Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en assorted[chips] DrawIt (draw.Io) (CVE-2023-47831)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/11/2023
  Fecha de última actualización: 02/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en el complemento assorted[chips] DrawIt (draw.Io) en versiones <= 1.1.3.
  
• Vulnerabilidad en gAppointments de WordPress (CVE-2023-2707)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  El complemento gAppointments de WordPress hasta la versión 1.9.5.1 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  
• Vulnerabilidad en Arcserve UDP (CVE-2023-41998)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  Arcserve UDP anterior a 9.2 contenía una vulnerabilidad en la interfaz com.ca.arcflash.rps.webservice.RPSService4CPMImpl. Existe una rutina que permite a un atacante cargar y ejecutar archivos arbitrarios.
  
• Vulnerabilidad en smpn1smg absis (CVE-2023-49028)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  Vulnerabilidad de Cross Site Scripting en smpn1smg absis v.2017-10-19 y anteriores permite a un atacante remoto ejecutar código arbitrario a través del parámetro de usuario en el archivo lock/lock.php.
  
• Vulnerabilidad en Asgaros Forum de WordPress (CVE-2023-5604)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  El complemento Asgaros Forum de WordPress anterior a 2.7.1 permite a los administradores del foro, que pueden no ser (super)administradores de WordPress, establecer una configuración insegura que permite a usuarios no autenticados cargar archivos peligrosos (por ejemplo, .php, .phtml), lo que podría generar una ejecución remota de código.
  
• Vulnerabilidad en Seraphinite Accelerator de WordPress (CVE-2023-5611)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  El complemento Seraphinite Accelerator de WordPress anterior a la versión 2.20.32 no tiene autorización ni controles CSRF al restablecer e importar su configuración, lo que permite a los usuarios no autenticados restablecerla.
  
• Vulnerabilidad en Web Push Notifications de WordPress (CVE-2023-5620)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  El complemento Web Push Notifications de WordPress anterior a 4.35.0 no impide que los visitantes del sitio cambien algunas de las opciones del complemento, algunas de las cuales pueden usarse para realizar ataques XSS Almacenados.
  
• Vulnerabilidad en Martins Free & Easy SEO BackLink Link Building Network de WordPress (CVE-2023-5641)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  El complemento Martins Free & Easy SEO BackLink Link Building Network de WordPress anterior a 1.2.30 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  
• Vulnerabilidad en WordPress Backup & Migration de WordPress (CVE-2023-5738)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  El complemento WordPress Backup & Migration de WordPress anterior a 1.4.4 no sanitiza ni escapa a algunos parámetros, lo que podría permitir a los usuarios con un rol tan bajo como Suscriptor realizar ataques de Cross Site Scripting.
  
• Vulnerabilidad en POST SMTP Mailer de WordPress (CVE-2023-5958)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/11/2023
  Fecha de última actualización: 02/12/2023
  El complemento POST SMTP Mailer de WordPress anterior a 2.7.1 no escapa del contenido del mensaje de correo electrónico antes de mostrarlo en el backend, lo que permite a un atacante no autenticado realizar ataques XSS contra usuarios con privilegios elevados.
  
• Vulnerabilidad en Node.js (CVE-2023-30585)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha identificado una vulnerabilidad en el proceso de instalación de Node.js (versión .msi), que afecta específicamente a los usuarios de Windows que instalan Node.js utilizando el instalador .msi. Esta vulnerabilidad surge durante la operación de reparación, donde el proceso "msiexec.exe", que se ejecuta en el contexto NT AUTHORITY\SYSTEM, intenta leer la variable de entorno %USERPROFILE% del registro del usuario actual. El problema surge cuando la ruta a la que hace referencia la variable de entorno %USERPROFILE% no existe. En tales casos, el proceso "msiexec.exe" intenta crear la ruta especificada de forma insegura, lo que podría provocar la creación de carpetas arbitrarias en ubicaciones arbitrarias. La gravedad de esta vulnerabilidad se ve aumentada por el hecho de que los usuarios estándar (o "sin privilegios") pueden modificar la variable de entorno %USERPROFILE% en el registro de Windows. En consecuencia, los actores no privilegiados, incluidas entidades maliciosas o troyanos, pueden manipular la clave de la variable de entorno para engañar al proceso privilegiado "msiexec.exe". Esta manipulación puede dar como resultado la creación de carpetas en ubicaciones no deseadas y potencialmente maliciosas. Es importante tener en cuenta que esta vulnerabilidad es específica de los usuarios de Windows que instalan Node.js utilizando el instalador .msi. Los usuarios que optan por otros métodos de instalación no se ven afectados por este problema en particular.
  
