Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Eclipse IDE (CVE-2023-4218)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/11/2023
    Fecha de última actualización: 24/11/2023
    En las versiones de Eclipse IDE <2023-09 (4.29), algunos archivos con contenido xml se analizan como vulnerables a todo tipo de ataques XXE. El usuario sólo necesita abrir cualquier proyecto maligno o actualizar un proyecto abierto con un archivo vulnerable (por ejemplo, para revisar un repositorio o parche externo).
  • Vulnerabilidad en Vim (CVE-2023-48231)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 24/11/2023
    Vim es un editor de texto de línea de comandos de código abierto. Al cerrar una ventana, vim puede intentar acceder a la estructura de la ventana ya liberada. No se ha demostrado que la explotación más allá de bloquear la aplicación sea viable. Este problema se solucionó en el commit `25aabc2b` que se incluyó en la versión 9.0.2106. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Vim (CVE-2023-48232)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 24/11/2023
    Vim es un editor de texto de línea de comandos de código abierto. Puede ocurrir una excepción de punto flotante al calcular el desplazamiento de línea para líneas demasiado largas y el desplazamiento suave está habilitado y la configuración de cpo incluye el indicador 'n'. Esto puede suceder cuando hay un borde de ventana presente y cuando la línea ajustada continúa en la siguiente línea física directamente en el borde de la ventana porque la configuración 'cpo' incluye la bandera 'n'. Sólo los usuarios con configuraciones no predeterminadas se ven afectados y la excepción sólo debería provocar un bloqueo. Este problema se solucionó en el commit `cb0b99f0` que se incluyó en la versión 9.0.2107. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Vim (CVE-2023-48233)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 24/11/2023
    Vim es un editor de texto de línea de comandos de código abierto. Si el recuento después del comando :s es mayor que lo que cabe en una variable larga (firmada), cancele con e_value_too_large. El impacto es bajo, se requiere la interacción del usuario y es posible que ni siquiera ocurra una falla en todas las situaciones. Este problema se solucionó en el commit `ac6378773` que se incluyó en la versión 9.0.2108. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Vim (CVE-2023-48234)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 24/11/2023
    Vim es un editor de texto de línea de comandos de código abierto. Al obtener el recuento para un comando z en modo normal, es posible que se desborde si se dan recuentos grandes. El impacto es bajo, se requiere la interacción del usuario y es posible que ni siquiera ocurra una falla en todas las situaciones. Este problema se solucionó en el commit `58f9befca1` que se incluyó en la versión 9.0.2109. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Vim (CVE-2023-48235)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 24/11/2023
    Vim es un editor de texto de línea de comandos de código abierto. Al analizar direcciones ex relativas, se puede provocar involuntariamente un desbordamiento. Irónicamente, esto sucede en la verificación de desbordamiento existente, porque el número de línea se vuelve negativo y LONG_MAX - lnum provocará el desbordamiento. El impacto es bajo, se requiere la interacción del usuario y es posible que ni siquiera ocurra una falla en todas las situaciones. Este problema se solucionó en el commit `060623e` que se incluyó en la versión 9.0.2110. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Vim (CVE-2023-48236)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 24/11/2023
    Vim es un editor de texto de línea de comandos de código abierto. Al utilizar el comando z=, el usuario puede desbordar el recuento con valores mayores que MAX_INT. El impacto es bajo, se requiere la interacción del usuario y es posible que ni siquiera ocurra una falla en todas las situaciones. Esta vulnerabilidad se solucionó en el commit `73b2d379` que se incluyó en la versión 9.0.2111. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Vim (CVE-2023-48237)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 24/11/2023
    Vim es un editor de texto de línea de comandos de código abierto. En las versiones afectadas, al cambiar líneas en el modo pendiente del operador y utilizar un valor muy grande, es posible que se desborde el tamaño del número entero. El impacto es bajo, se requiere la interacción del usuario y es posible que ni siquiera ocurra una falla en todas las situaciones. Este problema se solucionó en el commit `6bf131888` que se incluyó en la versión 9.0.2112. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en CLUSTERPRO X, EXPRESSCLUSTER X, CLUSTERPRO X SingleServerSafe y EXPRESSCLUSTER X SingleServerSafe (CVE-2023-39544)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/11/2023
    Fecha de última actualización: 24/11/2023
    CLUSTERPRO X Ver5.1 y anteriores y EXPRESSCLUSTER X 5.1 y anteriores, CLUSTERPRO X SingleServerSafe 5.0 y anteriores, EXPRESSCLUSTER X SingleServerSafe 5.0 y anteriores permiten que un atacante inicie sesión en el producto y pueda ejecutar un comando arbitrario.
  • Vulnerabilidad en CLUSTERPRO X, EXPRESSCLUSTER X, CLUSTERPRO X SingleServerSafe y EXPRESSCLUSTER X SingleServerSafe (CVE-2023-39545)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/11/2023
    Fecha de última actualización: 24/11/2023
    CLUSTERPRO X Ver5.1 y anteriores y EXPRESSCLUSTER X 5.1 y anteriores, CLUSTERPRO X SingleServerSafe 5.0 y anteriores, EXPRESSCLUSTER X SingleServerSafe 5.0 y anteriores permiten que un atacante inicie sesión en el producto y pueda ejecutar un comando arbitrario.
  • Vulnerabilidad en CLUSTERPRO X, EXPRESSCLUSTER X, CLUSTERPRO X SingleServerSafe y EXPRESSCLUSTER X SingleServerSafe (CVE-2023-39546)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/11/2023
    Fecha de última actualización: 24/11/2023
    CLUSTERPRO X Ver5.1 y anteriores y EXPRESSCLUSTER X 5.1 y anteriores, CLUSTERPRO X SingleServerSafe 5.0 y anteriores, EXPRESSCLUSTER X SingleServerSafe 5.0 y anteriores permiten que un atacante inicie sesión en el producto y pueda ejecutar un comando arbitrario.
