Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Dairy Farm Shop Management System (CVE-2020-36062)
    Severidad: ALTA
    Fecha de publicación: 11/02/2022
    Fecha de última actualización: 04/10/2023
    Se ha detectado que Dairy Farm Shop Management System versión v1.0, contiene credenciales embebidas en el código fuente que permiten a atacantes acceder al panel de control si están comprometidos
  • Vulnerabilidad en una petición POST en Online Banquet Booking System (CVE-2022-28992)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2022
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en Online Banquet Booking System versión v1.0, permite a atacantes cambiar las credenciales de administrador por medio de una petición POST diseñada
  • Vulnerabilidad en el parámetro searchdata en el archivo search-dirctory.php en Directory Management System (CVE-2022-31382)
    Severidad: ALTA
    Fecha de publicación: 16/06/2022
    Fecha de última actualización: 04/10/2023
    Se ha detectado que Directory Management System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro searchdata en el archivo search-dirctory.php
  • Vulnerabilidad en el parámetro editid en el archivo view-directory.php en Directory Management System (CVE-2022-31383)
    Severidad: ALTA
    Fecha de publicación: 16/06/2022
    Fecha de última actualización: 04/10/2023
    Se ha detectado que Directory Management System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro editid en el archivo view-directory.php
  • Vulnerabilidad en el parámetro fullname en el archivo add-directory.php en Directory Management System (CVE-2022-31384)
    Severidad: ALTA
    Fecha de publicación: 16/06/2022
    Fecha de última actualización: 04/10/2023
    Se ha detectado que Directory Management System versión v1.0, contiene una vulnerabilidad de inyección SQL por medio del parámetro fullname en el archivo add-directory.php
  • Vulnerabilidad en el archivo bwdate-report-ds.php en Dairy Farm Shop Management System (CVE-2022-40943)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/09/2022
    Fecha de última actualización: 04/10/2023
    Dairy Farm Shop Management System versión 1.0, es vulnerable a una inyección de SQL por medio del archivo bwdate-report-ds.php
  • Vulnerabilidad en el archivo sales-report-ds.php en Dairy Farm Shop Management System (CVE-2022-40944)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/09/2022
    Fecha de última actualización: 04/10/2023
    Dairy Farm Shop Management System versión 1.0, es vulnerable a una inyección de SQL por medio del archivo sales-report-ds.php
  • Vulnerabilidad en los parámetros username y password en Cyber Cafe Management System Project (CVE-2022-29009)
    Severidad: ALTA
    Fecha de publicación: 11/05/2022
    Fecha de última actualización: 04/10/2023
    Múltiples vulnerabilidades de inyección SQL por medio de los parámetros username y password en el panel de administración de Cyber Cafe Management System Project versión v1.0, permiten a atacantes omitir la autenticación
  • Vulnerabilidad en los parámetros username y password en Admin panel of Directory Management System (CVE-2022-29006)
    Severidad: ALTA
    Fecha de publicación: 11/05/2022
    Fecha de última actualización: 04/10/2023
    Múltiples vulnerabilidades de inyección SQL por medio de los parámetros username y password en Admin panel of Directory Management System versión v1.0, permiten a atacantes omitir la autenticación
  • Vulnerabilidad en los parámetros username y password en Dairy Farm Shop Management System (CVE-2022-29007)
    Severidad: ALTA
    Fecha de publicación: 11/05/2022
    Fecha de última actualización: 04/10/2023
    Múltiples vulnerabilidades de inyección SQL por medio de los parámetros username y password en el panel de administración de Dairy Farm Shop Management System versión v1.0, permiten a atacantes omitir la autenticación
  • Vulnerabilidad en Dairy Farm Shop Management System Using PHP and MySQL (CVE-2023-41594)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/09/2023
    Fecha de última actualización: 04/10/2023
    Se ha descubierto que Dairy Farm Shop Management System Using PHP and MySQL v1.1 contiene múltiples vulnerabilidades de inyección SQL en la función de inicio de sesión a través de los parámetros de nombre de usuario y contraseña.
