Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en tcm_vhost_make_tpg en drivers/vhost/scsi.c en el kernel de Linux (CVE-2015-4036)
  Severidad: ALTA
  Fecha de publicación: 31/08/2015
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de error de índice de Array en la función tcm_vhost_make_tpg en drivers/vhost/scsi.c en el kernel de Linux en versiones anteriores a 4.0, puede permitir a usuarios invitados del SO causar una denegación de servicio (corrupción de memoria) o posiblemente tener otro impacto no especificado a través de una llamada ioctl VHOST_SCSI_SET_ENDPOINT manipulada. NOTA: la función afectada fue renombrada como vhost_scsi_make_tpg antes del anuncio de la vulnerabilidad.
  
• Vulnerabilidad en Varios componentes de Oracle Java SE (CVE-2018-2579)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: Libraries). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Java SE, JRockit y Java SE Embedded. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 3.7 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N).
  
• Vulnerabilidad en Java SE en Oracle Java SE (CVE-2018-2581)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: JavaFX). Las versiones compatibles que se han visto afectadas son JavaSE: 7u161, 8u152 y 9.0.1. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de Java SE. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Java SE. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 4.7 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N).
  
• Vulnerabilidad en Java SE y Java SE Embedded en Oracle Java SE (CVE-2018-2582)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: Hotspot). Las versiones compatibles que se han visto afectadas son JavaSE: 8u152 y 9.0.1; Java SE Embedded: 8u151. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos confidenciales o de todos los datos accesibles de Java SE y Java SE Embedded. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 6.5 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N).
  
• Vulnerabilidad en Varios elementos en Oracle Java SE (CVE-2018-2588)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: LDAP). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Java SE, JRockit y Java SE Embedded. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 4.3 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
  
• Vulnerabilidad en Varios componentes en Java SE (CVE-2018-2599)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JNDI). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos a esta vulnerabilidad pueden resultar en una actualización, inserción o borrado de acceso sin autorización de datos accesibles de Java SE, Java SE Embedded y JRockit. Además, pueden dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 4.8 (impactos en la integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L).
  
• Vulnerabilidad en Varios componentes de Java SE (CVE-2018-2602)
  Severidad: BAJA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: I18n). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151. Esta vulnerabilidad difícilmente explotable permite que un atacante sin autenticar con inicio de sesión en la infraestructura en la que se ejecutan Java SE y Java SE Embedded comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación de acceso sin autorización de algunos de los datos accesibles de Java SE y Java SE Embedded, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Java SE y Java SE Embedded y la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Java SE y Java SE Embedded. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 4.5 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L).
  
• Vulnerabilidad en Varios componentes de Oracle Java SE (CVE-2018-2603)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: Libraries). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 5.3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
  
• Vulnerabilidad en Varios componentes en Oracle Java SE (CVE-2018-2618)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JCE). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 5.9 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).
  
• Vulnerabilidad en Java SE en Oracle Java SE (CVE-2018-2627)
  Severidad: BAJA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: Installer). Las versiones compatibles que se han visto afectadas son JavaSE: 8u152 y 9.0.1. Esta vulnerabilidad difícilmente explotable permite que un atacante con pocos privilegios con inicio de sesión en la infraestructura en la que se ejecuta Java SE comprometa la seguridad de Java SE. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java SE. Nota: Esto solo aplica al instalador de Windows. CVSS 3.0 Base Score 7.5 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H).
  
• Vulnerabilidad en Varios componentes en Oracle Java SE (CVE-2018-2629)
  Severidad: BAJA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JGSS). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos confidenciales o de todos los datos accesibles de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 5.3 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N).
  
• Vulnerabilidad en Varios componentes de Oracle Java SE (CVE-2018-2633)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JNDI). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, Java SE Embedded y JRockit, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
  
• Vulnerabilidad en varios componentes de Oracle Java SE (CVE-2018-2634)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: JGSS). Las versiones compatibles que se han visto afectadas son JavaSE: 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE y Java SE Embedded. Aunque la vulnerabilidad está presente en Java SE y Java SE Embedded, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Java SE y Java SE Embedded. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 6.8 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N).
  
• Vulnerabilidad en varios componentes de Oracle Java SE (CVE-2018-2637)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JMX). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de datos confidenciales o de todos los datos accesibles de Java SE, Java SE Embedded y JRockit, así como el acceso sin autorización a datos confidenciales o todos los datos accesibles de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad sólo puede ser explotada proporcionando datos a las API en los Componentes especificados sin emplear aplicaciones Java Web Start que no son de confianza o applets Java que no son de confianza, como a través de un servicio web. CVSS 3.0 Base Score 7.4 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N).
  
