Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2003-0772
    Severidad: ALTA
    Fecha de publicación: 22/09/2003
    Fecha de última actualización: 11/10/2023
    Múltiples desboradamientos de búfer en WS_FTP 3 y 4 permite a usuarios remotos autenticados causar una denegación de servicio y posiblemente ejecutar código arbitrario mediaten argumentos APPEND o STAT (estado) largos.
  • CVE-2006-4847
    Severidad: MEDIA
    Fecha de publicación: 19/09/2006
    Fecha de última actualización: 11/10/2023
    Múltiples desbordamientos de búfer en Ipswitch WS_FTP Server 5.05 anterior al Hotfix 1 permiten a usuarios autenticados remotamente ejecutar código de su elección a través de comandos largos (1) XCRC, (2) XSHA1, o (3) XMD5.
  • CVE-2006-5000
    Severidad: MEDIA
    Fecha de publicación: 26/09/2006
    Fecha de última actualización: 11/10/2023
    Múltiples desbordamientos de búfer en WS_FTP Server 5.05 anterior a Hotfix 1, y posiblemente otras versiones anteriores a la 5.0, tienen impacto y vectores de ataque remotos autenticados desconocidos mediante los comandos (1) XCRC, (2) XMD5, y (3) XSHA1. NOTA: en la publicación anterior de este identificador en 26/09/2006, la descripción fue usada por el asunto equivocado.
  • CVE-2006-5001
    Severidad: MEDIA
    Fecha de publicación: 26/09/2006
    Fecha de última actualización: 11/10/2023
    Vulnerabilidad no especificada en el analizador de log en WS_FTP Server 5.05 anterior a Hotfix 1, y posiblemente versiones anteriores a la 5.0, previene que cierta información sensible sea mostrada en las pestañas (1) Files y (2) Summary. NOTA: en la publicación anterior de este identificador en 26/09/2006, la descripción fue usada para el asunto equivocado.
  • Vulnerabilidad en Ipswitch WS_FTP Server con SSH 6.1.0.0, desbordamiento de búfer (CVE-2008-0590)
    Severidad: ALTA
    Fecha de publicación: 05/02/2008
    Fecha de última actualización: 11/10/2023
    Desbordamiento de búfer en Ipswitch WS_FTP Server con SSH 6.1.0.0. Permite a usuarios remotamente autentificados provocar una denegación de servicio (caída) y posiblemente ejecutar código de su elección a través de un comando opendir largo.
  • Vulnerabilidad en SSHSeverAPI.dll (CVE-2019-12143)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2019
    Fecha de última actualización: 11/10/2023
    Fue descubierto un problema de cruce de directorios en SSHSeverAPI.dll en Progress Ipswitch WS_FTP Server 2018 anterior 8.6.1. un atacante puede suministrar una cadena usando patrones especiales mediante el protocolo SCP para revelar nombres de usuario así como nombres de archivos.
  • Vulnerabilidad en Statistics Library of GSL (CVE-2020-35357)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/08/2023
    Fecha de última actualización: 11/10/2023
    Puede producirse un Desbordamiento del Búfer al calcular el valor del cuantil utilizando Statistics Library of GSL (Biblioteca Científica GNU), versiones 2.5 y 2.6. El procesamiento de datos de entrada creados con fines maliciosos para gsl_stats_quantile_from_sorted_data de la librería puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
  • Vulnerabilidad en Font Awesome More Icons para Wordpress (CVE-2023-5233)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/09/2023
    Fecha de última actualización: 11/10/2023
    El complemento Font Awesome Integration para WordPress es vulnerable a Cross-Site Scripting almacenado a través de un código abreviado 'fawesome' en versiones hasta la 5.0 incluida, debido a una insuficiente sanitización de entrada y escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en huakecms 3.0 (CVE-2023-5264)
    Severidad: MEDIA
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 11/10/2023
    Una vulnerabilidad fue encontrada en huakecms 3.0 y clasificada como crítica. Una función desconocida del archivo /admin/cms_content.php es afectada por esta vulnerabilidad. La manipulación del argumento cid conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-240877.
  • Vulnerabilidad en OpenHook para WordPress (CVE-2023-5201)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/09/2023
    Fecha de última actualización: 11/10/2023
    El complemento OpenHook para WordPress es vulnerable a la ejecución remota de código en versiones hasta la 4.3.0 incluida a través del código corto 'php'. Esto permite a atacantes autenticados con permisos de nivel de suscriptor o superiores ejecutar código en el servidor. Esto requiere que la configuración del código corto [php] esté habilitada en el sitio vulnerable.
  • Vulnerabilidad en Blog Filter para WordPress (CVE-2023-5295)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/09/2023
    Fecha de última actualización: 11/10/2023
    El complemento Blog Filter para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto 'vivafbcomment' en versiones hasta la 1.4 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Nexkey (CVE-2023-43805)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2023
    Fecha de última actualización: 11/10/2023
    Nexkey es un fork de Misskey, una plataforma de redes sociales descentralizada y de código abierto. Antes de la versión 12.121.9, la validación de URL incompleta podía permitir a los usuarios omitir la autenticación para acceder al panel de la cola de trabajos. La versión 12.121.9 contiene una solución para este problema. Como workaround, es posible evitar esto bloqueando el acceso utilizando herramientas como WAF de Cloudflare.