  • Vulnerabilidad en Viessmann Vitogate 300 (CVE-2023-5222)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad fue encontrada en Viessmann Vitogate 300 hasta 2.1.3.0 y clasificada como crítica. Esta vulnerabilidad afecta la función isValidUser del archivo /cgi-bin/vitogate.cgi del componente Web Management Interface. La manipulación conduce al uso de una contraseña codificada. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-240364. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en WhiteHSBG JNDIExploit 1.4 (CVE-2023-5257)
    Severidad: BAJA
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 04/10/2023
    Se encontró una vulnerabilidad en WhiteHSBG JNDIExploit 1.4 en Windows. Ha sido calificado como problemático. La función handleFileRequest del archivo src/main/java/com/feihong/ldap/HTTPServer.java es afectada por esta vulnerabilidad. La manipulación conduce al path traversal. El exploit ha sido divulgado al público y puede utilizarse. VDB-240866 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Mali GPU Kernel Driver (CVE-2023-4211)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/10/2023
    Fecha de última actualización: 04/10/2023
    Un usuario local sin privilegios puede realizar operaciones inadecuadas de procesamiento de la memoria de la GPU para obtener acceso a la memoria ya liberada.
  • Vulnerabilidad en Ingeteam (CVE-2023-3770)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de validación incorrecta de los datos ingresados, permitiendo a un atacante con acceso a la red en la que se encuentra el dispositivo afectado utilizar el protocolo de puerto de descubrimiento (1925/UDP) para obtener información específica del dispositivo sin necesidad de autenticación.
  • Vulnerabilidad en Free5Gc (CVE-2023-4659)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery, cuya explotación podría permitir a un atacante realizar diferentes acciones en la plataforma como administrador, simplemente cambiando el valor del token a "admin". También es posible realizar solicitudes POST, GET y DELETE sin ningún valor de token. Por lo tanto, un usuario remoto sin privilegios puede crear, eliminar y modificar usuarios dentro de la aplicación.
  • Vulnerabilidad en Mosquitto (CVE-2023-0809)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    En Mosquitto anterior a 2.0.16, el exceso de memoria se asigna en función de paquetes iniciales maliciosos que no son paquetes CONNECT.
  • Vulnerabilidad en baramundi software GmbH EMM Agent 23.1.50 (CVE-2023-37605)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de desbordamiento de búfer en baramundi software GmbH EMM Agent 23.1.50 y anteriores permite a un atacante provocar una denegación de servicio mediante una solicitud manipulada al parámetro de contraseña.
  • Vulnerabilidad en Mosquitto (CVE-2023-3592)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    En Mosquitto anterior a 2.0.16, se produce una pérdida de memoria cuando los clientes envían paquetes CONNECT v5 con un mensaje de voluntad que contiene tipos de propiedades no válidos.
  • Vulnerabilidad en Super Store Finder 3.7 (CVE-2023-43835)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Super Store Finder 3.7 y versiones anteriores son vulnerables a la inyección de código PHP arbitrario autenticado que podría provocar la ejecución remota de código cuando la configuración sobrescribe el contenido de config.inc.php.
  • Vulnerabilidad en Netis N3Mv2-V1.0.1.865 (CVE-2023-43890)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se descubrió que Netis N3Mv2-V1.0.1.865 contiene una vulnerabilidad de inyección de comandos en la página de herramientas de diagnóstico. Esta vulnerabilidad se explota mediante una solicitud HTTP manipulada.
  • Vulnerabilidad en emlog pro v2.1.14 (CVE-2023-43267)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad de Cross-Site Scripting (XSS) en la función de publicación de artículos de emlog pro v2.1.14 permite a los atacantes ejecutar scripts web o HTML de su elección a través de un payload manipulado inyectado en el campo del título.
  • Vulnerabilidad en Deyue Remote Vehicle Management System v1.1 (CVE-2023-43268)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se descubrió que Deyue Remote Vehicle Management System v1.1 contiene una vulnerabilidad de deserialización.
  • Vulnerabilidad en animal-art-lab v13.6.1 (CVE-2023-43297)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Un problema en animal-art-lab v13.6.1 permite a los atacantes enviar notificaciones manipuladas mediante la fuga del token de acceso al canal.
  • Vulnerabilidad en Vorbis-tools v.1.4.2 (CVE-2023-43361)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    La vulnerabilidad de desbordamiento de búfer en Vorbis-tools v.1.4.2 permite a un atacante local ejecutar código arbitrario y provocar una denegación de servicio durante la conversión de archivos wav a archivos ogg.
  • Vulnerabilidad en Jizhicms 2.4.9 (CVE-2023-43836)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Existe una vulnerabilidad de inyección SQL en el backend de Jizhicms 2.4.9, que los usuarios pueden utilizar para obtener información de la base de datos.