• Vulnerabilidad en Java SE en Oracle Java SE (CVE-2018-2638)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: Deployment). Las versiones compatibles que se han visto afectadas son JavaSE: 8u152 y 9.0.1. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java SE. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
  
• Vulnerabilidad en Java SE de Oracle Java SE (CVE-2018-2639)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: Deployment). Las versiones compatibles que se han visto afectadas son JavaSE: 8u152 y 9.0.1. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java SE. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
  
• Vulnerabilidad en Java SE y Java SE Embedded en Oracle Java SE (CVE-2018-2641)
  Severidad: BAJA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: AWT). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE y Java SE Embedded, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos confidenciales o de todos los datos accesibles de Java SE y Java SE Embedded. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 6.1 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:N).
  
• Vulnerabilidad en Varios componentes en Oracle Java SE (CVE-2018-2663)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: Libraries). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 4.3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L).
  
• Vulnerabilidad en Java SE y Java SE Embedded en Oracle Java SE (CVE-2018-2677)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: AWT). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Java SE y Java SE Embedded. Nota: Esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en la sandbox de aislado Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 4.3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L).
  
• Vulnerabilidad en varios componentes de Oracle Java SE (CVE-2018-2678)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2018
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JNDI). Las versiones compatibles que se han visto afectadas son JavaSE: 6u171, 7u161, 8u152 y 9.0.1; Java SE Embedded: 8u151; JRockit: R28.3.16. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Java SE, Java SE Embedded y JRockit. Nota: Esta vulnerabilidad aplica a la implementación del cliente y el servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets Java en sandbox. También puede ser explotada proporcionando datos a las API en los componentes especificados sin emplear aplicaciones Java Web Start o applets Java en sandbox, como a través de un servicio web. CVSS 3.0 Base Score 4.3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L).
  
• Vulnerabilidad en GoldBroker.Com Live Gold Price & Silver Price Charts Widgets (CVE-2023-47662)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento GoldBroker.Com Live Gold Price & Silver Price Charts Widgets en versiones <= 2.4.
  
• Vulnerabilidad en Stefano Ottolenghi Post Pay Counter (CVE-2023-47673)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento Stefano Ottolenghi Post Pay Counter en versiones <= 2.789.
  
• Vulnerabilidad en DataHub (CVE-2023-47628)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  DataHub es una plataforma de metadatos de código abierto. Las sesiones de DataHub Frontend se configuran utilizando la configuración predeterminada de Play Framework para sesiones sin estado que no establecen un tiempo de vencimiento para una cookie. Debido a esto, si alguna vez se filtrara una cookie de sesión, sería válida para siempre. DataHub utiliza una cookie de sesión sin estado que no se invalida al cerrar sesión, simplemente se elimina del navegador y obliga al usuario a iniciar sesión nuevamente. Sin embargo, si un atacante extrae una cookie de un usuario autenticado, seguirá siendo válida ya que no hay validación en una ventana de tiempo para la cual el token de sesión es válido debido a una combinación del uso de LegacyCookiesModule de Play Framework y el uso de configuraciones predeterminadas que no establezca un tiempo de vencimiento. Todas las instancias de DataHub anteriores al parche que eliminaron al usuario de DataHub, pero no las políticas predeterminadas que se aplican a ese usuario, se ven afectadas. Se recomienda a los usuarios que actualicen a la versión 0.12.1, que soluciona el problema. No se conocen workarounds para esta vulnerabilidad.
  
