Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Intel(R) Optane(TM) SSD (CVE-2023-27519)
Severidad: Pendiente de análisis
Fecha de publicación: 14/11/2023
Fecha de última actualización: 29/11/2023
La validación de entrada incorrecta en el firmware para algunos productos Intel(R) Optane(TM) SSD puede permitir que un usuario privilegiado habilite potencialmente la escalada de privilegios a través del acceso local.
Vulnerabilidad en Intel(R) Optane(TM) SSD (CVE-2023-27879)
Severidad: Pendiente de análisis
Fecha de publicación: 14/11/2023
Fecha de última actualización: 29/11/2023
Un control de acceso inadecuado en el firmware para algunos productos Intel(R) Optane(TM) SSD puede permitir que un usuario no autenticado permita potencialmente la divulgación de información mediante acceso físico.
Vulnerabilidad en strukturag libde265 v1.10.12 (CVE-2023-47471)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
Vulnerabilidad de desbordamiento del búfer en strukturag libde265 v1.10.12 permite que un atacante local provoque una denegación de servicio a través de la función slice_segment_header en el componente slice.cc.
Vulnerabilidad en Autel Robotics EVO Nano v1.6.5 (CVE-2023-47335)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
Permisos inseguros en la función setNFZEnable del dron Autel Robotics EVO Nano v1.6.5 permite a los atacantes traspasar la geocerca y volar a zonas de exclusión aérea.
Vulnerabilidad en ELECOM CO.,LTD. y LOGITEC CORPORATION (CVE-2023-43752)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
Vulnerabilidad de inyección de comandos del sistema operativo en WRC-X3000GS2-W v1.05 y anteriores, WRC-X3000GS2-B v1.05 y anteriores, y WRC-X3000GS2A-B v1.05 y anteriores permite que un usuario autenticado adyacente a la red ejecute un sistema operativo arbitrario comando enviando una solicitud especialmente manipulada.
Vulnerabilidad en Dell Precision Tower (CVE-2023-32469)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
El BIOS Dell Precision Tower contiene una vulnerabilidad de validación de entrada incorrecta. Un usuario malicioso autenticado localmente con privilegios de administrador podría explotar esta vulnerabilidad para realizar la ejecución de código arbitrario.
Vulnerabilidad en Dell Encryption, Dell Endpoint Security Suite Enterprise y Dell Security Management Server (CVE-2023-39246)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
Dell Encryption, Dell Endpoint Security Suite Enterprise y Dell Security Management Server versiones anteriores a 11.8.1 contienen una vulnerabilidad de operación insegura en Windows Junction durante la instalación. Un usuario malintencionado local podría explotar esta vulnerabilidad para crear una carpeta arbitraria dentro de un directorio restringido, lo que provocaría una escalada de privilegios.
Vulnerabilidad en Trellix GetSusp (CVE-2023-6119)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
Una vulnerabilidad de Gestión de Privilegios Inadecuada en Trellix GetSusp anterior a la versión 5.0.0.27 permite a un atacante local con pocos privilegios obtener acceso a archivos que normalmente requieren un nivel de privilegio más alto. Esto se debe a que GetSusp no protege correctamente un directorio que crea durante la ejecución, lo que permite a un atacante hacerse cargo de los identificadores de archivos utilizados por GetSusp. Como esto se ejecuta con altos privilegios, el atacante obtiene permisos elevados. Los identificadores de archivos se abren como de solo lectura.
Vulnerabilidad en MLflow (CVE-2023-6015)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
MLflow permitió PONER archivos arbitrarios en el servidor.
Vulnerabilidad en MLflow (CVE-2023-6018)
Severidad: Pendiente de análisis
Fecha de publicación: 16/11/2023
Fecha de última actualización: 29/11/2023
Un atacante puede sobrescribir cualquier archivo en el servidor que aloja MLflow sin ninguna autenticación.
Vulnerabilidad en ePolicy Orchestrator (CVE-2023-5444)
Severidad: Pendiente de análisis
Fecha de publicación: 17/11/2023
Fecha de última actualización: 29/11/2023
Una vulnerabilidad de Cross Site Request Forgery en ePolicy Orchestrator anterior a 5.10.0 CP1 Actualización 2 permite a un usuario remoto con privilegios bajos agregar con éxito un nuevo usuario con privilegios de administrador al servidor de ePO. Esto afecta el área del tablero de la interfaz de usuario. Para aprovechar esto, el atacante debe cambiar el payload HTTP posterior al envío, antes de que llegue al servidor de ePO.