  • Vulnerabilidad en mojoPortal v.2.7.0.0 (CVE-2023-44008)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de carga de archivos en mojoPortal v.2.7.0.0 permite a un atacante remoto ejecutar código arbitrario a través de la función Administrador de Archivos.
  • Vulnerabilidad en mojoPortal v.2.7.0.0 (CVE-2023-44009)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    La vulnerabilidad de carga de archivos en mojoPortal v.2.7.0.0 permite a un atacante remoto ejecutar código arbitrario a través de la función Skin Management.
  • Vulnerabilidad en Netis N3Mv2-V1.0.1.865 (CVE-2023-43891)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se descubrió que Netis N3Mv2-V1.0.1.865 contiene una vulnerabilidad de inyección de comandos en la función de cambio de nombre de usuario y contraseña. Esta vulnerabilidad se explota mediante un payload manipulado.
  • Vulnerabilidad en Netis N3Mv2-V1.0.1.865 (CVE-2023-43892)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se descubrió que Netis N3Mv2-V1.0.1.865 contenía una vulnerabilidad de inyección de comandos a través del parámetro Hostname dentro de la configuración de WAN. Esta vulnerabilidad se explota mediante un payload manipulado.
  • Vulnerabilidad en Netis N3Mv2-V1.0.1.865 (CVE-2023-43893)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se descubrió que Netis N3Mv2-V1.0.1.865 contenía una vulnerabilidad de inyección de comandos a través del parámetro wakeup_mac en la función Wake-On-LAN (WoL). Esta vulnerabilidad se explota mediante un payload manipulado.
  • Vulnerabilidad en mojoPortal v.2.7.0.0 (CVE-2023-44011)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Un problema en mojoPortal v.2.7.0.0 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado en el archivo de skin layout.master en el componente de administración de skin.
  • Vulnerabilidad en mojoPortal v.2.7.0.0 (CVE-2023-44012)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad de Cross-Site Scripting (XSS) en mojoPortal v.2.7.0.0 permite a un atacante remoto ejecutar código arbitrario a través del parámetro helpkey en el componente Help.aspx.
  • Vulnerabilidad en ACERA (CVE-2023-39222)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    La vulnerabilidad de inyección de comandos del sistema operativo en dispositivos de punto de acceso de LAN inalámbrica de FURUNO SYSTEMS permite a un usuario autenticado ejecutar un comando del sistema operativo arbitrario que no está destinado a ejecutarse desde la interfaz web mediante el envío de una solicitud especialmente manipulada. Los productos y versiones afectados son los siguientes: ACERA 1320 firmware ver.01.26 y anteriores, ACERA 1310 firmware ver.01.26 y anteriores, ACERA 1210 firmware ver.02.36 y anteriores, ACERA 1150i firmware ver.01.35 y anteriores, ACERA 1150w firmware ver.01.35 y anteriores, firmware ACERA 1110 versión 01.76 y anteriores, firmware ACERA 1020 versión 01.86 y anteriores, firmware ACERA 1010 versión 01.86 y anteriores, firmware ACERA 950 versión 01.60 y anteriores, firmware ACERA 850F versión 01.60 y anteriores, ACERA 900 firmware versión 02.54 y anterior, firmware ACERA 850M versión 02.06 y anterior, firmware ACERA 810 versión 03.74 y anterior, y firmware ACERA 800ST versión 07.35 y anterior. Se ven afectados cuando se ejecutan en modo ST (Standalone).
  • Vulnerabilidad en ACERA (CVE-2023-39429)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad de Cross-Site Scripting (XSS) en dispositivos de punto de acceso LAN inalámbrico de FURUNO SYSTEMS permite a un usuario autenticado inyectar un script arbitrario a través de una configuración manipulada. Los productos y versiones afectados son los siguientes: ACERA 1210 firmware ver.02.36 y anteriores, ACERA 1150i firmware ver.01.35 y anteriores, ACERA 1150w firmware ver.01.35 y anteriores, ACERA 1110 firmware ver.01.76 y anteriores, ACERA 1020 firmware ver.01.86 y anteriores, firmware ACERA 1010 versión 01.86 y anteriores, firmware ACERA 950 versión 01.60 y anteriores, firmware ACERA 850F versión 01.60 y anteriores, firmware ACERA 900 versión 02.54 y anteriores, firmware ACERA 850M versión 02.06 y anteriores, ACERA 810 firmware versión 03.74 y anterior, y firmware ACERA 800ST versión 07.35 y anterior. Se ven afectados cuando se ejecutan en modo ST (independiente).
