Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en una imagen JPEG 2000 en la función jas_matrix_create en JasPer (CVE-2015-8751)
  Severidad: MEDIA
  Fecha de publicación: 17/02/2020
  Fecha de última actualización: 05/12/2023
  Un desbordamiento de enteros en la función jas_matrix_create en JasPer, permite a atacantes dependiendo del contexto tener un impacto no especificado por medio de una imagen JPEG 2000 diseñada, relacionada con la multiplicación de enteros para una asignación de memoria.
  
• Vulnerabilidad en First Corporation (CVE-2023-47213)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 05/12/2023
  Los DVR de First Corporation utilizan una contraseña codificada, lo que puede permitir que un atacante remoto no autenticado reescriba u obtenga la información de configuración del dispositivo afectado. Tenga en cuenta que las actualizaciones se proporcionan solo para los modelos más recientes de CFR-4EABC, CFR-4EAB, CFR-8EAB, CFR-16EAB, MD-404AB y MD-808AB. En cuanto a los demás productos, aplique workaround.
  
• Vulnerabilidad en First Corporation (CVE-2023-47674)
  Severidad: Pendiente de análisis
  Fecha de publicación: 16/11/2023
  Fecha de última actualización: 05/12/2023
  La falta de autenticación para una vulnerabilidad de función crítica en los DVR de First Corporation permite que un atacante remoto no autenticado reescriba u obtenga la información de configuración del dispositivo afectado. Tenga en cuenta que las actualizaciones se proporcionan solo para los modelos más recientes de CFR-4EABC, CFR-4EAB, CFR-8EAB, CFR-16EAB, MD-404AB y MD-808AB. En cuanto a los demás productos, aplique workaround.
  
• Vulnerabilidad en Chamilo LMS (CVE-2023-3533)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 05/12/2023
  Path Traversal en la funcionalidad de carga de archivos en `/main/webservices/additional_webservices.php` en Chamilo LMS en versiones <= 1.11.20 permite a atacantes no autenticados realizar ataques de Cross Site Scripting Almacenados y obtener ejecución remota de código mediante escritura de archivos arbitrarios.
  
• Vulnerabilidad en PAC Device (CVE-2023-4667)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 05/12/2023
  La interfaz web de PAC Device permite que el perfil de usuario del administrador del dispositivo almacene scripts maliciosos en algunos campos. El script malicioso almacenado se ejecuta cuando cualquier usuario de la interfaz de administración del servidor web abre la GUI. La causa principal de la vulnerabilidad es una validación de entrada y codificación de salida inadecuadas en el componente de interfaz de administración web del firmware. Esto podría provocar acceso no autorizado y fuga de datos.
  
• Vulnerabilidad en go-resty (CVE-2023-45286)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/11/2023
  Fecha de última actualización: 05/12/2023
  Una condición de ejecución en go-resty puede dar como resultado la divulgación del cuerpo de la solicitud HTTP entre solicitudes. Esta condición se puede desencadenar llamando a sync.Pool.Put con el mismo *bytes.Buffer más de una vez, cuando los reintentos de solicitud están habilitados y se produce un reintento. La llamada a sync.Pool.Get devolverá un bytes.Buffer al que no se le ha llamado bytes.Buffer.Reset. Este búfer sucio contendrá el cuerpo de la solicitud HTTP de una solicitud no relacionada, y go-resty le agregará el cuerpo de la solicitud HTTP actual, enviando dos cuerpos en una solicitud. El sync.Pool en cuestión se define a nivel de paquete, por lo que un servidor completamente ajeno podría recibir el cuerpo de la solicitud.
  
• Vulnerabilidad en Amazon Web Services (CVE-2023-6378)
  Severidad: Pendiente de análisis
  Fecha de publicación: 29/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad de serialización en el componente receptor de inicio de sesión de la versión 1.4.11 permite a un atacante montar un ataque de Denegación de Servicio mediante el envío de datos envenenados.
  
• Vulnerabilidad en October (CVE-2023-44383)
  Severidad: Pendiente de análisis
  Fecha de publicación: 29/11/2023
  Fecha de última actualización: 05/12/2023
  October es Content Management System (CMS) y una plataforma web para ayudar con el flujo de trabajo de desarrollo. Un usuario con acceso al administrador de medios que almacena archivos SVG podría crear un ataque XSS almacenado contra sí mismo y contra cualquier otro usuario con acceso al administrador de medios cuando se admiten archivos SVG. Este problema se solucionó en la versión 3.5.2.
  
• Vulnerabilidad en openlink virtuoso-opensource v7.2.11 (CVE-2023-48945)
  Severidad: Pendiente de análisis
  Fecha de publicación: 29/11/2023
  Fecha de última actualización: 05/12/2023
  Un desbordamiento de pila en openlink virtuoso-opensource v7.2.11 permite a los atacantes provocar una Denegación de Servicio (DoS) mediante sentencias SQL manipuladas.
  
