Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en vantage6 (CVE-2023-47631)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/11/2023
  Fecha de última actualización: 30/11/2023
  vantage6 es un framework para gestionar e implementar tecnologías que mejoran la privacidad, como el Federated Learning (FL) y la Multi-Party Computation (MPC). En las versiones afectadas, un nodo no verifica si se permite ejecutar una imagen si se establece un "parent_id". Una parte malintencionada que infrinja el servidor puede modificarlo para establecer un "parent_id" falso y enviar una tarea de un algoritmo no incluido en la lista blanca. Luego, el nodo lo ejecutará porque el `parent_id` que está configurado impide que se ejecuten comprobaciones. Esto afecta a todos los servidores que son vulnerados por un usuario experto. Esta vulnerabilidad ha sido parcheada en la versión 4.1.2. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  
• Vulnerabilidad en Yoast Yoast Local Premium (CVE-2023-28780)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Yoast Yoast Local Premium. Este problema afecta a Yoast Local Premium: desde n/a hasta 14.8.
  
• Vulnerabilidad en Arshid Easy Hide Login (CVE-2023-31075)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Arshid Easy Hide Login. Este problema afecta a Easy Hide Login: desde n/a hasta 1.0.8.
  
• Vulnerabilidad en Tradebooster Video XML Sitemap Generator (CVE-2023-31089)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Tradebooster Video XML Sitemap Generator. Este problema afecta al Video XML Sitemap Generator: desde n/a hasta 1.0.0.
  
• Vulnerabilidad en WPDeveloper Essential Addons para Elementor Pro (CVE-2023-32245)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en WPDeveloper Essential Addons para Elementor Pro. Este problema afecta a Essential Addons para Elementor Pro: desde n/a hasta 5.4.8.
  
• Vulnerabilidad en Kainex Wise Chat (CVE-2023-32504)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Kainex Wise Chat. Este problema afecta a Wise Chat: desde n/a hasta 3.1.3.
  
• Vulnerabilidad en Himanshu Parashar Google Site Verification (CVE-2023-32514)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) mediante Meta Tag en el complemento Himanshu Parashar Google Site Verification. Este problema afecta mediante Meta Tag al complemento Google Site Verification: desde n/a hasta 1.2.
  
• Vulnerabilidad en Datalogics APDFL (CVE-2021-38405)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/11/2023
  Fecha de última actualización: 30/11/2023
  La librería Datalogics APDFL utilizada en los productos afectados es vulnerable a daños en la memoria al analizar archivos PDF especialmente manipulados. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
  
• Vulnerabilidad en Statamic CMS (CVE-2023-48701)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/11/2023
  Fecha de última actualización: 30/11/2023
  Statamic CMS es un Content Management System (CMS) impulsado por Laravel y Git. Antes de las versiones 3.4.15 y 4.36.0, los archivos HTML manipulados para que parecieran imágenes se podían cargar independientemente de la validación MIME. Esto solo se aplica en formularios frontales que utilizan la función "Formularios" que contiene un campo de activos, o dentro del panel de control que requiere autenticación. Este problema se solucionó en 3.4.15 y 4.36.0.
  
• Vulnerabilidad en UserPro para WordPress (CVE-2023-2446)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  El complemento UserPro para WordPress es vulnerable a la divulgación de información confidencial a través del código corto 'userpro' en versiones hasta la 5.1.1 incluida. Esto se debe a una restricción insuficiente de los metavalores sensibles del usuario que se pueden invocar a través de ese código abreviado. Esto hace posible que atacantes autenticados, con permisos de nivel de suscriptor y superiores, recuperen metadatos de usuario sensibles que pueden usarse para obtener acceso a una cuenta de usuario con altos privilegios.
  
• Vulnerabilidad en UserPro para WordPress (CVE-2023-2447)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  El complemento UserPro para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 5.1.1 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función 'export_users'. Esto hace posible que atacantes no autenticados exporten a los usuarios a un archivo csv, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  
• Vulnerabilidad en M-Files (CVE-2023-6117)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Se detectó una posibilidad de consumo no deseado de memoria del servidor a través de las funcionalidades obsoletas en los métodos Rest API del servidor M-Files anteriores a 23.11.13156.0, lo que permite a los atacantes ejecutar ataques DoS.
  