  • Vulnerabilidad en ACERA (CVE-2023-41086)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Existe una vulnerabilidad de Cross-site request forgery (CSRF) en los dispositivos de punto de acceso de LAN inalámbrica de FURUNO SYSTEMS. Si un usuario ve una página maliciosa mientras está conectado, se pueden realizar operaciones no deseadas. Los productos y versiones afectados son los siguientes: ACERA 1210 firmware ver.02.36 y anteriores, ACERA 1150i firmware ver.01.35 y anteriores, ACERA 1150w firmware ver.01.35 y anteriores, ACERA 1110 firmware ver.01.76 y anteriores, ACERA 1020 firmware ver.01.86 y anteriores, firmware ACERA 1010 versión 01.86 y anteriores, firmware ACERA 950 versión 01.60 y anteriores, firmware ACERA 850F versión 01.60 y anteriores, firmware ACERA 900 versión 02.54 y anteriores, firmware ACERA 850M versión 02.06 y anteriores, ACERA 810 firmware versión 03.74 y anterior, y firmware ACERA 800ST versión 07.35 y anterior. Se ven afectados cuando se ejecutan en modo ST (independiente).
  • Vulnerabilidad en ACERA 1320 y ACERA 1310 (CVE-2023-42771)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de omisión de autenticación en el firmware ACERA 1320 versión 01.26 y anteriores, y en el firmware ACERA 1310 versión 01.26 y anteriores, permite que un atacante no autenticado adyacente a la red que puede acceder al producto afectado descargue archivos de configuración y/o archivos de registro, y cargue archivos de configuración y /o firmware. Se ven afectados cuando se ejecutan en modo ST (independiente).
  • Vulnerabilidad en ACERA 1320 y ACERA 1310 (CVE-2023-43627)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de path traversal en el firmware ACERA 1320 versión 01.26 y anteriores, y en el firmware ACERA 1310 versión 01.26 y anteriores permite que un atacante autenticado adyacente a la red altere información crítica, como archivos del sistema, mediante el envío de una solicitud especialmente manipulada. Se ven afectados cuando se ejecutan en modo ST (Standalone).
  • Vulnerabilidad en Hitachi Ops Center (CVE-2023-3967)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    La asignación de recursos sin límites o la vulnerabilidad de limitación en los servicios comunes de Hitachi Ops Center en Linux permite DoS. Este problema afecta a los servicios comunes de Hitachi Ops Center: anteriores a 10.9.3-00.
  • Vulnerabilidad en WP Responsive para WordPress (CVE-2023-5334)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    El complemento de control deslizante de imagen de encabezado WP Responsive para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenada a través del código corto 'sp_responsiveslider' en versiones hasta la 3.2.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en kernel de Linux (CVE-2023-5345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Se puede explotar una vulnerabilidad de use-after-free en el componente fs/smb/client del kernel de Linux para lograr una escalada de privilegios local. En caso de un error en smb3_fs_context_parse_param, se liberó ctx->password pero el campo no se configuró en NULL, lo que podría provocar una doble liberación. Recomendamos actualizar al commit anterior e6e43b8aa7cd3c3af686caf0c2e11819a886d705.
  • Vulnerabilidad en asyncua (CVE-2023-26150)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Las versiones del paquete asyncua anteriores a la 0.9.96 son vulnerables a una autenticación incorrecta, por lo que es posible acceder al espacio de direcciones sin cifrado ni autenticación. **Nota:** Este problema se debe a que faltan comprobaciones de servicios que requieren una sesión activa.
  • Vulnerabilidad en asyncua (CVE-2023-26151)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Las versiones del paquete asyncua anteriores a la 0.9.96 son vulnerables a la denegación de servicio (DoS), de modo que un atacante puede enviar un paquete con formato incorrecto y, como resultado, el servidor entrará en un bucle infinito y consumirá memoria excesiva.
  • Vulnerabilidad en static-server (CVE-2023-26152)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Todas las versiones del paquete static-server son vulnerables a Directory Traversal debido a una sanitización de entrada inadecuada pasada a través de la función validPath de server.js.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-21673)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    El acceso inadecuado al administrador de recursos de la máquina virtual puede provocar daños en la memoria.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-22382)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Configuración débil en Automotive mientras VM procesa una solicitud de escucha de TEE.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-22384)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Corrupción de la memoria en el servicio VR al enviar datos mediante Fast Message Queue (FMQ).
