Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Payara Platform Payara Server, Micro y Embedded (CVE-2023-41699)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/11/2023
  Fecha de última actualización: 23/11/2023
  Vulnerabilidad de redirección de URL a sitio no confiable ('Open Redirect') en Payara Platform Payara Server, Micro y Embedded (módulos de implementación de Servlet) permite el acceso de redireccionamiento a librerías. Este problema afecta a Payara Server, Micro y Embedded: desde 5.0.0 antes de 5.57.0 , desde 4.1.2.191 anterior a 4.1.2.191.46, desde 6.0.0 anterior a 6.8.0, desde 6.2023.1 anterior a 6.2023.11.
  
• Vulnerabilidad en Dell OS Recovery Tool (CVE-2023-39259)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 23/11/2023
  Dell OS Recovery Tool en versiones 2.2.4013, 2.3.7012.0 y 2.3.7515.0, contienen una vulnerabilidad de control de acceso inadecuado. Un usuario local autenticado que no sea administrador podría explotar esta vulnerabilidad, lo que provocaría la elevación de privilegios en el sistema.
  
• Vulnerabilidad en kernel de Linux (CVE-2023-6176)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 23/11/2023
  Se encontró una falla de desreferencia de puntero nulo en la API del kernel de Linux para la funcionalidad de dispersión del algoritmo criptográfico. Este problema ocurre cuando un usuario construye un paquete malicioso con una configuración de socket específica, lo que podría permitir que un usuario local bloquee el sistema o aumente sus privilegios en el sistema.
  
• Vulnerabilidad en Wishfulthemes Raise Mag y Wishfulthemes Wishful Blog (CVE-2023-28621)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 23/11/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de Generación de Páginas Web ('Cross-site Scripting') en los temas de Wishfulthemes Raise Mag y Wishfulthemes Wishful Blog permiten XSS Reflejado. Este problema afecta a Raise Mag: desde n/a hasta 1.0.7; Wishful Blog: desde n/a hasta 2.0.1.
  
• Vulnerabilidad en Microsoft Edge (CVE-2023-36008)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 23/11/2023
  Vulnerabilidad de ejecución remota de código de Microsoft Edge (basado en Chromium)
  
• Vulnerabilidad en Microsoft Edge (CVE-2023-36026)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 23/11/2023
  Vulnerabilidad de suplantación de identidad en Microsoft Edge (basado en Chromium)
  
• Vulnerabilidad en Acurax Under Construction / Maintenance Mode para Acurax (CVE-2023-39926)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 23/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) Almacenada No Autenticada en el complemento Acurax Under Construction / Maintenance Mode para Acurax en versiones <= 2.6.
  
• Vulnerabilidad en Alexufo Youtube SpeedLoad (CVE-2023-47688)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 23/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Alexufo Youtube SpeedLoad en versiones <=0.6.3.
  
• Vulnerabilidad en OpenNDS Captive Portal (CVE-2023-38313)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Se descubrió un problema en OpenNDS Captive Portal antes de 10.1.2. tiene una desreferencia de puntero NULL do_binauth que se puede activar con una solicitud GET HTTP manipulada con un parámetro de cadena de consulta de redireccionamiento de cliente faltante. Al desencadenar este problema, openNDS falla (una condición de denegación de servicio). El problema ocurre cuando el cliente está a punto de ser autenticado y solo puede activarse cuando la opción BinAuth está configurada.
  
• Vulnerabilidad en OpenNDS Captive Portal (CVE-2023-38314)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Se descubrió un problema en OpenNDS Captive Portal antes de la versión 10.1.2. Tiene una desreferencia de puntero NULL en preauthentiated() que se puede activar con una solicitud GET HTTP manipulada con un parámetro de cadena de consulta de redireccionamiento faltante. La activación de este problema provoca el bloqueo de OpenNDS (una condición de denegación de servicio).
  
• Vulnerabilidad en OpenNDS Captive Portal (CVE-2023-38315)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Se descubrió un problema en OpenNDS Captive Portal antes de la versión 10.1.2. Tiene una desreferencia de puntero try_to_authenticate NULL que se puede activar con un GET HTTP manipulado con un parámetro de cadena de consulta de token de cliente faltante. La activación de este problema provoca el bloqueo de OpenNDS (una condición de denegación de servicio).
  