• Vulnerabilidad en M-Files (CVE-2023-6189)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Las comprobaciones de permisos de acceso faltantes en el servidor M-Files anteriores a 23.11.13156.0 permiten a los atacantes realizar trabajos de escritura y exportación de datos utilizando los métodos API de M-Files.
  
• Vulnerabilidad en Digital Guardian Agent (CVE-2023-6253)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Una clave de cifrado guardada en el desinstalador Digital Guardian Agent anterior a la versión 7.9.4 permite a un atacante local recuperar la clave de desinstalación y eliminar el software extrayendo la clave de desinstalación de la memoria del archivo de desinstalación.
  
• Vulnerabilidad en Dell Unity (CVE-2023-43082)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Dell Unity anterior a 5.3 contiene una vulnerabilidad de tipo "man in the middle" en el componente vmadapter. Si un cliente tiene un certificado firmado por una autoridad de certificación pública de terceros, un atacante podría falsificar la CA de vCenter y obtener un certificado firmado por una CA.
  
• Vulnerabilidad en Chronopost Official para PrestaShop (CVE-2023-45377)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  En el módulo "Chronopost Official" (chronopost) para PrestaShop, un invitado puede realizar una inyección SQL. El script PHP `cancelSkybill.php` posee llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL.
  
• Vulnerabilidad en Headwind MDM Web panel 5.22.1 (CVE-2023-47312)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Headwind MDM Web panel 5.22.1 es vulnerable a un control de acceso incorrecto debido a una fuga de credenciales de inicio de sesión a través de entradas de auditoría.
  
• Vulnerabilidad en Headwind MDM Web panel 5.22.1 (CVE-2023-47313)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Headwind MDM Web panel 5.22.1 es vulnerable a Directory Traversal.
  
• Vulnerabilidad en Headwind MDM Web panel 5.22.1 (CVE-2023-47314)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Headwind MDM Web panel 5.22.1 es vulnerable a Cross Site Scripting (XSS) a través de la carga de archivos no controlada.
  
• Vulnerabilidad en Headwind MDM Web panel 5.22.1 (CVE-2023-47315)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Headwind MDM Web panel 5.22.1 es vulnerable a un control de acceso incorrecto debido a un JWT Secret codificado.
  
• Vulnerabilidad en Headwind MDM Web panel 5.22.1 (CVE-2023-47316)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Headwind MDM Web panel 5.22.1 es vulnerable a un control de acceso incorrecto. El panel web permite a los usuarios obtener acceso a llamadas API potencialmente confidenciales, como listas de usuarios y sus datos, llamadas API de administración de archivos y llamadas API relacionadas con auditorías.
  
• Vulnerabilidad en Advanced Local Pickup para WooCommerce para WordPress (CVE-2023-2841)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  El complemento Advanced Local Pickup para WooCommerce para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro id en versiones hasta la 1.5.5 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados con privilegios de nivel de administrador agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  
• Vulnerabilidad en Libde265 v1.0.12 (CVE-2023-43887)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Se descubrió que Libde265 v1.0.12 contenía múltiples desbordamientos del búfer a través de los parámetros num_tile_columns y num_tile_row en la función pic_parameter_set::dump.
  
• Vulnerabilidad en MyPrestaModules para PrestaShop (CVE-2023-46357)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  En el módulo "Cross Selling in Modal Cart" (motivationsale) < 3.5.0 de MyPrestaModules para PrestaShop, un invitado puede realizar una inyección SQL. El método `motivationsaleDataModel::getProductsByIds()` tiene llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL.
  