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-22385)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Corrupción de la memoria en el módem de datos al realizar una llamada MO o una llamada MT VOLTE.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24843)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    DOS transitorio en el módem mientras se activa una acampada en una celda 5G.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24844)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Corrupción de la memoria en el núcleo al invocar una llamada a la librería central de control de acceso con un rango de direcciones protegido por hardware.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24847)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    DOS transitorio en el módem mientras se asignan elementos DSM.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24848)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Divulgación de información en el Modem de datos mientras se realiza una llamada VoLTE con un valor de línea RTCP FB indefinido.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24849)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Divulgación de información en el Modem de datos mientras se analiza una línea FMTP en un mensaje SDP.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24850)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Corrupción de la memoria en HLOS al importar una clave criptográfica en la aplicación de confianza KeyMaster.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24853)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Notificación de corrupción de memoria en HLOS al registrarse para el aprovisionamiento de claves.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-24855)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Corrupción de la memoria en el Modem mientras se procesa la configuración relacionada con la seguridad antes de AS Security Exchange.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-28539)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Corrupción de la memoria en WLAN Host cuando el firmware invoca varios comandos de servicio WMI disponible.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-28540)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Problema criptográfico en Data Modem debido a una autenticación incorrecta durante el protocolo de enlace TLS.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-28571)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Divulgación de información en WLAN HOST mientras se procesa la lista de descriptores de escaneo de WLAN durante el escaneo de roaming.
  • Vulnerabilidad en productos Qualcomm Automotive Audio (CVE-2023-33026)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    DOS transitorio en el WLAN Firmware mientras se analiza un frame de administración NAN.
  • Vulnerabilidad en cashIT! - serving solutions (CVE-2023-3655)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    cashIT! - serving solutions. Los dispositivos desde "PoS/ Dienstleistung, Entwicklung & Vertrieb GmbH" hasta 03.A06rks 2023.02.37 se ven afectados por métodos peligrosos que permiten filtrar la base de datos (configuraciones del sistema, cuentas de usuario,...). Esta vulnerabilidad puede ser provocada por un endpoint HTTP expuesto a la red.
  • Vulnerabilidad en cashIT! - serving solutions (CVE-2023-3656)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    cashIT! - serving solutions. Los dispositivos desde "PoS/ Dienstleistung, Entwicklung & Vertrieb GmbH" hasta 03.A06rks 2023.02.37 se ven afectados por una vulnerabilidad de ejecución remota de código no autenticado. Esta vulnerabilidad puede ser provocada por un endpoint HTTP expuesto a la red.
  • Vulnerabilidad en MSI SonicWall Net Extender (CVE-2023-44217)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad de escalada de privilegios local en el cliente MSI SonicWall Net Extender para Windows 10.2.336 y versiones anteriores permite a un usuario local con pocos privilegios obtener privilegios de System mediante la ejecución de la funcionalidad de reparación.
  • Vulnerabilidad en SonicWall NetExtender Pre-Logon (CVE-2023-44218)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Una falla dentro de la función SonicWall NetExtender Pre-Logon permite que un usuario no autorizado obtenga acceso al sistema operativo Windows host con privilegios de nivel 'SYSTEM', lo que genera una vulnerabilidad de escalada de privilegios local (LPE).
  • Vulnerabilidad en cashIT! - serving solutions (CVE-2023-3654)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    cashIT! - serving solutions. Los dispositivos desde "PoS/ Dienstleistung, Entwicklung & Vertrieb GmbH" hasta 03.A06rks 2023.02.37 se ven afectados por una omisión de origen a través del encabezado del host en una solicitud HTTP. Esta vulnerabilidad puede ser provocada por un endpoint HTTP expuesto a la red.
  • Vulnerabilidad en OptiMonk (CVE-2023-37891)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en OptiMonk en el complemento OptiMonk: Popups, Personalization & A/B Testing en versiones <= 2.0.4.
  • Vulnerabilidad en Monchito.Net WP Emoji One (CVE-2023-37991)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Monchito.Net WP Emoji One en versiones <= 0.6.0.
  • Vulnerabilidad en PressPage Entertainment Inc. para WordPress (CVE-2023-37992)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Smarty de PressPage Entertainment Inc. para WordPress en versiones <= 3.1.35.