Vulnerabilidad en ePolicy Orchestrator (CVE-2023-5445)
Severidad: Pendiente de análisis
Fecha de publicación: 17/11/2023
Fecha de última actualización: 29/11/2023
Una vulnerabilidad de redireccionamiento abierto en ePolicy Orchestrator anterior a 5.10.0 CP1 Actualización 2 permite a un usuario remoto con pocos privilegios modificar el parámetro de URL con el fin de redirigir solicitudes de URL a un sitio malicioso. Esto afecta el área del tablero de la interfaz de usuario. Un usuario debería iniciar sesión en ePO para activar esta vulnerabilidad. Para aprovechar esto, el atacante debe cambiar el payload HTTP posterior al envío, antes de que llegue al servidor de ePO.
Vulnerabilidad en XWiki Admin Tools Application (CVE-2023-48293)
Severidad: Pendiente de análisis
Fecha de publicación: 20/11/2023
Fecha de última actualización: 29/11/2023
XWiki Admin Tools Application proporciona herramientas para ayudar en la administración de XWiki. Antes de la versión 4.5.1, una vulnerabilidad de Cross-Site Request Forgery en la herramienta de consulta en XWiki permitía ejecutar consultas arbitrarias en la base de datos de la instalación de XWiki. Entre otras cosas, esto permite modificar y eliminar todos los datos de la wiki. Esto podría usarse tanto para dañar el wiki como para crear una cuenta con privilegios elevados para el atacante, impactando así la confidencialidad, integridad y disponibilidad de toda la instancia de XWiki. Un posible vector de ataque son los comentarios en la wiki, al incrustar una imagen con sintaxis de wiki como `[[image:path:/xwiki/bin/view/Admin/QueryOnXWiki?query=DELETE%20FROM%20xwikidoc]]`, todos los documentos se eliminará de la base de datos cuando un usuario administrador vea este comentario. Esto se ha solucionado en la aplicación Admin Tools 4.5.1 añadiendo comprobaciones de tokens de formulario. Algunos workarounds están disponibles. El parche también se puede aplicar manualmente a las páginas afectadas. Alternativamente, si la herramienta de consulta no es necesaria, al eliminar el documento `Admin.SQLToolsGroovy`, se pueden desactivar todas las herramientas de consulta de la base de datos.
Vulnerabilidad en Nessus (CVE-2023-6062)
Severidad: Pendiente de análisis
Fecha de publicación: 20/11/2023
Fecha de última actualización: 29/11/2023
Existe una vulnerabilidad de escritura de archivos arbitraria donde un atacante remoto autenticado con privilegios de administrador en la aplicación Nessus podría alterar las variables de las reglas de Nessus para sobrescribir archivos arbitrarios en el host remoto, lo que podría conducir a una condición de Denegación de Servicio.
Vulnerabilidad en Nessus Rules (CVE-2023-6178)
Severidad: Pendiente de análisis
Fecha de publicación: 20/11/2023
Fecha de última actualización: 29/11/2023
Existe una vulnerabilidad de escritura de archivos arbitraria donde un atacante autenticado con privilegios en la aplicación de administración podría alterar las variables de Nessus Rules para sobrescribir archivos arbitrarios en el host remoto, lo que podría conducir a una condición de Denegación de Servicio.
Vulnerabilidad en TOTOlink A3700R (CVE-2023-48192)
Severidad: Pendiente de análisis
Fecha de publicación: 20/11/2023
Fecha de última actualización: 29/11/2023
Un problema en TOTOlink A3700R v.9.1.2u.6134_B20201202 permite a un atacante local ejecutar código arbitrario a través de la función setTracerouteCfg.
Vulnerabilidad en upydev v0.4.3 (CVE-2023-48051)
Severidad: Pendiente de análisis
Fecha de publicación: 20/11/2023
Fecha de última actualización: 29/11/2023
Un problema en /upydev/keygen.py en upydev v0.4.3 permite a los atacantes descifrar información confidencial mediante un relleno de cifrado débil.