• Vulnerabilidad en IBM Cloud Pak for Security e IBM QRadar Suite Software (CVE-2022-36777)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  IBM Cloud Pak for Security (CP4S) 1.10.0.0 a 1.10.11.0 e IBM QRadar Suite Software 1.10.12.0 a 1.10.16.0 podrían permitir a un usuario autenticado obtener información confidencial de la versión que podría ayudar en futuros ataques contra el sistema. ID de IBM X-Force: 233665.
  
• Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2023-25682)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  IBM Sterling B2B Integrator Standard Edition 6.0.0.0 a 6.0.3.8 y 6.1.0.0 a 6.1.2.1 almacena información potencialmente confidencial en archivos de registro que un usuario local podría leer. ID de IBM X-Force: 247034.
  
• Vulnerabilidad en Draytek Vigor2960 (CVE-2023-6265)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Draytek Vigor2960 v1.5.1.4 y v1.5.1.5 son vulnerables a directory traversal a través del parámetro 'option' mainfunction.cgi dumpSyslog que permite a un atacante autenticado con acceso a la interfaz de administración web eliminar archivos arbitrarios. Vigor2960 ya no es compatible.
  
• Vulnerabilidad en YAS Global Team Permalinks Customizer (CVE-2023-47773)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Scripting entre sitios') en el complemento YAS Global Team Permalinks Customizer en versiones <= 2.8.2.
  
• Vulnerabilidad en LayerSlider (CVE-2023-47786)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 30/11/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en el complemento LayerSlider <= versiones 7.7.9.
  
• Vulnerabilidad en StellarWP Membership Plugin – Restrict Content (CVE-2023-47668)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Exposición de información confidencial a una vulnerabilidad de actor no autorizado en el complemento StellarWP Membership Plugin – Restrict Content en versiones <= 3.2.7.
  
• Vulnerabilidad en Dell Command | Configure (CVE-2023-43086)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Comando Dell | Configure, versiones anteriores a la 4.11.0, contiene una vulnerabilidad de control de acceso inadecuado. Un usuario malintencionado local podría modificar archivos dentro de la carpeta de instalación durante la actualización de la aplicación, lo que provocaría una escalada de privilegios.
  
• Vulnerabilidad en Dell Command | Configure (CVE-2023-44289)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Dell Command | Configure las versiones anteriores a la 4.11.0 contienen una vulnerabilidad de control de acceso inadecuado. Un usuario estándar malicioso local podría explotar esta vulnerabilidad mientras repara/cambia la instalación, lo que provocaría una escalada de privilegios.
  
• Vulnerabilidad en Dell Command | Monitor (CVE-2023-44290)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Dell Command | Monitor las versiones anteriores a la 10.10.0 contienen una vulnerabilidad de control de acceso inadecuado. Un usuario estándar malicioso local podría explotar esta vulnerabilidad mientras repara/cambia la instalación, lo que provocaría una escalada de privilegios.
  
• Vulnerabilidad en Ironman PowerShell Universal (CVE-2023-49213)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Los endpoints API en Ironman PowerShell Universal 3.0.0 a 4.2.0 permiten a atacantes remotos ejecutar comandos arbitrarios a través de solicitudes HTTP manipuladas si se usa un bloque param, debido a una sanitización no válida de las cadenas de entrada. Las versiones corregidas son 3.10.2, 4.1.10 y 4.2.1.
  
• Vulnerabilidad en Usedesk (CVE-2023-49214)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Usedesk anterior a 1.7.57 permite la inyección de plantillas de chat.
  
• Vulnerabilidad en Usedesk (CVE-2023-49215)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Usedesk anterior a 1.7.57 permite filtrar XSS reflejado.
  
• Vulnerabilidad en Usedesk (CVE-2023-49216)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  Usedesk anterior a 1.7.57 permite almacenar perfiles XSS.
  
• Vulnerabilidad en IBM QRadar WinCollect Agent (CVE-2021-39008)
  Severidad: Pendiente de análisis
  Fecha de publicación: 23/11/2023
  Fecha de última actualización: 30/11/2023
  IBM QRadar WinCollect Agent 10.0 a 10.1.7 podría permitir que un usuario privilegiado obtenga información confidencial debido a la falta de mejores prácticas. ID de IBM X-Force: 213551.
  