  • Vulnerabilidad en GTmetrix GTmetrix para WordPress (CVE-2023-37996)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en GTmetrix GTmetrix para el complemento de WordPress en versiones <= 0.4.7.
  • Vulnerabilidad en Saas Disabler (CVE-2023-37998)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Saas Disabler en versiones <= 3.0.3.
  • Vulnerabilidad en Cyle Conoly WP-FlyBox (CVE-2023-38381)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Cyle Conoly WP-FlyBox en versiones <= 6.46.
  • Vulnerabilidad en Taboola (CVE-2023-38398)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Taboola en versiones <= 2.0.1.
  • Vulnerabilidad en IDM Sistemas QSige (CVE-2023-4097)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    La funcionalidad de carga de archivos no está implementada correctamente y permite cargar cualquier tipo de archivo. Como requisito previo, es necesario que el atacante inicie sesión en la aplicación con un nombre de usuario válido.
  • Vulnerabilidad en NetMan 204 (CVE-2022-47891)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Todas las versiones de NetMan 204 permiten que un atacante que conozca la MAC y el número de serie del dispositivo restablezca la contraseña del administrador a través de la función de recuperación legítima.
  • Vulnerabilidad en NetMan 204 (CVE-2022-47892)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Todas las versiones de NetMan 204 podrían permitir que un atacante remoto no autenticado lea un archivo (config.cgi) que contenga información confidencial, como credenciales.
  • Vulnerabilidad en NetMan 204 (CVE-2022-47893)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Existe una vulnerabilidad de ejecución remota de código que afecta a todas las versiones de NetMan 204. Un atacante remoto podría cargar un archivo de firmware que contenga un webshell, que podría permitirle ejecutar código arbitrario como root.
  • Vulnerabilidad en Trustindex.Io WP Testimonials (CVE-2023-2830)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Trustindex.Io WP Testimonials en versiones <= 1.4.2.
  • Vulnerabilidad en Fetch Designs Sign-up Sheets (CVE-2023-39165)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Fetch Designs Sign-up Sheets en versiones <= 2.2.8.
  • Vulnerabilidad en Gallery Team Photo Gallery by Ays (CVE-2023-39917)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Gallery Team Photo Gallery by Ays – Responsive Image Gallery en versiones <= 5.2.6.
  • Vulnerabilidad en IDM Sistemas QSige (CVE-2023-4098)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Se ha identificado que la aplicación web no filtra correctamente los parámetros de entrada, permitiendo inyecciones SQL, DoS o divulgación de información. Como requisito previo, es necesario iniciar sesión en la aplicación.
  • Vulnerabilidad en salesagility/suitecrm de GitHub (CVE-2023-5350)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Inyección SQL en el repositorio de GitHub salesagility/suitecrm anterior a 7.14.1.
  • Vulnerabilidad en salesagility/suitecrm de GitHub (CVE-2023-5351)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Cross-Site Scripting (XSS) almacenado en el repositorio de GitHub salesagility/suitecrm antes de 7.14.1.
  • Vulnerabilidad en Soflyy Oxygen Builder (CVE-2022-46841)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Soflyy Oxygen Builder en versiones <= 4.4.
  • Vulnerabilidad en Pandora FMS (CVE-2023-0828)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad de Cross-site Scripting (XSS) en Syslog Section de Pandora FMS permite a un atacante hacer que el valor de la cookie del usuario se transfiera al servidor del usuario atacante. Este problema afecta a Pandora FMS versión v767 y versiones anteriores en todas las plataformas.
  • Vulnerabilidad en Pandora FMS (CVE-2023-24518)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Pandora FMS permite a un atacante obligar a los usuarios autenticados a enviar una solicitud a una aplicación web en la que están actualmente autenticados. Este problema afecta a Pandora FMS versión 767 y versiones anteriores en todas las plataformas.
  • Vulnerabilidad en Gopi Ramasamy (CVE-2023-25463)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Gopi Ramasamy en el complemento Gopi Ramasamy WP tell a friend popup form en versiones <= 7.1.
  • Vulnerabilidad en Mike Perelink Pro (CVE-2023-37990)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Mike Perelink Pro en versiones <= 2.1.4.
  • Vulnerabilidad en Anshul Labs Mobile Address Bar Changer (CVE-2023-38390)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Anshul Labs Mobile Address Bar Changer en versiones <= 3.0.
  • Vulnerabilidad en Alain González (CVE-2023-38396)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Alain González en versiones <= 3.1.2.