Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en el componente NVME en QEMU (CVE-2021-3947)
  Severidad: BAJA
  Fecha de publicación: 18/02/2022
  Fecha de última actualización: 21/11/2023
  Se ha encontrado un desbordamiento de pila en QEMU en el componente NVME. El fallo es encontrado en nvme_changed_nslist(), donde un huésped malicioso que controle determinadas entradas puede leer memoria fuera de límites. Un usuario malicioso podría usar este fallo conllevando a una divulgación de información confidencial
  
• Vulnerabilidad en SMM (CVE-2022-23830)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 22/11/2023
  Es posible que la configuración de SMM no sea inmutable, como se esperaba, cuando SNP está habilitado, lo que genera una posible pérdida limitada de la integridad de la memoria del huésped.
  
• Vulnerabilidad en CLI Service (CVE-2023-45614)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existen vulnerabilidades de desbordamiento del búfer en CLI Service subyacente que podrían provocar la ejecución remota de código no autenticado mediante el envío de paquetes especialmente manipulados destinados al puerto UDP (8211) PAPI (protocolo de administración de puntos de acceso de Aruba). La explotación exitosa de estas vulnerabilidades da como resultado la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.
  
• Vulnerabilidad en CLI Service (CVE-2023-45615)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existen vulnerabilidades de desbordamiento del búfer en CLI Service subyacente que podrían provocar la ejecución remota de código no autenticado mediante el envío de paquetes especialmente manipulados destinados al puerto UDP (8211) PAPI (protocolo de administración de puntos de acceso de Aruba). La explotación exitosa de estas vulnerabilidades da como resultado la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.
  
• Vulnerabilidad en AirWave Client Service (CVE-2023-45616)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad de desbordamiento del búfer en AirWave Client Service subyacente que podría conducir a la ejecución remota de código no autenticado mediante el envío de paquetes especialmente manipulados destinados al puerto UDP (8211) PAPI (protocolo de administración de puntos de acceso de Aruba). La explotación exitosa de esta vulnerabilidad da como resultado la capacidad de ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.
  
• Vulnerabilidad en CLI Service (CVE-2023-45617)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existen vulnerabilidades de eliminación de archivos arbitrarios en CLI Service al que accede PAPI (el protocolo de administración de puntos de acceso de Aruba). La explotación exitosa de estas vulnerabilidades da como resultado la capacidad de eliminar archivos arbitrarios en el sistema operativo subyacente, lo que podría llevar a la capacidad de interrumpir el funcionamiento normal y afectar la integridad del punto de acceso.
  
• Vulnerabilidad en AirWave Client Service (CVE-2023-45618)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existen vulnerabilidades de eliminación arbitraria de archivos en AirWave Client Service al que accede PAPI (el protocolo de gestión de puntos de acceso de Aruba). La explotación exitosa de estas vulnerabilidades da como resultado la capacidad de eliminar archivos arbitrarios en el sistema operativo subyacente, lo que podría llevar a la capacidad de interrumpir el funcionamiento normal y afectar la integridad del punto de acceso.
  
• Vulnerabilidad en RSSI Service (CVE-2023-45619)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad de eliminación arbitraria de archivos en RSSI Service al que accede PAPI (el protocolo de gestión de puntos de acceso de Aruba). La explotación exitosa de esta vulnerabilidad da como resultado la capacidad de eliminar archivos arbitrarios en el sistema operativo subyacente, lo que podría llevar a la capacidad de interrumpir el funcionamiento normal y afectar la integridad del punto de acceso.
  
• Vulnerabilidad en V-Server y V-Server Lite (CVE-2023-47584)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Existe una vulnerabilidad de escritura fuera de los límites en V-Server V4.0.18.0 y anteriores y en V-Server Lite V4.0.18.0 y anteriores. Si un usuario abre un archivo VPR especialmente manipulado, se puede revelar información y/o se puede ejecutar código arbitrario.
  
• Vulnerabilidad en V-Server y V-Server Lite (CVE-2023-47585)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Vulnerabilidad de lectura fuera de los límites existe en V-Server V4.0.18.0 y anteriores y en V-Server Lite V4.0.18.0 y anteriores. Si un usuario abre un archivo VPR especialmente manipulado, se puede revelar información y/o se puede ejecutar código arbitrario.
  