• Vulnerabilidad en IBM QRadar WinCollect Agent (CVE-2023-26279)
  Severidad: Pendiente de análisis
  Fecha de publicación: 24/11/2023
  Fecha de última actualización: 30/11/2023
  IBM QRadar WinCollect Agent 10.0 a 10.1.7 podría permitir que un usuario local realice acciones no autorizadas debido a una codificación incorrecta. ID de IBM X-Force: 248160.
  
• Vulnerabilidad en Meshery (CVE-2023-46575)
  Severidad: Pendiente de análisis
  Fecha de publicación: 24/11/2023
  Fecha de última actualización: 30/11/2023
  Una vulnerabilidad de inyección SQL en Meshery anterior a 0.6.179 permite a un atacante remoto obtener información confidencial y ejecutar código arbitrario a través del parámetro de orden.
  
• Vulnerabilidad en SourceCodester Best Courier Management System 1.0 (CVE-2023-6300)
  Severidad: MEDIA
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Una vulnerabilidad fue encontrada en SourceCodester Best Courier Management System 1.0 y clasificada como problemática. Una función desconocida es afectada por esta función. La manipulación de la página de argumentos con la entrada conduce a cross site scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-246126 es el identificador asignado a esta vulnerabilidad.
  
• Vulnerabilidad en SourceCodester Best Courier Management System 1.0 (CVE-2023-6301)
  Severidad: MEDIA
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Una vulnerabilidad fue encontrada en SourceCodester Best Courier Management System 1.0 y clasificada como problemática. Una función desconocida del archivo parcel_list.php del componente GET Parameter Handler es afectada por esta vulnerabilidad. La manipulación del argumento id con la entrada conduce a cross site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-246127.
  
• Vulnerabilidad en SourceCodester Free and Open Source Inventory Management System 1.0 (CVE-2023-6305)
  Severidad: MEDIA
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Se encontró una vulnerabilidad en SourceCodester Free and Open Source Inventory Management System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo ample/app/ajax/suppliar_data.php. La manipulación de las columnas de argumentos conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-246131.
  
• Vulnerabilidad en SourceCodester Free and Open Source Inventory Management System 1.0 (CVE-2023-6306)
  Severidad: MEDIA
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Una vulnerabilidad ha sido encontrada en SourceCodester Free and Open Source Inventory Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /ample/app/ajax/member_data.php es afectada por esta vulnerabilidad. La manipulación de las columnas de argumentos conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-246132.
  
• Vulnerabilidad en SourceCodester Loan Management System 1.0 (CVE-2023-6310)
  Severidad: MEDIA
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Una vulnerabilidad fue encontrada en SourceCodester Loan Management System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a la función delete_borrower del archivo deleteBorrower.php. La manipulación del argumento borrower_id conduce a la inyección SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-246136.
  
• Vulnerabilidad en SourceCodester Loan Management System 1.0 (CVE-2023-6311)
  Severidad: MEDIA
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Una vulnerabilidad fue encontrada en SourceCodester Loan Management System 1.0 y clasificada como crítica. Este problema afecta la función delete_ltype del archivo delete_ltype.php del componente Loan Type Page. La manipulación del argumento ltype_id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-246137.
  
• Vulnerabilidad en SourceCodester Loan Management System 1.0 (CVE-2023-6312)
  Severidad: MEDIA
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Se encontró una vulnerabilidad en SourceCodester Loan Management System 1.0. Ha sido clasificada como crítica. La función delete_user del archivo deleteUser.php del componente Users Page es afectada por esta vulnerabilidad. La manipulación del argumento user_id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-246138 es el identificador asignado a esta vulnerabilidad.
  
• Vulnerabilidad en EventPrime de WordPress (CVE-2023-4252)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  El complemento EventPrime de WordPress hasta la versión 3.2.9 especifica el precio de una reserva en la solicitud del cliente, lo que permite a un atacante comprar reservas sin pago.
  
