Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en QNAP (CVE-2023-23367)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/11/2023
    Fecha de última actualización: 21/11/2023
    Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.0.1.2376 build 20230421 y posteriores QuTS hero h5.0.1.2376 build 20230421 y posteriores QuTScloud c5.1.0.2498 y posteriores
  • Vulnerabilidad en Guest Entries (CVE-2023-47621)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/11/2023
    Fecha de última actualización: 21/11/2023
    Guest Entries es una librería php que permite a los usuarios crear, actualizar y eliminar entradas desde el front-end de un sitio. En las versiones afectadas, la función de carga de archivos no impedía la carga de archivos PHP. Esto puede provocar la ejecución de código en el servidor por parte de usuarios autenticados. Esta vulnerabilidad se solucionó en v3.1.2. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en GrandPlugins Direct Checkout – Quick View – Buy Now For WooCommerce (CVE-2023-47657)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de gerente de tienda o superiores) almacenada en el complemento GrandPlugins Direct Checkout – Quick View – Buy Now For WooCommerce en versiones <= 1.5.8.
  • Vulnerabilidad en FortiSIEM (CVE-2023-41676)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Una exposición de información confidencial a un actor no autorizado [CWE-200] en FortiSIEM versión 7.0.0 y anteriores a 6.7.5 puede permitir que un atacante con acceso a los registros del agente de Windows obtenga la contraseña del agente de Windows mediante la búsqueda en los registros.
  • Vulnerabilidad en Fortinet FortiClientWindows (CVE-2023-41840)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Una vulnerabilidad de ruta de búsqueda no confiable en Fortinet FortiClientWindows 7.0.9 permite a un atacante realizar un ataque de DLL Hijack a través de una librería de motor OpenSSL malicioso en la ruta de búsqueda.
  • Vulnerabilidad en FortiEDRCollectorWindows (CVE-2023-44248)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiEDRCollectorWindows versión 5.2.0.4549 y anteriores, 5.0.3.1007 y anteriores, 4.0 puede permitir que un atacante local impida que el servicio recopilador se inicie en el siguiente reinicio del sistema alterando algunas claves de registro del servicio.
  • Vulnerabilidad en Microsoft On-Prem Data Gateway (CVE-2023-36021)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de omisión de la función de seguridad de Microsoft On-Prem Data Gateway
  • Vulnerabilidad en SmartScreen Windows (CVE-2023-36025)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows.
  • Vulnerabilidad en Fortinet FortiAnalyzer y FortiManager (CVE-2023-40719)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Un uso de vulnerabilidad de credenciales codificadas en Fortinet FortiAnalyzer y FortiManager 7.0.0 - 7.0.8, 7.2.0 - 7.2.3 y 7.4.0 permite a un atacante acceder a datos de pruebas privados de Fortinet mediante el uso de credenciales estáticas.
  • Vulnerabilidad en Intel(R) OFU (CVE-2023-32204)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Un control de acceso inadecuado en algún software Intel(R) OFU anterior a la versión 14.1.31 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) OFU (CVE-2023-29157)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Un control de acceso inadecuado en algunos software Intel(R) OFU anterior a la versión 14.1.31 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) OFU (CVE-2023-29161)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    La ruta de búsqueda no controlada en algunos software Intel(R) OFU anterior a la versión 14.1.31 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en TYPO3 (CVE-2023-47125)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. En las versiones afectadas, las instrucciones de procesamiento DOM no se manejan correctamente. Esto permite evitar el mecanismo de Cross-Site Scripting de typo3/html-sanitizer. Esta vulnerabilidad se ha solucionado en las versiones 1.5.3 y 2.1.4. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en TYPO3 (CVE-2023-47126)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. En las versiones afectadas, la pantalla de inicio de sesión de la herramienta de instalación independiente revela la ruta completa del directorio de datos transitorios (por ejemplo, /var/www/html/var/transient/). Esto se aplica únicamente a escenarios basados en compositores: las instalaciones “clásicas” que no son de compositores no se ven afectadas. Este problema se solucionó en la versión 12.4.8. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en TYPO3 (CVE-2023-47127)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    TYPO3 es un sistema de gestión de contenido web basado en PHP de código abierto publicado bajo GNU GPL. En las instalaciones de typo3 siempre hay al menos dos sitios diferentes. P.ej. first.example.org y second.example.com. En las versiones afectadas, una cookie de sesión generada para el primer sitio se puede reutilizar en el segundo sitio sin requerir autenticación adicional. Esta vulnerabilidad se solucionó en las versiones 8.7.55, 9.5.44, 10.4.41, 11.5.33 y 12.4.8. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Zoom (CVE-2023-39199)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Los problemas criptográficos con el chat durante la reunión para algunos clientes de Zoom pueden permitir que un usuario privilegiado realice una divulgación de información a través del acceso a la red.