  • Vulnerabilidad en WatchGuard EPDR 8.0.21.0002 (CVE-2023-26236)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/10/2023
    Fecha de última actualización: 11/10/2023
    Se descubrió un problema en WatchGuard EPDR 8.0.21.0002. Debido a una implementación débil del manejo de mensajes entre los procesos de WatchGuard EPDR, es posible realizar una escalada de privilegios locales en Windows enviando un mensaje manipulado a un pipe conocido.
  • Vulnerabilidad en WatchGuard EPDR 8.0.21.0002 (CVE-2023-26237)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/10/2023
    Fecha de última actualización: 11/10/2023
    Se descubrió un problema en WatchGuard EPDR 8.0.21.0002. Es posible evitar las capacidades defensivas agregando una clave de registro como SYSTEMA.
  • Vulnerabilidad en WatchGuard EPDR 8.0.21.0002 (CVE-2023-26238)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/10/2023
    Fecha de última actualización: 11/10/2023
    Se descubrió un problema en WatchGuard EPDR 8.0.21.0002. Es posible habilitar o deshabilitar capacidades defensivas enviando un mensaje manipulado a un pipe conocido.
  • Vulnerabilidad en WatchGuard EPDR 8.0.21.0002 (CVE-2023-26239)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/10/2023
    Fecha de última actualización: 11/10/2023
    Se descubrió un problema en WatchGuard EPDR 8.0.21.0002. Debido a una implementación débil de la verificación de contraseña, es posible obtener credenciales para acceder a la consola de administración como usuario sin privilegios.
  • Vulnerabilidad en Profile Extra Fields de BestWebSoft para WordPress (CVE-2023-4469)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    El complemento Profile Extra Fields de BestWebSoft para WordPress es vulnerable al acceso no autorizado a los datos debido a una falta de verificación de capacidad en la función prflxtrflds_export_file en versiones hasta la 1.2.7 incluida. Esto hace posible que atacantes no autenticados expongan datos de usuario potencialmente confidenciales, incluidos los datos ingresados en campos personalizados.
  • Vulnerabilidad en Turna Advertising (CVE-2023-4530)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("SQL Injection") en el Panel de administración de Turna Advertising permite la inyección de SQL. Este problema afecta al Panel de administración de publicidad: versiones anteriores a 1.1.
  • Vulnerabilidad en GDidees CMS 3.0 (CVE-2023-44758)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    GDidees CMS 3.0 se ve afectado por una vulnerabilidad de Cross-Site Scripting (XSS) que permite a los atacantes ejecutar código arbitrario a través de un payload manipulado en el título de la página.
  • Vulnerabilidad en Acronis Agent (CVE-2023-45246)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    Divulgación y manipulación de información sensible por autenticación inadecuada. Los siguientes productos se ven afectados: Acronis Agent (Linux, macOS, Windows) antes de la compilación 36343.
  • Vulnerabilidad en IBM Spectrum Protect Client e IBM Storage Protect for Virtual Environments 8.1.0.0 a 8.1.19.0 (CVE-2023-35897)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    IBM Spectrum Protect Client e IBM Storage Protect for Virtual Environments 8.1.0.0 a 8.1.19.0 podrían permitir a un usuario local ejecutar código arbitrario en el sistema utilizando un archivo especialmente manipulado, causado por una falla de secuestro de DLL. ID de IBM X-Force: 259246.
  • Vulnerabilidad en Gradle (CVE-2023-42445)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    Gradle es una herramienta de compilación centrada en la automatización de la build y soporte para el desarrollo en varios idiomas. En algunos casos, cuando Gradle analiza archivos XML, la resolución de entidades externas XML no está deshabilitada. Combinado con un ataque XXE fuera de banda (OOB-XXE), el simple hecho de analizar XML puede provocar la filtración de archivos de texto locales a un servidor remoto. Gradle analiza archivos XML para varios propósitos. La mayoría de las veces, Gradle analiza los archivos XML que generó o que ya estaban presentes localmente. Gradle solo puede recuperar los descriptores XML de Ivy y los archivos POM de Maven de repositorios remotos y analizarlos. En Gradle 7.6.3 y 8.4, la resolución de entidades externas XML se ha deshabilitado para todos los casos de uso para proteger contra esta vulnerabilidad. Gradle ahora se negará a analizar archivos XML que tengan entidades externas XML.