• Vulnerabilidad en SCALANCE (CVE-2023-44317)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Se ha identificado una vulnerabilidad en: SCALANCE XB205-3 (SC, PN) (V < 4.5), SCALANCE XB205-3 (ST, E/IP) (V < 4.5), SCALANCE XB205-3 (ST , E/IP) (V < 4.5), SCALANCE XB205-3 (ST, PN) (V < 4.5), SCALANCE XB205-3LD (SC, E/IP) (V < 4.5 ), SCALANCE XB205-3LD (SC, PN) (V < 4.5), SCALANCE XB208 (E/IP) (V < 4.5), SCALANCE XB208 (PN) (V < 4.5), SCALANCE XB213-3 (SC, E/IP) (V < 4.5), SCALANCE XB213-3 (SC, PN) (V < 4.5), SCALANCE XB213-3 (ST, E/IP) ( V < 4.5), SCALANCE XB213-3 (ST, PN) (V < 4.5), SCALANCE XB213-3LD (SC, E/IP) (V < 4.5), SCALANCE XB213-3LD (SC, PN) (V < 4.5), SCALANCE XB216 (E/IP) (V < 4.5), SCALANCE XB216 (PN) (V < 4.5), SCALANCE XC206-2 (SC ) (V < 4.5), SCALANCE XC206-2 (ST/BFOC) (V < 4.5), SCALANCE XC206-2G PoE (V < 4.5), SCALANCE XC206-2G PoE (54 V DC) (V < 4.5), SCALANCE XC206-2G PoE EEC (54 V DC) (V < 4.5), SCALANCE XC206-2SFP (V < 4.5), SCALANCE XC206-2SFP EEC ( V < 4.5), SCALANCE XC206-2SFP G (V < 4.5), SCALANCE XC206-2SFP G (EIP DEF.) (V < 4.5), SCALANCE XC206-2SFP G EEC (V < 4.5), SCALANCE XC208 (V < 4.5), SCALANCE XC208EEC (V < 4.5), SCALANCE XC208G (V < 4.5), SCALANCE XC208G (EIP def.) (V < 4.5), SCALANCE XC208G EEC (V < 4.5), SCALANCE XC208G PoE (V < 4.5), SCALANCE XC208G PoE (54 V DC) (V < 4.5), SCALANCE XC216 (V < 4.5), SCALANCE XC216-3G PoE (V < 4.5), SCALANCE XC216-3G PoE (54 V DC) (V < 4.5), SCALANCE XC216-4C (V < 4. 5), SCALANCE XC216-4C G (V < 4.5), SCALANCE XC216-4C G (EIP Def.) (V < 4.5), SCALANCE XC216-4C G EEC (V < 4.5) , SCALANCE XC216EEC (V < 4.5), SCALANCE XC224 (V < 4.5), SCALANCE XC224-4C G (V < 4.5), SCALANCE XC224-4C G (EIP Def.) (V < 4.5), SCALANCE XC224-4C G EEC (V < 4.5), SCALANCE XF204 (V < 4.5), SCALANCE XF204 DNA (V < 4.5), SCALANCE XF204-2BA (V < 4.5), SCALANCE XF204-2BA DNA (V < 4.5), SCALANCE XP208 (V < 4.5), SCALANCE XP208 (Ethernet/IP) (V < 4.5), SCALANCE XP208EEC (V < 4.5), SCALANCE XP208PoE EEC (V < 4.5), SCALANCE XP216 (V < 4.5), SCALANCE XP216 (Ethernet/IP) (V < 4.5), SCALANCE XP216EEC (V < 4.5), SCALANCE XP216POE EEC (V < 4.5), SCALANCE XR324WG (24 x FE, AC 230V) (V < 4.5), SCALANCE XR324WG (24 X FE, DC 24V) (V < 4.5), SCALANCE XR326-2C PoE WG (V < 4.5), SCALANCE XR326-2C PoE WG (sin UL) (V < 4.5), SCALANCE XR328-4C WG (24XFE , 4XGE, 24V) (V < 4.5), SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (V < 4.5), SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (V < 4.5), SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (V < 4.5), SCALANCE XR328-4C WG (28xGE, AC 230V) (V < 4.5), SCALANCE XR328- 4C WG (28xGE, DC 24V) (V < 4.5), SIPLUS NET SCALANCE XC206-2 (V < 4.5), SIPLUS NET SCALANCE XC206-2SFP (V < 4.5), SIPLUS NET SCALANCE XC208 (V < 4.5), SIPLUS NET SCALANCE XC216-4C (V < 4.5). Los productos afectados no validan adecuadamente el contenido de los certificados X509 cargados, lo que podría permitir a un atacante con privilegios administrativos ejecutar código arbitrario en el dispositivo.
  
• Vulnerabilidad en Visual Studio Code (CVE-2023-36018)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de suplantación de identidad en la extensión Jupyter de Visual Studio Code.
  