  • Vulnerabilidad en Zoom Rooms Client para Windows y Zoom VDI Client (CVE-2023-39202)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Una ruta de búsqueda no confiable en Zoom Rooms Client para Windows y Zoom VDI Client puede permitir que un usuario privilegiado realice una denegación de servicio a través del acceso local.
  • Vulnerabilidad en Zoom Team Chat para Zoom Desktop Client para Windows y Zoom VDI Client (CVE-2023-39203)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    El consumo incontrolado de recursos en Zoom Team Chat para Zoom Desktop Client para Windows y Zoom VDI Client puede permitir que un usuario no autenticado realice una divulgación de información a través del acceso a la red.
  • Vulnerabilidad en Zoom (CVE-2023-39204)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    El desbordamiento del búfer en algunos clientes de Zoom puede permitir que un usuario no autenticado realice una denegación de servicio a través del acceso a la red.
  • Vulnerabilidad en Zoom (CVE-2023-39205)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    La verificación de condiciones inadecuadas en Zoom Team Chat para clientes de Zoom puede permitir que un usuario autenticado lleve a cabo una denegación de servicio a través del acceso a la red.
  • Vulnerabilidad en Zoom (CVE-2023-39206)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    El desbordamiento del búfer en algunos clientes de Zoom puede permitir que un usuario no autenticado realice una denegación de servicio a través del acceso a la red.
  • Vulnerabilidad en SendPress Newsletters (CVE-2023-47517)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento SendPress Newsletters en versiones <= 1.23.11.6.
  • Vulnerabilidad en Matthew Muro Restrict Categories (CVE-2023-47518)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento Matthew Muro Restrict Categories en versiones <= 2.6.4.
  • Vulnerabilidad en Zoom (CVE-2023-43582)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    La autorización inadecuada en algunos clientes de Zoom puede permitir que un usuario autorizado realice una escalada de privilegios a través del acceso a la red.
  • Vulnerabilidad en Zoom (CVE-2023-43588)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    La gestión insuficiente del flujo de control en algunos clientes de Zoom puede permitir que un usuario autenticado realice una divulgación de información a través del acceso a la red.
  • Vulnerabilidad en Zoom Rooms para macOS (CVE-2023-43591)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    Una gestión inadecuada de privilegios en Zoom Rooms para macOS anterior a la versión 5.16.0 puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.
  • Vulnerabilidad en MyPrestaModules ordersexport (CVE-2023-40923)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    Se descubrió que MyPrestaModules ordersexport anterior a v5.0 contenía múltiples vulnerabilidades de inyección SQL en send.php a través de los parámetros key y save_setting.
  • Vulnerabilidad en xxl-job-admin 2.4.0 (CVE-2023-48087)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    xxl-job-admin 2.4.0 es vulnerable a permisos inseguros a través de /xxl-job-admin/joblog/clearLog y /xxl-job-admin/joblog/logDetailCat.
  • Vulnerabilidad en xxl-job-admin 2.4.0 (CVE-2023-48088)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    xxl-job-admin 2.4.0 es vulnerable a Cross Site Scripting (XSS) a través de /xxl-job-admin/joblog/logDetailPage.
  • Vulnerabilidad en xxl-job-admin 2.4.0 (CVE-2023-48089)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    xxl-job-admin 2.4.0 es vulnerable a la ejecución remota de código (RCE) a través de /xxl-job-admin/jobcode/save.
  • Vulnerabilidad en Garbage Collection (CVE-2023-5997)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    Use after free en Garbage Collection en Google Chrome anterior a 119.0.6045.159 permitía a un atacante remoto explotar potencialmente la corrupción del heap a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en Google Chrome (CVE-2023-6112)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    Use after free en Navegación en Google Chrome anterior a 119.0.6045.159 permitía a un atacante remoto explotar potencialmente la corrupción del heap a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en free5gc 3.3.0 (CVE-2023-47345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    La vulnerabilidad de desbordamiento del búfer en free5gc 3.3.0 permite a los atacantes provocar una denegación de servicio a través de un mensaje PFCP manipulado con un mensaje PFCP Heartbeat mal formado cuya longitud Recovery Time Stamp IE está mutada a cero.
  • Vulnerabilidad en free5gc 3.3.0 (CVE-2023-47347)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    La vulnerabilidad de desbordamiento del búfer en free5gc 3.3.0 permite a atacantes provocar una denegación de servicio a través de mensajes PFCP manipulados cuyo Número de Secuencia está mutado a bytes de desbordamiento.