• Vulnerabilidad en Mmm Simple File List de WordPress (CVE-2023-4297)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  El complemento Mmm Simple File List de WordPress hasta la versión 2.3 no valida la ruta generada para enumerar los archivos, lo que permite a cualquier usuario autenticado, como suscriptores, enumerar el contenido de directorios arbitrarios.
  
• Vulnerabilidad en Mmm Simple File List de WordPress (CVE-2023-4514)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  El complemento Mmm Simple File List de WordPress hasta la versión 2.3 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar un ataque de Cross-Site Scripting Almacenado.
  
• Vulnerabilidad en Medialist de WordPress (CVE-2023-5942)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  El complemento Medialist de WordPress anterior a 1.4.1 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado.
  
• Vulnerabilidad en xfuncs_printf.c:344 en BusyBox v.1.36.1 (CVE-2023-42363)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Se descubrió una vulnerabilidad de use-after-free en la función xasprintf en xfuncs_printf.c:344 en BusyBox v.1.36.1.
  
• Vulnerabilidad en BusyBox v.1.36.1 (CVE-2023-42364)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Una vulnerabilidad de use-after-free en BusyBox v.1.36.1 permite a los atacantes provocar una denegación de servicio mediante un patrón awk manipulado en la función de evaluación awk.c.
  
• Vulnerabilidad en BusyBox v.1.36.1 (CVE-2023-42365)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Se descubrió una vulnerabilidad de use-after-free en BusyBox v.1.36.1 mediante un patrón awk manipulado en la función copyvar awk.c.
  
• Vulnerabilidad en BusyBox v.1.36.1 (CVE-2023-42366)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 30/11/2023
  Se descubrió un desbordamiento del búfer del heap en BusyBox v.1.36.1 en la función next_token en awk.c:1159.
  
• Vulnerabilidad en Chamilo LMS (CVE-2023-4221)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 30/11/2023
  La inyección de comandos en `main/lp/openoffice_presentation.class.php` en Chamilo LMS en versiones <= 1.11.24 permite a los usuarios autorizados a cargar rutas de aprendizaje para obtener la ejecución remota de código mediante la neutralización inadecuada de caracteres especiales.
  
• Vulnerabilidad en Chamilo LMS (CVE-2023-4222)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 30/11/2023
  La inyección de comandos en `main/lp/openoffice_text_document.class.php` en Chamilo LMS en versiones <= 1.11.24 permite a los usuarios autorizados a cargar rutas de aprendizaje para obtener la ejecución remota de código mediante la neutralización inadecuada de caracteres especiales.
  
• Vulnerabilidad en Chamilo LMS (CVE-2023-4223)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 30/11/2023
  La carga de archivos sin restricciones en `/main/inc/ajax/document.ajax.php` en Chamilo LMS en versiones <= 1.11.24 permite a atacantes autenticados con rol de aprendizaje obtener la ejecución remota de código mediante la carga de archivos PHP.
  
• Vulnerabilidad en Chamilo LMS (CVE-2023-4224)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 30/11/2023
  La carga de archivos sin restricciones en `/main/inc/ajax/dropbox.ajax.php` en Chamilo LMS en versiones <= 1.11.24 permite a atacantes autenticados con rol de aprendizaje obtener la ejecución remota de código mediante la carga de archivos PHP.
  
• Vulnerabilidad en Chamilo LMS (CVE-2023-4225)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 30/11/2023
  La carga de archivos sin restricciones en `/main/inc/ajax/exercise.ajax.php` en Chamilo LMS en versiones <= 1.11.24 permite a atacantes autenticados con rol de aprendizaje obtener la ejecución remota de código mediante la carga de archivos PHP.
  
• Vulnerabilidad en Chamilo LMS (CVE-2023-4226)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 30/11/2023
  La carga de archivos sin restricciones en `/main/inc/ajax/work.ajax.php` en Chamilo LMS en versiones <= 1.11.24 permite a atacantes autenticados con rol de aprendizaje obtener la ejecución remota de código mediante la carga de archivos PHP.