• Vulnerabilidad en Bluetooth BR/EDR de Bluetooth (CVE-2023-24023)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 02/12/2023
  Los dispositivos Bluetooth BR/EDR con emparejamiento simple seguro y emparejamiento de conexiones seguras en las especificaciones principales de Bluetooth 4.2 a 5.4 permiten ciertos ataques de intermediario que fuerzan una longitud de clave corta y pueden llevar al descubrimiento de la clave de cifrado y a la inyección en vivo, también conocido como BLUFFS.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6415)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL mediante signin.php en el parámetro usuario. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6416)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL mediante signup2.php en el parámetro emailadd. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6417)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL mediante update.php en el parámetro id. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6418)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL mediante videos.php en el parámetro id. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6419)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha informado de una vulnerabilidad en Voovi Social Networking Script versión 1.0 que permite un XSS a través de editprofile.php en múltiples parámetros, cuya explotación podría permitir a un atacante remoto enviar un payload de JavaScript especialmente manipulado y hacerse cargo parcialmente de la sesión del navegador de un usuario autenticado.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6420)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha informado de una vulnerabilidad en Voovi Social Networking Script versión 1.0 que permite un XSS a través de signup2.php en el parámetro emailadd, cuya explotación podría permitir a un atacante remoto enviar un payload de JavaScript especialmente manipulado y tomar parcialmente el control de la sesión del navegador de un usuario autenticado.
  
• Vulnerabilidad en BigProf Online Clinic Management System 2.2 (CVE-2023-6422)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Clinic Management System 2.2, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /clinic/patients_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Clinic Management System 2.2 (CVE-2023-6423)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Clinic Management System 2.2, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /clinic/events_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Clinic Management System 2.2 (CVE-2023-6424)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Clinic Management System 2.2, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /clinic/disease_symptoms_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Clinic Management System 2.2 (CVE-2023-6425)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Clinic Management System 2.2, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /clinic/medical_records_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6426)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /invoicing/app/invoices_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6427)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /invoicing/app/invoices_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6428)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /invoicing/app/items_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6429)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /invoicing/app/clients_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6430)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /inventory/transactions_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6431)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /inventory/categories_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6432)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /inventory/items_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6433)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /inventory/suppliers_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6434)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /inventory/sections_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en BigProf Online Invoicing System 2.6 (CVE-2023-6435)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha descubierto una vulnerabilidad en BigProf Online Invoicing System 2.6, que no codifica suficientemente la entrada controlada por el usuario, lo que genera XSS persistente a través de /inventory/batches_view.php, en el parámetro FirstRecord. La explotación de esta vulnerabilidad podría permitir a un usuario atacante almacenar payloads de JavaScript peligrosos en el sistema que se activarán cuando se cargue la página.
  
• Vulnerabilidad en Voovi Social Networking Scrip (CVE-2023-6410)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL mediante editprofile.php en múltiples parámetros. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6411)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL vía home.php en el parámetro de actualización. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6412)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL vía photo.php en múltiples parámetros. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6413)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL a través de photos.php en los parámetros id y usuario. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.
  
• Vulnerabilidad en Voovi Social Networking Script (CVE-2023-6414)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 02/12/2023
  Se ha reportado una vulnerabilidad en Voovi Social Networking Script que afecta a la versión 1.0 y consiste en una inyección SQL vía perfil.php en los parámetros id y usuario. La explotación de esta vulnerabilidad podría permitir a un atacante remoto enviar una consulta SQL especialmente manipulada al servidor y recuperar toda la información almacenada en la aplicación.