• Vulnerabilidad en Intel(R) XTU (CVE-2023-34350)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  El elemento de ruta de búsqueda no controlado en algunos software Intel(R) XTU anteriores a la versión 7.12.0.15 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel Battery Life Diagnostic Tool (CVE-2023-34430)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  La ruta de búsqueda no controlada en algunos software Intel Battery Life Diagnostic Tool anterior a la versión 2.2.1 puede permitir que un usuario autenticado potencialmente habilite la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel Server Configuration Utility (CVE-2023-34997)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Los permisos heredados inseguros en el instalador de algunos software de Intel Server Configuration Utility anteriores a la versión 16.0.9 pueden permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel Smart Campus (CVE-2023-38411)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Un control de acceso inadecuado en la aplicación de Android, Intel Smart Campus anterior a la versión 9.4 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel Rapid Storage Technology (CVE-2023-39230)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Los permisos heredados inseguros en algunos software Intel Rapid Storage Technology anteriores a la versión 16.8.5.1014.9 pueden permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel(R) RealSense(TM) Dynamic Calibration (CVE-2023-29504)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  El elemento de ruta de búsqueda no controlado en algunos software Intel(R) RealSense(TM) Dynamic Calibration anteriores a la versión 2.13.1.0 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel Distribution de OpenVINO (CVE-2023-31203)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  La validación de entrada incorrecta en algunos software OpenVINO Model Server anterior a la versión 2022.3 para la distribución del kit de herramientas Intel Distribution de OpenVINO puede permitir que un usuario no autenticado habilite potencialmente la denegación de servicio a través del acceso a la red.
  
• Vulnerabilidad en Intel(R) Connectivity Performance Suite (CVE-2023-32279)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  El control de acceso inadecuado en el controlador del modo de usuario para Intel(R) Connectivity Performance Suite anteriores a la versión 2.1123.214.2 puede permitir que un usuario no autenticado habilite potencialmente la divulgación de información a través del acceso a la red.
  
• Vulnerabilidad en Intel(R) On Demand (CVE-2023-32283)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  La inserción de información confidencial en un archivo de registro en algunos software Intel(R) On Demand anterior a las versiones 1.16.2, 2.1.1, 3.1.0 puede permitir que un usuario autenticado potencialmente habilite la divulgación de información a través del acceso local.
  
• Vulnerabilidad en Intel Arc RGB Controller (CVE-2023-32638)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Los permisos predeterminados incorrectos en algunos software Intel Arc RGB Controller anteriores a la versión 1.06 pueden permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel(R) QAT (CVE-2023-32641)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  La validación de entrada incorrecta en el firmware para Intel(R) QAT anterior a la versión QAT20.L.1.0.40-00004 puede permitir la escalada de privilegios y la denegación de servicio a través del acceso adyacente.
  
• Vulnerabilidad en Intel Battery Life Diagnostic Tool (CVE-2023-32662)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  La autorización inadecuada en algún software de instalación de la herramienta Intel Battery Life Diagnostic Tool anterior a la versión 2.2.1 puede permitir que un usuario privilegiado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Networking Stack de QNX SDP (CVE-2023-32701)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Una validación de entrada inadecuada en Networking Stack de QNX SDP versiones 6.6, 7.0 y 7.1 podría permitir que un atacante cause potencialmente la divulgación de información o una condición de denegación de servicio.
  
• Vulnerabilidad en Intel Support (CVE-2023-33872)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Un control de acceso inadecuado en la aplicación Intel Support para Android en todas las versiones puede permitir que un usuario autenticado permita potencialmente la divulgación de información a través del acceso local.
  
• Vulnerabilidad en Intel(R) Simics Simulator (CVE-2023-34314)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Los permisos heredados inseguros en algunos software Intel(R) Simics Simulator anteriores a la versión 1.7.2 pueden permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  
• Vulnerabilidad en Intel(R) E810 Ethernet Controllers and Adapters (CVE-2023-28376)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  La lectura fuera de los límites en el firmware de Intel(R) E810 Ethernet Controllers and Adapters anteriores a la versión 1.7.1 puede permitir que un usuario no autenticado habilite potencialmente la denegación de servicio a través del acceso adyacente.
  
• Vulnerabilidad en FortiADC y FortiDDoS-F (CVE-2023-29177)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Las vulnerabilidades de copia de búfer múltiple sin verificar el tamaño de entrada ('desbordamiento del búfer clásico') [CWE-120] en FortiADC versión 7.2.0 y anteriores a 7.1.2 y FortiDDoS-F versión 6.5.0 y anteriores a 6.4.1 permiten a un atacante privilegiado ejecutar código o comandos arbitrarios a través de solicitudes CLI específicamente manipuladas.
  