• Vulnerabilidad en V-Server y V-Server Lite (CVE-2023-47586)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  Existen múltiples vulnerabilidades de desbordamiento del búfer en V-Server V4.0.18.0 y anteriores y V-Server Lite V4.0.18.0 y anteriores. Si un usuario abre un archivo VPR especialmente manipulado, se puede revelar información y/o se puede ejecutar código arbitrario.
  
• Vulnerabilidad en Checkmk (CVE-2023-23549)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 21/11/2023
  La validación de entrada inadecuada en Checkmk <2.2.0p15, <2.1.0p37, <=2.0.0p39 permite a atacantes privilegiados provocar una denegación parcial de servicio de la interfaz de usuario a través de nombres de host demasiado largos.
  
• Vulnerabilidad en HTTPie v3.2.2 (CVE-2023-48052)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  La falta de validación del certificado SSL en HTTPie v3.2.2 permite a los atacantes espiar las comunicaciones entre el host y el servidor mediante un ataque de intermediario.
  
• Vulnerabilidad en Archery v1.10.0 (CVE-2023-48053)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  Archery v1.10.0 utiliza un IV no aleatorio o estático para el modo Cipher Block Chaining (CBC) en cifrado AES. Esta vulnerabilidad puede dar lugar a la divulgación de información y comunicaciones.
  
• Vulnerabilidad en localstack v2.3.2 (CVE-2023-48054)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  La falta de validación del certificado SSL en localstack v2.3.2 permite a los atacantes espiar las comunicaciones entre el host y el servidor mediante un ataque de intermediario.
  
• Vulnerabilidad en Scott Paterson Easy PayPal Shopping Cart (CVE-2023-47239)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de colaboradores o superiores) almacenada en el complemento Scott Paterson Easy PayPal Shopping Cart en versiones <=1.1.10.
  
• Vulnerabilidad en Google Map y OpenStreetMap para Codeboxr CBX Map (CVE-2023-47240)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de colaboradores o superiores) almacenada en el complemento Google Map y OpenStreetMap para Codeboxr CBX Map en versiones <=1.1.11.
  
• Vulnerabilidad en Marco Milesi ANAC XML Bandi di Gara (CVE-2023-47242)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de colaboradores o superiores) almacenada en el complemento Marco Milesi ANAC XML Bandi di Gara en versiones <=7.5.
  
• Vulnerabilidad en Marco Milesi ANAC XML Viewer (CVE-2023-47245)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento Marco Milesi ANAC XML Viewer en versiones <=1.7.
  
• Vulnerabilidad en Averta Master Slider Pro (CVE-2023-47508)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento Averta Master Slider Pro en versiones <=3.6.5.
  
• Vulnerabilidad en Concrete CMS (CVE-2023-48648)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 22/11/2023
  Concrete CMS anterior a 8.5.13 y 9.x anterior a 9.2.2 permite el acceso no autorizado porque se pueden crear directorios con permisos inseguros. Las funciones de creación de archivos (como la función Mkdir()) brindan acceso universal (0777) a las carpetas creadas de forma predeterminada. Se pueden otorgar permisos excesivos al crear un directorio con permisos superiores a 0755 o cuando no se especifica el argumento de permisos.
  
• Vulnerabilidad en Concrete CMS (CVE-2023-48649)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 22/11/2023
  Concrete CMS anterior a 8.5.13 y 9.x anterior a 9.2.2 permite almacenar XSS en la página de Administración a través de un nombre de archivo cargado.
  
• Vulnerabilidad en CubeCart (CVE-2023-38130)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en CubeCart anterior a 6.5.3 permite que un atacante remoto no autenticado elimine datos en el sistema.
  
• Vulnerabilidad en CubeCart (CVE-2023-42428)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Directory Traversal en CubeCart anterior a 6.5.3 permite a un atacante remoto autenticado con privilegios administrativos eliminar directorios y archivos en el sistema.
  
• Vulnerabilidad en CubeCart (CVE-2023-47283)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 22/11/2023
  Vulnerabilidad de Directory Traversal en CubeCart anterior a 6.5.3 permite a un atacante remoto autenticado con privilegios administrativos obtener archivos en el sistema.
  
• Vulnerabilidad en CubeCart (CVE-2023-47675)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 22/11/2023
  CubeCart anterior a 6.5.3 permite a un atacante remoto autenticado con privilegios administrativos ejecutar un comando arbitrario del sistema operativo.