Vulnerabilidad en TestingPlatform (CVE-2023-48310)
Severidad: Pendiente de análisis
Fecha de publicación: 20/11/2023
Fecha de última actualización: 29/11/2023
TestingPlatform es una plataforma de prueba para estándares de seguridad de Internet. Antes de la versión 2.1.1, la entrada del usuario no se filtra correctamente. Se aceptan opciones de Nmap. En este caso particular, se acepta la opción de crear archivos de registro además de un nombre de host (e incluso sin él). Se crea un archivo de registro en la ubicación especificada. Estos archivos se crean como root. Si el archivo existe, el archivo existente se vuelve inútil. Esto puede resultar en la denegación del servicio. La versión 2.1.1 contiene un parche para este problema.
Vulnerabilidad en Book Stack versión 23.10.2 (CVE-2023-6199)
Severidad: Pendiente de análisis
Fecha de publicación: 20/11/2023
Fecha de última actualización: 29/11/2023
Book Stack versión 23.10.2 permite filtrar archivos locales en el servidor. Esto es posible porque la aplicación es vulnerable a SSRF.
Vulnerabilidad en Red Lion SixTRAK y VersaTRAK Series RTU (CVE-2023-40151)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Cuando la autenticación de usuario no está habilitada, el shell puede ejecutar comandos con los privilegios más altos. Red Lion SixTRAK y VersaTRAK Series RTU con usuarios autenticados habilitados (UDR-A), cualquier mensaje Sixnet UDR enfrentará un desafío de autenticación a través de UDP/IP. Cuando llega el mismo mensaje a través de TCP/IP, la RTU simplemente aceptará el mensaje sin desafío de autenticación.
Vulnerabilidad en Dev blog v1.0 (CVE-2023-6142)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Dev blog v1.0 permite explotar un XSS mediante la carga de archivos sin restricciones, junto con una mala entropía de los nombres de archivos. Con esto, un atacante puede cargar un archivo HTML malicioso, luego adivinar el nombre del archivo cargado y enviarlo a una víctima potencial.
Vulnerabilidad en Dev blog v1.0 (CVE-2023-6144)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Dev blog v1.0 permite explotar una apropiación de cuenta a través de la cookie de "usuario". Con esto, un atacante puede acceder a la sesión de cualquier usuario con sólo conocer su nombre de usuario.
Vulnerabilidad en Red Lion SixTRAK y VersaTRAK Series RTU (CVE-2023-42770)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Red Lion SixTRAK y VersaTRAK Series RTU con usuarios autenticados habilitados (UDR-A), cualquier mensaje Sixnet UDR enfrentará un desafío de autenticación a través de UDP/IP. Cuando se recibe el mismo mensaje a través de TCP/IP, la RTU simplemente aceptará el mensaje sin desafío de autenticación.
Vulnerabilidad en BGP daemon (bgpd) en IP Infusion ZebOS (CVE-2023-45886)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
BGP daemon (bgpd) en IP Infusion ZebOS hasta 7.10.6 permite a atacantes remotos provocar una Denegación de Servicio enviando mensajes de actualización de BGP manipulados que contienen un atributo con formato incorrecto.
Vulnerabilidad en Industrial Managed Switch (CVE-2023-4149)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Una vulnerabilidad en la administración basada en web permite a un atacante remoto no autenticado inyectar comandos arbitrarios del sistema y obtener control total del sistema. Esos comandos se ejecutan con privilegios de root. La vulnerabilidad se encuentra en el manejo de solicitudes de usuario de la administración basada en web.
Vulnerabilidad en Zephyr (CVE-2023-4424)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Un dispositivo BLE malicioso puede provocar un desbordamiento del búfer al enviar un paquete publicitario con formato incorrecto al dispositivo BLE utilizando Zephyr OS, lo que provoca DoS o un posible RCE en el dispositivo BLE víctima.