  • Vulnerabilidad en OpenTelemetry (CVE-2023-43810)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    OpenTelemetry, también conocido como OTel para abreviar, es un framework de observabilidad de código abierto, independiente del proveedor, para instrumentar, generar, recopilar y exportar datos de telemetría, como seguimientos, métricas y registros. La instrumentación automática lista para usar agrega la etiqueta `http_method` que tiene cardinalidad ilimitada. Conduce al posible agotamiento de la memoria del servidor cuando se envían muchas peticiones maliciosas. Un atacante puede configurar fácilmente el método HTTP para solicitudes para que sea aleatorio y largo. Para verse afectado, el programa debe estar instrumentado para controladores HTTP y no filtrar ningún método HTTP desconocido en el nivel de CDN, LB, middleware anterior, etc. Este problema se solucionó en la versión 0.41b0.
  • Vulnerabilidad en QVPN Device Client (CVE-2023-23370)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    Se ha informado que una vulnerabilidad de credenciales insuficientemente protegidas afecta a QVPN Device Client. Si se explota, la vulnerabilidad podría permitir a los administradores locales autenticados obtener acceso a cuentas de usuario y acceder a datos confidenciales utilizados por la cuenta de usuario a través de vectores no especificados. Ya hemos solucionado la vulnerabilidad en la siguiente versión: QVPN Windows 2.1.0.0518 y posteriores
  • Vulnerabilidad en QVPN Device Client (CVE-2023-23371)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    Se ha informado que una vulnerabilidad de transmisión de texto plano de información confidencial afecta a QVPN Device Client. Si se explota, la vulnerabilidad podría permitir a los administradores locales autenticados leer datos confidenciales a través de vectores no especificados. Ya hemos solucionado la vulnerabilidad en la siguiente versión: QVPN Windows 2.2.0.0823 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-32971)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 11/10/2023
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.0.1.2425 compilación 20230609 y posteriores QTS 5.1.0.2444 compilación 20230629 y posteriores QTS 4.5.4.2467 compilación 20230718 y posteriores QuTS hero h5.0.1.2515 compilación 20230907 y posteriores QuTS hero h5. 1.0.2424 compilación 20230609 y posteriores QuTS hero h4.5.4.2476 compilación 20230728 y posteriores QuTScloud c5.1.0.2498 y posteriores
  • Vulnerabilidad en Dialer (CVE-2023-40631)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Dialer, es posible que falte una verificación de permisos. Esto podría conducir a la divulgación de información local con privilegios de ejecución de System necesarios.
  • Vulnerabilidad en jpg driver (CVE-2023-40632)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En jpg driver, existe un posible use after free debido a un error lógico. Esto podría conducir a la divulgación remota de información, sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Phasecheckserver (CVE-2023-40633)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Phasecheckserver, es posible que falte una verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Phasechecksercer (CVE-2023-40634)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Phasechecksercer, es posible que falte una verificación de permiso. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en linkturbo (CVE-2023-40635)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En linkturbo, es posible que falte una verificación de permiso. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Telecom service (CVE-2023-40636)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Telecom service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a que falta una verificación de permisos. Esto podría conducir a la divulgación de información local con privilegios de ejecución de System necesarios.
  • Vulnerabilidad en Telecom service (CVE-2023-40637)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Telecom service, es posible que falte una verificación de permiso. Esto podría dar lugar a la divulgación de información local sin privilegios de ejecución adicionales.
  • Vulnerabilidad en Telecom service (CVE-2023-40638)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Telecom service, es posible que falte una verificación de permiso. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  • Vulnerabilidad en SoundRecorder (CVE-2023-40639)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En el servicio SoundRecorder, es posible que falte una verificación de permiso. Esto podría dar lugar a la divulgación de información local sin privilegios de ejecución adicionales.
  • Vulnerabilidad en SoundRecorder (CVE-2023-40640)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En el servicio SoundRecorder, es posible que falte una verificación de permiso. Esto podría dar lugar a la divulgación de información local sin privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40641)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40642)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40643)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40644)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40645)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40646)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40647)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40648)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Messaging (CVE-2023-40649)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Messaging, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Telecom service (CVE-2023-40650)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En Telecom service, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en urild service (CVE-2023-40651)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En urild service, existe una posible escritura fuera de límites debido a una comprobación de límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  • Vulnerabilidad en jpg driver (CVE-2023-40652)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2023
    Fecha de última actualización: 11/10/2023
    En jpg driver, existe una posible escritura fuera de límites debido a una validación de entrada incorrecta. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  • Vulnerabilidad en NickDuncan Contact Form (CVE-2023-44231)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/10/2023
    Fecha de última actualización: 11/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento NickDuncan Contact Form en versiones <= 2.0.10.
  • Vulnerabilidad en Huseyin Berberoglu WP Hide Pages (CVE-2023-44232)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/10/2023
    Fecha de última actualización: 11/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Huseyin Berberoglu WP Hide Pages en versiones <= 1.0.
  • Vulnerabilidad en Rebing OÜ Woocommerce (CVE-2023-44260)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/10/2023
    Fecha de última actualización: 11/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Mikk Mihkel Nurges, en el complemento ESTO de Rebing OÜ Woocommerce en versiones <= 2.23.1.
  • Vulnerabilidad en Devnath verma WP Captcha (CVE-2023-44236)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/10/2023
    Fecha de última actualización: 11/10/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Devnath verma WP Captcha en versiones <= 2.0.0.