• Vulnerabilidad en MilanPI 1.0.0.A y GenoaPI 1.0.0.3 (CVE-2023-20519)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Una vulnerabilidad Use-After-Free en la administración de una página contextual de invitado SNP puede permitir que un hipervisor malicioso se haga pasar por el agente de migración del invitado, lo que resulta en una posible pérdida de integridad del invitado.
  
• Vulnerabilidad en AMD SMM Supervisor (CVE-2023-20596)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Una validación de entrada incorrecta en SMM Supervisor puede permitir que un atacante con un controlador SMI comprometido obtenga acceso a Ring0, lo que podría conducir a la ejecución de código arbitrario.
  
• Vulnerabilidad en Intel(R) Arc(TM) e Iris(R) Xe - WHQL - Windows (CVE-2022-42879)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  La desreferencia del puntero NULL en algunos controladores Intel(R) Arc(TM) e Iris(R) Xe - WHQL - Windows anteriores a la versión 31.0.101.4255 puede permitir que un usuario autenticado habilite potencialmente la denegación de servicio a través del acceso local.
  
• Vulnerabilidad en VMware Cloud Director Appliance (CVE-2023-34060)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  VMware Cloud Director Appliance contiene una vulnerabilidad de omisión de autenticación en caso de que VMware Cloud Director Appliance se haya actualizado a 10.5 desde una versión anterior. En una versión actualizada de VMware Cloud Director Appliance 10.5, un actor malicioso con acceso de red al dispositivo puede eludir las restricciones de inicio de sesión al autenticarse en el puerto 22 (ssh) o el puerto 5480 (consola de administración del dispositivo). Esta omisión no está presente en el puerto 443 (proveedor de VCD e inicio de sesión del inquilino). En una nueva instalación de VMware Cloud Director Appliance 10.5, la omisión no está presente.
  
• Vulnerabilidad en Microsoft Dynamics 365 (CVE-2023-36007)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Microsoft envía una encuesta de voz del cliente desde la vulnerabilidad de suplantación de identidad de Dynamics 365
  
• Vulnerabilidad en .NET, .NET Framework y Visual Studio (CVE-2023-36049)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de elevación de privilegios en .NET, .NET Framework y Visual Studio
  
• Vulnerabilidad en Azure DevOps (CVE-2023-36437)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de ejecución remota de código del servidor Azure DevOps
  
• Vulnerabilidad en TIBCO Software Inc. TIBCO EBX y TIBCO Product and Service Catalog (CVE-2023-26222)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  El componente Web Application de TIBCO Software Inc. TIBCO EBX y TIBCO Product and Service Catalog con tecnología TIBCO EBX contiene una vulnerabilidad fácilmente explotable que permite a un atacante con pocos privilegios y acceso a la red ejecutar un XSS almacenado en el sistema afectado. Los productos afectados son TIBCO EBX de TIBCO Software Inc.: versiones 5.9.22 y anteriores, versiones 6.0.13 y siguientes y TIBCO Product and Service Catalog con tecnología TIBCO EBX: versiones 5.0.0 y siguientes.
  
• Vulnerabilidad en MP4Box GPAC v2.3-DEV-rev617-g671976fcc-master (CVE-2023-47384)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Se descubrió que MP4Box GPAC v2.3-DEV-rev617-g671976fcc-master contenía una pérdida de memoria en la función gf_isom_add_chapter en /isomedia/isom_write.c. Esta vulnerabilidad permite a los atacantes provocar una Denegación de Servicio (DoS) a través de un archivo MP4 manipulado.
  
• Vulnerabilidad en ASP.NET Core (CVE-2023-36558)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de omisión de funciones de seguridad en ASP.NET Core
  
• Vulnerabilidad en MikroTik RouterOS (CVE-2023-41570)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Se descubrió que MikroTik RouterOS v7.1 a 7.11 contenía mecanismos de control de acceso incorrectos para la API Rest.
  
• Vulnerabilidad en Aruba InstantOS (CVE-2023-45625)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existen múltiples vulnerabilidades de inyección de comandos autenticados en la interfaz de línea de comandos. La explotación exitosa de estas vulnerabilidades da como resultado la capacidad de ejecutar comandos arbitrarios como usuario privilegiado en el sistema operativo subyacente.
  