Vulnerabilidad en Post Meta Data Manager para WordPress (CVE-2023-5776)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
El complemento Post Meta Data Manager para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.2.1 incluida. Esto se debe a que falta la validación nonce en las funciones pmdm_wp_ajax_delete_meta, pmdm_wp_delete_user_meta y pmdm_wp_delete_user_meta. Esto hace posible que atacantes no autenticados eliminen usuarios, términos y publicaciones meta arbitrarios a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
Vulnerabilidad en Zscaler Client Connector (CVE-2023-28802)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Una validación incorrecta del valor de verificación de integridad en Zscaler Client Connector en Windows permite a un usuario autenticado deshabilitar ZIA/ZPA interrumpiendo el reinicio del servicio desde Zscaler Diagnostics. Este problema afecta a Client Connector: anterior a 4.2.0.149.
Vulnerabilidad en Duet Display (CVE-2023-6235)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Se ha encontrado una vulnerabilidad de elemento de ruta de búsqueda no controlada en el producto Duet Display, que afecta a la versión 2.5.9.1. Un atacante podría colocar un archivo libusk.dll arbitrario en el directorio C:\Users\user\AppData\Local\Microsoft\WindowsApps\, lo que podría provocar la ejecución y persistencia de código arbitrario.
Vulnerabilidad en SUP Online Shopping v.1.0 (CVE-2023-48124)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 29/11/2023
Cross Site Scripting en SUP Online Shopping v.1.0 permite a un atacante remoto ejecutar código arbitrario a través de los parámetros Nombre, Correo electrónico y Dirección en el componente Registrar nueva cuenta.
Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2022-35638)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
IBM Sterling B2B Integrator Standard Edition 6.0.0.0 a 6.0.3.8 y 6.1.0.0 a 6.1.2.1 es vulnerable a cross-site request forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que confía el sitio web. ID de IBM X-Force: 230824.
Vulnerabilidad en VideoLAN VLC (CVE-2023-46814)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Existe una vulnerabilidad de secuestro binario en el reproductor multimedia VideoLAN VLC anterior a 3.0.19 en Windows. El desinstalador intenta ejecutar código con privilegios elevados desde una ubicación de escritura estándar por parte del usuario. Los usuarios estándar pueden usar esto para obtener la ejecución de código arbitrario como SYSTEM.
Vulnerabilidad en GifLib GifLib v.5.2.1 (CVE-2023-48161)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Vulnerabilidad de desbordamiento del búfer en el proyecto GifLib GifLib v.5.2.1 permite a un atacante local obtener información confidencial a través de la función DumpSCreen2RGB en gif2rgb.c
Vulnerabilidad en Autodesk Desktop Connector (CVE-2023-29069)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Se puede forzar la instalación de un archivo DLL creado con fines malintencionados en una ubicación no predeterminada y el atacante puede sobrescribir partes del producto con archivos DLL maliciosos. Estos archivos pueden tener privilegios elevados, lo que lleva a una vulnerabilidad de escalada de privilegios.
Vulnerabilidad en Autodesk (CVE-2023-41145)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Los usuarios de Autodesk que ya no tengan una licencia activa para una cuenta, aún pueden acceder a los casos de esa cuenta.
Vulnerabilidad en Autodesk Customer Support Portal (CVE-2023-41146)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Autodesk Customer Support Portal permite que los casos creados por usuarios de una cuenta vean los casos creados por otros usuarios de la misma cuenta.
Vulnerabilidad en radare2 5.8.9 (CVE-2023-47016)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
radare2 5.8.9 tiene una lectura fuera de los límites en r_bin_object_set_items en libr/bin/bobj.c, lo que provoca un bloqueo en r_read_le32 en libr/include/r_endian.h.
Vulnerabilidad en Mercedes me IOS APP (CVE-2023-47392)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Un problema de control de acceso en Mercedes me IOS APP v1.34.0 y versiones anteriores permite a los atacantes ver los carritos de otros usuarios mediante el envío de una solicitud de adición de pedido manipulada.
Vulnerabilidad en Mercedes me IOS APP (CVE-2023-47393)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Un problema de control de acceso en Mercedes me IOS APP v1.34.0 y versiones anteriores permite a los atacantes ver las órdenes de mantenimiento de otros usuarios y acceder a información confidencial del usuario a través de vectores no especificados.