  • Vulnerabilidad en CLUSTERPRO X, EXPRESSCLUSTER X, CLUSTERPRO X SingleServerSafe y EXPRESSCLUSTER X SingleServerSafe (CVE-2023-39547)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/11/2023
    Fecha de última actualización: 24/11/2023
    CLUSTERPRO X Ver5.1 y anteriores y EXPRESSCLUSTER X 5.1 y anteriores, CLUSTERPRO X SingleServerSafe 5.0 y anteriores, EXPRESSCLUSTER X SingleServerSafe 5.0 y anteriores permiten que un atacante inicie sesión en el producto y pueda ejecutar un comando arbitrario.
  • Vulnerabilidad en CLUSTERPRO X, EXPRESSCLUSTER X, CLUSTERPRO X SingleServerSafe y EXPRESSCLUSTER X SingleServerSafe (CVE-2023-39548)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/11/2023
    Fecha de última actualización: 24/11/2023
    CLUSTERPRO X Ver5.1 y anteriores y EXPRESSCLUSTER X 5.1 y anteriores, CLUSTERPRO X SingleServerSafe 5.0 y anteriores, EXPRESSCLUSTER X SingleServerSafe 5.0 y anteriores permiten que un atacante inicie sesión en el producto y pueda ejecutar un comando arbitrario.
  • Vulnerabilidad en Labib Ahmed Image Hover Effects – WordPress Plugin (CVE-2023-47552)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/11/2023
    Fecha de última actualización: 24/11/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Labib Ahmed Image Hover Effects – WordPress Plugin. Este problema afecta a Image Hover Effects – WordPress Plugin: desde n/a hasta 5.5.
  • Vulnerabilidad en User Local Inc UserHeat Plugin (CVE-2023-47553)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/11/2023
    Fecha de última actualización: 24/11/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en User Local Inc UserHeat Plugin. Este problema afecta a UserHeat Plugin: desde n/a hasta 1.1.6.
  • Vulnerabilidad en OpenHarmony (CVE-2023-3116)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    En OpenHarmony v3.2.2 y versiones anteriores permiten que un atacante local obtenga información confidencial o reescriba archivos confidenciales mediante permisos predeterminados incorrectos.
  • Vulnerabilidad en OpenHarmony (CVE-2023-42774)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    En OpenHarmony v3.2.2 y versiones anteriores permiten que un atacante local obtenga información confidencial a través de permisos predeterminados incorrectos.
  • Vulnerabilidad en OpenHarmony (CVE-2023-43612)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    En OpenHarmony v3.2.2 y versiones anteriores permiten que un atacante local lea y escriba archivos arbitrarios mediante la preservación inadecuada de los permisos.
  • Vulnerabilidad en OpenHarmony (CVE-2023-46100)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    En OpenHarmony v3.2.2 y versiones anteriores permiten que un atacante local obtenga información confidencial del búfer mediante el uso de recursos no inicializados.
  • Vulnerabilidad en OpenHarmony (CVE-2023-46705)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    En OpenHarmony v3.2.2 y versiones anteriores permiten que un atacante local provoque una fuga de información del sistema a través de confusión de tipos.
  • Vulnerabilidad en OpenHarmony (CVE-2023-47217)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    En OpenHarmony v3.2.2 y versiones anteriores permiten que un atacante local provoque DOS a través de un desbordamiento del búfer.
  • Vulnerabilidad en OpenHarmony (CVE-2023-6045)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    En OpenHarmony v3.2.2 y versiones anteriores permiten que un atacante local ejecute código arbitrario en aplicaciones preinstaladas mediante confusión de tipos.
  • Vulnerabilidad en Magic Embeds de WordPress (CVE-2023-4799)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    El complemento Magic Embeds de WordPress anterior a 3.1.2 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde se incrusta el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superiores realizar ataques de Cross-Site Scripting Almacenado.
  • Vulnerabilidad en WooHoo Newspaper Magazine (CVE-2023-4824)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    El tema WooHoo Newspaper Magazine no tiene activada la verificación CSRF al actualizar su configuración, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
  • Vulnerabilidad en PubyDoc para WordPress (CVE-2023-4970)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    El complemento PubyDoc para WordPress hasta la versión 2.0.6 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting incluso cuando unfiltered_html no está permitido.
  • Vulnerabilidad en Bonus for Woo para WordPress (CVE-2023-5140)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    El complemento Bonus for Woo para WordPress anterior a 5.8.3 no sanitiza ni escapa algunos parámetros antes de devolverlos a las páginas, lo que genera Cross-Site Scripting Reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
  • Vulnerabilidad en Tenda AX1803 (CVE-2023-48109)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    Se descubrió que Tenda AX1803 v1.0.0.1 contenía un desbordamiento del heap a través del parámetro deviceId en la función saveParentControlInfo. Esta vulnerabilidad permite a los atacantes provocar un ataque de Denegación de Servicio (DoS)
  • Vulnerabilidad en Tenda AX1803 (CVE-2023-48110)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    Se descubrió que Tenda AX1803 v1.0.0.1 contenía un desbordamiento del heap a través del parámetro urls en la función saveParentControlInfo. Esta vulnerabilidad permite a los atacantes provocar un ataque de Denegación de Servicio (DoS)
  • Vulnerabilidad en Tenda AX1803 (CVE-2023-48111)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 24/11/2023
    Se descubrió que Tenda AX1803 v1.0.0.1 contenía un desbordamiento de pila a través del parámetro de tiempo en la función saveParentControlInfo. Esta vulnerabilidad permite a los atacantes provocar un ataque de Denegación de Servicio (DoS)