• Vulnerabilidad en Aruba Networking (CVE-2023-45626)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Se ha identificado una vulnerabilidad autenticada que permite a un atacante establecer de manera efectiva la ejecución de código arbitrario persistente y altamente privilegiado a lo largo de los ciclos de arranque.
  
• Vulnerabilidad en CLI Service (CVE-2023-45627)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad de Denegación de Servicio (DoS) autenticada en CLI Service. La explotación exitosa de esta vulnerabilidad da como resultado la capacidad de interrumpir el funcionamiento normal del punto de acceso afectado.
  
• Vulnerabilidad en Ansible Automation Hub (CVE-2023-5189)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad de path traversal en Ansible al extraer archivos comprimidos. Un atacante podría crear un tarball malicioso para que, al utilizar el importador galaxy de Ansible Automation Hub, se pueda colocar un enlace simbólico en el disco, lo que provocaría la sobrescritura de los archivos.
  
• Vulnerabilidad en Active Design para PrestaShop (CVE-2023-47308)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  En el módulo "Newsletter Popup PRO con código de Bono/Cupón" (newsletterpop) anterior a la versión 2.6.1 de Active Design para PrestaShop, un invitado puede realizar inyección SQL en las versiones afectadas. El método `NewsletterpopsendVerificationModuleFrontController::checkEmailSubscription()` tiene llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL.
  
• Vulnerabilidad en Nukium nkmgls (CVE-2023-47309)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Nukium nkmgls anterior a la versión 3.0.2 es vulnerable a Cross Site Scripting (XSS) a través de NkmGlsCheckoutModuleFrontController::displayAjaxSavePhoneMobile.
  
• Vulnerabilidad en RT-AC87U (CVE-2023-47678)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad de control de acceso inadecuado en todas las versiones del RT-AC87U. Un atacante puede leer o escribir archivos a los que no está previsto acceder conectándose a un dispositivo de destino a través de tftp.
  
• Vulnerabilidad en Schneider Electric (CVE-2023-5984)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad CWE-494: Descarga de Código Sin Verificación de Integridad que podría permitir que se cargue firmware modificado cuando un usuario administrador autorizado comienza un procedimiento de actualización de firmware.
  
• Vulnerabilidad en Schneider Electric (CVE-2023-5985)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad CWE-79: Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web que podría comprometer el navegador de un usuario cuando un atacante con privilegios de administrador ha modificado los valores del sistema.
  
• Vulnerabilidad en TELLUS y TELLUS Lite (CVE-2023-47580)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Existen múltiples problemas de restricción inadecuada de operaciones dentro de los límites de un búfer de memoria en TELLUS V4.0.17.0 y anteriores y TELLUS Lite V4.0.17.0 y anteriores. Si un usuario abre un archivo especialmente manipulado (archivo X1, V8 o V9), se puede revelar información y/o se puede ejecutar código arbitrario.
  
• Vulnerabilidad en TELLUS y TELLUS Lite (CVE-2023-47581)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad de lectura fuera de los límites en TELLUS V4.0.17.0 y anteriores y en TELLUS Lite V4.0.17.0 y anteriores. Si un usuario abre un archivo especialmente manipulado (archivo X1, V8 o V9), se puede revelar información y/o se puede ejecutar código arbitrario.
  
• Vulnerabilidad en TELLUS y TELLUS Lite (CVE-2023-47582)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  El acceso a la vulnerabilidad de puntero no inicializado existe en TELLUS V4.0.17.0 y anteriores y en TELLUS Lite V4.0.17.0 y anteriores. Si un usuario abre un archivo especialmente manipulado (archivo X1, V8 o V9), se puede revelar información y/o se puede ejecutar código arbitrario.
  
• Vulnerabilidad en Shareaholic para WordPress (CVE-2023-4889)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  El complemento Shareaholic para WordPress es vulnerable a Cross-Site Scripting Almacenado en el shortcode 'shareaholic' en versiones hasta la 9.7.8 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  
• Vulnerabilidad en Reactor Netty HTTP Server (CVE-2023-34062)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  En Reactor Netty HTTP Server, versiones 1.1.x anteriores a 1.1.13 y versiones 1.0.x anteriores a 1.0.39, un usuario malintencionado puede enviar una solicitud utilizando una URL especialmente manipulada que puede provocar un ataque Directory Traversal. Específicamente, una aplicación es vulnerable si el servidor HTTP Reactor Netty está configurado para servir recursos estáticos.