Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en TouchLink (CVE-2023-41094)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2023
    Fecha de última actualización: 10/10/2023
    Los paquetes TouchLink procesados después del tiempo de espera o fuera del alcance debido a la operación de un recurso después de la caducidad y la falta de liberación del recurso después de la vida útil efectiva pueden permitir que se agregue un dispositivo fuera del alcance válido de TouchLink o de la duración del emparejamiento. Este problema afecta a Ember ZNet 7.1.x desde 7.1 .3 a 7.1.5; 7.2.x desde 7.2.0 hasta 7.2.3; La versión 7.3 y posteriores no se ven afectadas
  • Vulnerabilidad en Soft Serve (CVE-2023-43809)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2023
    Fecha de última actualización: 10/10/2023
    Soft Serve es un servidor Git autohospedable para la línea de comandos. Antes de la versión 0.6.2, una vulnerabilidad de seguridad en Soft Serve podría permitir a un atacante remoto no autenticado eludir la autenticación de clave pública cuando la autenticación SSH interactiva con teclado está activa, a través de la configuración "allow-keyless", y la clave pública requiere verificación adicional del lado del cliente, por ejemplo, utilizando FIDO2 o GPG. Esto se debe a procedimientos de validación insuficientes del paso de la clave pública durante el protocolo de enlace de solicitud SSH, lo que otorga acceso no autorizado si se utiliza el modo de interacción con el teclado. Un atacante podría aprovechar esta vulnerabilidad presentando solicitudes SSH manipuladas utilizando el modo de autenticación interactivo con teclado. Potencialmente, esto podría resultar en un acceso no autorizado al Soft Serve. Los usuarios deben actualizar a la última versión de Soft Serve `v0.6.2` para recibir el parche para este problema. Como workaround esta vulnerabilidad sin realizar una actualización, los usuarios pueden desactivar temporalmente la autenticación SSH interactiva con teclado utilizando la configuración "allow-keyless".
  • Vulnerabilidad en IQ Engine (CVE-2023-35803)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2023
    Fecha de última actualización: 10/10/2023
    IQ Engine anterior a 10.6r2 en dispositivos Extreme Network AP tiene un desbordamiento de búfer.
  • Vulnerabilidad en Digital China Networks DCFW-1800-SDC v.3.0 (CVE-2023-43321)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2023
    Fecha de última actualización: 10/10/2023
    Vulnerabilidad de carga de archivos en Digital China Networks DCFW-1800-SDC v.3.0 permite a un atacante autenticado ejecutar código arbitrario a través de la función wget en el componente /sbin/cloudadmin.sh.
  • Vulnerabilidad en CodePeople CP Blocks (CVE-2023-41732)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento CodePeople CP Blocks en versiones <= 1.0.20.
  • Vulnerabilidad en AWP Classifieds Team Ad Directory & Listings by AWP Classifieds (CVE-2023-41801)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento AWP Classifieds Team Ad Directory & Listings by AWP Classifieds en versiones <= 4.3.
  • Vulnerabilidad en Laposta (CVE-2023-41950)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Laposta - en el complemento Roel Bousardt Laposta Signup Basic en versiones <= 1.4.1.
  • Vulnerabilidad en Checkfront Inc. Checkfront Online Booking System (CVE-2023-44146)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Checkfront Inc. Checkfront Online Booking System en versiones <= 3.6.
  • Vulnerabilidad en QNAP (CVE-2023-32972)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.0.1.2425 compilación 20230609 y posteriores QTS 5.1.0.2444 compilación 20230629 y posteriores QTS 4.5.4.2467 compilación 20230718 y posteriores QuTS hero h5.0.1.2515 compilación 20230907 y posteriores QuTS hero h5. 1.0.2424 compilación 20230609 y posteriores QuTS hero h4.5.4.2476 compilación 20230728 y posteriores QuTScloud c5.1.0.2498 y posteriores
  • Vulnerabilidad en Puppet Bolt (CVE-2023-5214)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    En las versiones de Puppet Bolt anteriores a la 3.27.4, se identificó una ruta para escalar privilegios.
  • Vulnerabilidad en IBM Jazz Foundation (CVE-2022-34355)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    IBM Jazz Foundation (IBM Engineering Lifecycle Management 6.0.6, 6.0.6.1, 7.0, 7.0.1 y 7.0.2) podría revelar información confidencial de la versión a un usuario que podría usarse en futuros ataques contra el sistema. ID de IBM X-Force: 230498.
  • Vulnerabilidad en Zephyr CAN bus (CVE-2023-3725)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 10/10/2023
    Posible vulnerabilidad de desbordamiento del búfer en el subsistema Zephyr CAN bus
  • Vulnerabilidad en Hex-Dragon Plain Craft Launcher 2 (CVE-2023-36123)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/10/2023
    Fecha de última actualización: 10/10/2023
    Vulnerabilidad de Directory Traversal en Hex-Dragon Plain Craft Launcher 2 versión Alpha 1.3.9, permite a atacantes locales ejecutar código arbitrario y obtener información confidencial.