejecutar comandos arbitrarios. Esta vulnerabilidad se ha solucionado en las versiones 2.28.20 y 3.7.1. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en JFinalcms (CVE-2023-43192)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    La inyección SQL puede existir en una parte recién creada del background de JFinalcms y los parámetros enviados por los usuarios no se filtran. Como resultado, los caracteres especiales en los parámetros destruyen la lógica original de las declaraciones SQL. Los atacantes pueden utilizar esta vulnerabilidad para ejecutar cualquier declaración SQL
  • Vulnerabilidad en JFinalCMS (CVE-2023-43191)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 02/10/2023
    El mensaje de primer plano de JFinalCMS puede incluir código malicioso guardado en la base de datos. Cuando los usuarios navegan por los comentarios, estos códigos maliciosos incrustados en el HTML se ejecutarán y el atacante controlará el navegador del usuario para lograr el propósito especial del atacante, como el robo de cookies.
  • Vulnerabilidad en Online Book Store Project v1.0 (CVE-2023-43740)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/09/2023
    Fecha de última actualización: 02/10/2023
    Online Book Store Project v1.0 es vulnerable a una vulnerabilidad de carga de archivos insegura en el parámetro 'image' de la página admin_edit.php, lo que permite a un atacante autenticado obtener la ejecución remota de código en el servidor que aloja la aplicación.
  • Vulnerabilidad en pretix (CVE-2023-44464)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 02/10/2023
    pretix antes de 2023.7.2 permite a Pillow analizar archivos EPS.