  • Vulnerabilidad en OpenCart (CVE-2023-47444)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    Un problema descubierto en OpenCart 4.0.0.0 a 4.0.2.3 permite que los usuarios backend autenticados que tienen privilegios de escritura comunes/de seguridad puedan escribir datos arbitrarios que no sean de confianza dentro de config.php y admin/config.php, lo que resulta en la ejecución remota de código en el servidor subyacente.
  • Vulnerabilidad en Grocy v.4.0.3 (CVE-2023-48197)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    La vulnerabilidad de Cross Site Scripting en Grocy v.4.0.3 permite a un atacante local ejecutar código arbitrario y obtener información confidencial a través de la función de código QR en el componente Manageapikeys.
  • Vulnerabilidad en Grocy v.4.0.3 (CVE-2023-48198)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    La vulnerabilidad de Cross Site Scripting en Grocy v.4.0.3 permite a un atacante local ejecutar código arbitrario y obtener información confidencial a través del componente de descripción del producto en el endpoint api/stock/products.
  • Vulnerabilidad en Grocy v.4.0.3 (CVE-2023-48199)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    Un problema en Grocy v.4.0.3 permite a un atacante local ejecutar código arbitrario y obtener información confidencial a través de la función de código QR en el componente Manageapikeys.
  • Vulnerabilidad en Grocy v.4.0.3 (CVE-2023-48200)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    La vulnerabilidad de Cross Site Scripting en Grocy v.4.0.3 permite a un atacante local ejecutar código arbitrario y obtener información confidencial a través del componente de descripción del equipo dentro del componente /equipment/.
  • Vulnerabilidad en Elementor Addon Elements para WordPress (CVE-2023-4689)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    El complemento Elementor Addon Elements para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 1.12.7 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función eae_save_elements. Esto hace posible que atacantes no autenticados habiliten/deshabiliten elementos complementarios a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Elementor Addon Elements para WordPress (CVE-2023-4690)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    El complemento Elementor Addon Elements para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 1.12.7 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función eae_save_config. Esto hace posible que atacantes no autenticados cambien la configuración del complemento a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Elementor Addon Elements para WordPress (CVE-2023-4723)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    El complemento Elementor Addon Elements para WordPress es vulnerable a la Exposición de Información Confidencial en versiones hasta la 1.12.7 incluida a través de la función ajax_eae_post_data. Esto puede permitir a atacantes no autenticados extraer datos confidenciales, incluidos los ID y títulos de publicaciones/páginas, incluidos aquellos con estado pendiente/borrador/futuro/privado.
  • Vulnerabilidad en Elementor Addon Elements para WordPress (CVE-2023-5381)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 21/11/2023
    El complemento Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración de administrador en versiones hasta la 1.12.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
  • Vulnerabilidad en PublicCMS v.4.0.202302.e (CVE-2023-48204)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Un problema en PublicCMS v.4.0.202302.e permite a un atacante remoto obtener información confidencial a través del parámetro appToken y Parameters del componente api/method/getHtml.
  • Vulnerabilidad en LMXCMS v.1.4 (CVE-2021-35437)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de inyección SQL en LMXCMS v.1.4 permite a un atacante ejecutar código arbitrario a través de TagsAction.class.
  • Vulnerabilidad en DedeCMS v5.7 (CVE-2023-43275)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad deCross-Site Request Forgery (CSRF) en DedeCMS v5.7 en la interfaz de administración de backend 110 a través de /catalog_add.php, permite a los atacantes crear páginas web manipuladas debido a la falta de verificación del valor del token del formulario enviado.
  • Vulnerabilidad en RedisGraph v.2.12.10 (CVE-2023-47003)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Un problema en RedisGraph v.2.12.10 permite a un atacante ejecutar código arbitrario y provocar una denegación de servicio a través de una cadena manipulada en DataBlock_ItemIsDeleted.
  • Vulnerabilidad en ioannup Edit WooCommerce Templates (CVE-2023-47509)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento ioannup Edit WooCommerce Templates en versiones <=1.1.1.
  • Vulnerabilidad en WooCommerce de Gravity Master Product Enquiry (CVE-2023-47512)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento WooCommerce de Gravity Master Product Enquiry versiones <=3.0.
  • Vulnerabilidad en MingoCommerce WooCommerce Product Inquiry (CVE-2023-32796)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Almacenada No Autenticada  en el complemento MingoCommerce WooCommerce Product Inquiry en versiones <=2.3.4.
  • Vulnerabilidad en Dazzlersoft Team Members Showcase (CVE-2023-32957)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento Dazzlersoft Team Members Showcase en versiones <=1.3.4.
  • Vulnerabilidad en 10Web SEO by 10Web (CVE-2023-34375)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 21/11/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en 10Web SEO by 10Web en versiones <=1.2.9.