Vulnerabilidad en News & Blog Designer Pack – WordPress Blog Plugin para WordPress (CVE-2023-5815)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
El complemento News & Blog Designer Pack – WordPress Blog Plugin (Blog Post Grid, Blog Post Slider, Blog Post Carousel, Blog Post Ticker, Blog Post Masonry) para WordPress es vulnerable a la ejecución remota de código mediante la inclusión de archivos locales en todas las versiones hasta 3.4.1 incluida, a través de la función bdp_get_more_post enlazada a través de un AJAX nopriv. Esto se debe a que la función utiliza un método extract() inseguro para extraer valores de la variable POST y pasar esa entrada a la función include(). Esto hace posible que atacantes no autenticados incluyan archivos PHP arbitrarios y logren la ejecución remota de código. En configuraciones de Docker vulnerables, es posible que un atacante cree un archivo PHP y luego lo incluya para lograr RCE.
Vulnerabilidad en Drag and Drop Multiple File Upload - Contact Form 7 para WordPress (CVE-2023-5822)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
El complemento Drag and Drop Multiple File Upload - Contact Form 7 para WordPress es vulnerable a cargas de archivos arbitrarias debido a una validación insuficiente del tipo de archivo en la función 'dnd_upload_cf7_upload' en versiones hasta la 1.3.7.3 incluida. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código. Esto se puede aprovechar si un usuario autorizado para editar el formulario, lo que significa privilegios de editor o superiores, ha agregado un campo de formulario de 'carga de múltiples archivos' con '*' tipos de archivos aceptables.
Vulnerabilidad en UserPro para WordPress (CVE-2023-6007)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
El complemento UserPro para WordPress es vulnerable al acceso no autorizado a datos, modificación de datos, pérdida de datos debido a una falta de verificación de capacidad en múltiples funciones en todas las versiones hasta la 5.1.1 incluida. Esto hace posible que atacantes no autenticados agreguen, modifiquen o eliminen metaopciones y complementos del usuario.
Vulnerabilidad en UserPro para WordPress (CVE-2023-6008)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
El complemento UserPro para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 5.1.1 incluida. Esto se debe a una validación nonce faltante o incorrecta en múltiples funciones. Esto hace posible que atacantes no autenticados agreguen, modifiquen o eliminen metaopciones y complementos del usuario.
Vulnerabilidad en UserPro para WordPress (CVE-2023-6009)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
El complemento UserPro para WordPress es vulnerable a la escalada de privilegios en versiones hasta la 5.1.4 incluida debido a una restricción insuficiente en la función 'userpro_update_user_profile'. Esto hace posible que atacantes autenticados, con permisos mínimos, como un suscriptor, modifiquen su rol de usuario proporcionando el parámetro 'wp_capabilities' durante una actualización de perfil.
Vulnerabilidad en LifterLMS – WordPress LMS Plugin para eLearning para WordPress (CVE-2023-6160)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
El complemento LifterLMS – WordPress LMS Plugin para eLearning para WordPress es vulnerable a Directory Traversal en versiones hasta la 7.4.2 incluida a través de la función Maybe_serve_export. Esto hace posible que atacantes autenticados, con acceso de administrador o administrador LMS y superior, lean el contenido de archivos CSV arbitrarios en el servidor, que pueden contener información confidencial, además de eliminar esos archivos del servidor.
Vulnerabilidad en Plerdy para WordPress (CVE-2023-5715)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 29/11/2023
Optimización del sitio web: el complemento Plerdy para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración del código de seguimiento del complemento en todas las versiones hasta la 1.3.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso a nivel de administrador, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
Vulnerabilidad en Pandora FMS (CVE-2023-41810)
Severidad: Pendiente de análisis
Fecha de publicación: 23/11/2023
Fecha de última actualización: 29/11/2023
La vulnerabilidad de Neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Pandora FMS permite en todos los casos Cross-Site Scripting (XSS). Esta vulnerabilidad permitía ejecutar código Javascript en el cuadro de texto de algunos Widgets. Este problema afecta a Pandora FMS: del 700 al 773.
Vulnerabilidad en Pandora FMS (CVE-2023-41811)
Severidad: Pendiente de análisis
Fecha de publicación: 23/11/2023
Fecha de última actualización: 29/11/2023
La vulnerabilidad de Neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Pandora FMS permite en todos los casos Cross-Site Scripting (XSS). Esta vulnerabilidad permitía ejecutar código Javascript en la sección de noticias de la consola web. Este problema afecta a Pandora FMS: del 700 al 773.