• Vulnerabilidad en OpenNDS Captive Portal (CVE-2023-38316)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Se descubrió un problema en OpenNDS Captive Portal antes de la versión 10.1.2. Cuando la devolución de llamada personalizada sin escape está habilitada, los atacantes pueden ejecutar comandos arbitrarios del sistema operativo insertándolos en la parte URL de las solicitudes HTTP GET.
  
• Vulnerabilidad en OpenNDS Captive Portal (CVE-2023-38320)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Se descubrió un problema en OpenNDS Captive Portal antes de la versión 10.1.2. Tiene una desreferencia del puntero NULL show_preauthpage que se puede activar con un GET HTTP manipulado al que le falta un encabezado User-Agent. La activación de este problema provoca el bloqueo de OpenNDS (una condición de denegación de servicio).
  
• Vulnerabilidad en OpenNDS Captive Portal (CVE-2023-38322)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Se descubrió un problema en OpenNDS Captive Portal antes de la versión 10.1.2. Tiene una desreferencia de puntero NULL do_binauth que se activa con una solicitud GET HTTP manipulada a la que le falta un encabezado HTTP User-Agent. La activación de este problema provoca el bloqueo de OpenNDS (una condición de denegación de servicio). El problema ocurre cuando el cliente está a punto de ser autenticado y solo puede activarse cuando la opción BinAuth está configurada.
  
• Vulnerabilidad en OpenNDS Captive Portal (CVE-2023-38324)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Se descubrió un problema en OpenNDS Captive Portal antes de la versión 10.1.2. Permite a los usuarios omitir la secuencia de la página de presentación cuando usan la clave FAS predeterminada y cuando OpenNDS está configurado como FAS (predeterminado).
  
• Vulnerabilidad en Liferay Portal (CVE-2023-47797)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada en la página de edición de una página de contenido en Liferay Portal v7.4.3.94 hasta v7.4.3.95 permite a atacantes remotos inyectar script web o HTML arbitrario a través del parámetro `p_l_back_url_title`.
  
• Vulnerabilidad en Adobe Dimension (CVE-2023-44326)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Las versiones 3.4.9 (y anteriores) de Adobe Dimension se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  
• Vulnerabilidad en Adobe FrameMaker (CVE-2023-44324)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Las versiones 2022 y anteriores de Adobe FrameMaker se ven afectadas por una vulnerabilidad de autenticación incorrecta que podría provocar la omisión de una función de seguridad. Un atacante no autenticado puede aprovechar esta vulnerabilidad para acceder a la API y filtrar la contraseña de administrador predeterminada. La explotación de este problema no requiere la interacción del usuario.
  
• Vulnerabilidad en Adobe ColdFusion (CVE-2023-26347)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Las versiones 2023.5 (y anteriores) y 2021.11 (y anteriores) de Adobe ColdFusion se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar una omisión de la función de seguridad. Un atacante no autenticado podría aprovechar esta vulnerabilidad para acceder a los endpoints de administración CFM y CFC. La explotación de este problema no requiere la interacción del usuario.
  
• Vulnerabilidad en Adobe ColdFusion (CVE-2023-44350)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Las versiones 2023.5 (y anteriores) y 2021.11 (y anteriores) de Adobe ColdFusion se ven afectadas por una vulnerabilidad de deserialización de datos no confiables que podría provocar la ejecución de código arbitrario. La explotación de este problema no requiere la interacción del usuario.
  
• Vulnerabilidad en Adobe ColdFusion (CVE-2023-44351)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Las versiones 2023.5 (y anteriores) y 2021.11 (y anteriores) de Adobe ColdFusion se ven afectadas por una vulnerabilidad de deserialización de datos no confiables que podría provocar la ejecución de código arbitrario. La explotación de este problema no requiere la interacción del usuario.
  
• Vulnerabilidad en Adobe ColdFusion (CVE-2023-44352)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Las versiones 2023.5 (y anteriores) y 2021.11 (y anteriores) de Adobe ColdFusion se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) Reflejada. Si un atacante no autenticado puede convencer a una víctima para que visite una URL que hace referencia a una página vulnerable, se puede ejecutar contenido JavaScript malicioso dentro del contexto del navegador de la víctima.
  
• Vulnerabilidad en Adobe ColdFusion (CVE-2023-44353)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/11/2023
  Fecha de última actualización: 23/11/2023
  Las versiones 2023.5 (y anteriores) y 2021.11 (y anteriores) de Adobe ColdFusion se ven afectadas por una vulnerabilidad de deserialización de datos no confiables que podría provocar la ejecución de código arbitrario. La explotación de este problema no requiere la interacción del usuario.