Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Login with phone number para WordPress (CVE-2023-4916)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2023
    Fecha de última actualización: 13/10/2023
    El complemento Login with phone number para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 1.4.8 inclusive. Esto se debe a que falta la validación nonce en la función 'lwp_update_password_action'. Esto hace posible que atacantes no autenticados cambien la contraseña del usuario mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Jetty (CVE-2023-40167)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/09/2023
    Fecha de última actualización: 13/10/2023
    Jetty es un servidor web y motor de servlet basado en Java. Antes de las versiones 9.4.52, 10.0.16, 11.0.16 y 12.0.1, Jetty acepta el carácter `+` que precede al valor de longitud del contenido en un campo de encabezado HTTP/1. Esto es más permisivo de lo que permite el RFC y otros servidores rechazan habitualmente este tipo de solicitudes con 400 respuestas. No se conoce ningún escenario de explotación, pero es posible que se produzca contrabando de solicitudes si se utiliza jetty en combinación con un servidor que no cierra la conexión después de enviar dicha respuesta 400. Las versiones 9.4.52, 10.0.16, 11.0.16 y 12.0.1 contienen un parche para este problema. No existe ningún workaround ya que no se conoce ningún escenario de explotación.
  • Vulnerabilidad en Google Chrome (CVE-2023-4427)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2023
    Fecha de última actualización: 13/10/2023
    El acceso a memoria fuera de los límites en V8 en Google Chrome anterior a 116.0.5845.110 permitía a un atacante remoto realizar una lectura de memoria fuera de los límites a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en Google Chrome (CVE-2023-4431)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2023
    Fecha de última actualización: 13/10/2023
    El acceso a memoria fuera de límites en Fonts en Google Chrome anterior a 116.0.5845.110 permitía a un atacante remoto realizar una lectura de memoria fuera de los límites a través de una página HTML manipulada. (Severidad de seguridad de Chromium: media)
  • Vulnerabilidad en glibc (CVE-2023-4813)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2023
    Fecha de última actualización: 13/10/2023
    Se encontró una falla en glibc. En una situación poco común, la función gaih_inet puede utilizar memoria que se ha liberado, lo que provoca un bloqueo de la aplicación. Este problema solo se puede explotar cuando se llama a la función getaddrinfo y la base de datos de hosts en /etc/nsswitch.conf está configurada con SUCCESS=continue o SUCCESS=merge.
  • Vulnerabilidad en MiniTool Power Data Recovery (CVE-2023-38353)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2023
    Fecha de última actualización: 13/10/2023
    MiniTool Power Data Recovery en la versión 11.6 y anteriores contiene un sistema de pago inseguro en la aplicación que permite a los atacantes robar información altamente confidencial a través de un ataque de man-in-the-middle
  • Vulnerabilidad en MiniTool Shadow Maker (CVE-2023-38354)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2023
    Fecha de última actualización: 13/10/2023
    MiniTool Shadow Maker en la versión 4.1 contiene un proceso de instalación inseguro que permite a los atacantes lograr la ejecución remota de código a través de un ataque de man-in-the-middle.
  • Vulnerabilidad en MiniTool Movie Maker 6.1.0 (CVE-2023-38355)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2023
    Fecha de última actualización: 13/10/2023
    MiniTool Movie Maker 6.1.0 contiene un proceso de instalación inseguro que permite a los atacantes lograr la ejecución remota de código a través de un ataque de intermediario.
  • Vulnerabilidad en Quarkus (CVE-2023-4853)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/09/2023
    Fecha de última actualización: 13/10/2023
    Se encontró una falla en Quarkus donde las políticas de seguridad HTTP no sanitiza correctamente ciertas permutaciones de caracteres al aceptar solicitudes, lo que resulta en una evaluación incorrecta de los permisos. Este problema podría permitir que un atacante eluda la política de seguridad por completo, lo que resultaría en un acceso no autorizado al endpoint y posiblemente una Denegación de Servicio.