• Vulnerabilidad en Zyxel NAS326 (CVE-2023-35137)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad de autenticación incorrecta en el módulo de autenticación de la versión de firmware V5.21(AAZF.14)C0 de Zyxel NAS326 y la versión de firmware NAS542 V5.21(ABAG.11)C0 podría permitir que un atacante no autenticado obtenga información del sistema enviando una URL manipulada a un dispositivo vulnerable.
  
• Vulnerabilidad en Zyxel NAS326 (CVE-2023-35138)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad de inyección de comando en la función “show_zysync_server_contents” de la versión de firmware V5.21(AAZF.14)C0 de Zyxel NAS326 y la versión de firmware NAS542 V5.21(ABAG.11)C0 podría permitir que un atacante no autenticado ejecute algún comando sistema operativo (OS) enviando una solicitud HTTP POST manipulada.
  
• Vulnerabilidad en Zyxel NAS326 (CVE-2023-37927)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La neutralización inadecuada de elementos especiales en el programa CGI del firmware Zyxel NAS326 versión V5.21(AAZF.14)C0 y NAS542 versión V5.21(ABAG.11)C0 podría permitir que un atacante autenticado ejecute algún sistema operativo (OS ) comandos enviando una URL manipulada a un dispositivo vulnerable.
  
• Vulnerabilidad en Zyxel NAS326 (CVE-2023-37928)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad de inyección de comando posterior a la autenticación en el servidor WSGI de la versión de firmware V5.21(AAZF.14)C0 de Zyxel NAS326 y la versión de firmware NAS542 V5.21(ABAG.11)C0 podría permitir que un atacante autenticado ejecute algún sistema operativo ( OS) enviando una URL manipulada a un dispositivo vulnerable.
  
• Vulnerabilidad en Zyxel NAS326 (CVE-2023-4473)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad de inyección de comandos en el servidor web de la versión de firmware V5.21(AAZF.14)C0 de Zyxel NAS326 y la versión de firmware NAS542 V5.21(ABAG.11)C0 podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo (SO). enviando una URL manipulada a un dispositivo vulnerable.
  
• Vulnerabilidad en Zyxel NAS326 (CVE-2023-4474)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La neutralización inadecuada de elementos especiales en el servidor WSGI del firmware Zyxel NAS326 versión V5.21(AAZF.14)C0 y NAS542 versión V5.21(ABAG.11)C0 podría permitir que un atacante no autenticado ejecute algún sistema operativo (OS ) comandos enviando una URL manipulada a un dispositivo vulnerable.
  
• Vulnerabilidad en Mitsubishi Electric FA (CVE-2023-5247)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de ejecución de código malicioso debido al control externo del nombre o ruta del archivo en múltiples productos de software de ingeniería de Mitsubishi Electric FA permite a un atacante malicioso ejecutar un código malicioso haciendo que usuarios legítimos abran un archivo de proyecto especialmente manipulado, lo que podría resultar en la divulgación de información, la manipulación y eliminación o una condición de Denegación de Servicio (DoS).
  
• Vulnerabilidad en Debug Log Manager para WordPress (CVE-2023-5772)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  El complemento Debug Log Manager para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 2.2.1 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función clear_log(). Esto hace posible que atacantes no autenticados borre el registro de depuración mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  
• Vulnerabilidad en GL.iNet AX1800 (CVE-2023-47463)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de permisos inseguros en GL.iNet AX1800 versión 4.0.0 anterior a 4.5.0 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado para la función de autenticación gl_nas_sys.
  
• Vulnerabilidad en GL.iNet AX1800 (CVE-2023-47464)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de permisos inseguros en GL.iNet AX1800 versión 4.0.0 anterior a 4.5.0 permite a un atacante remoto ejecutar código arbitrario a través de la función de carga API.
  
• Vulnerabilidad en GX Works2 (CVE-2023-5274)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad de validación de entrada incorrecta en la función de simulación de GX Works2 permite a un atacante provocar una condición de Denegación de Servicio (DoS) en la función mediante el envío de paquetes especialmente manipulados. Sin embargo, el atacante necesitaría enviar los paquetes desde la misma maquina personal donde se ejecuta la función.
  
• Vulnerabilidad en GX Works2 (CVE-2023-5275)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad de validación de entrada incorrecta en la función de simulación de GX Works2 permite a un atacante provocar una condición de Denegación de Servicio (DoS) en la función mediante el envío de paquetes especialmente manipulados. Sin embargo, el atacante necesitaría enviar los paquetes desde la misma maquina personal donde se ejecuta la función.
  
• Vulnerabilidad en o2oa (CVE-2023-47418)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de ejecución remota de código (RCE) en o2oa versión 8.1.2 y anteriores permite a los atacantes crear una nueva interfaz en la función de administración de servicios para ejecutar JavaScript.
  
• Vulnerabilidad en Pimcore (CVE-2023-49076)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  El framework de datos del cliente permite la gestión de los datos del cliente dentro de Pimcore. No hay tokens ni encabezados para evitar que se produzcan ataques CSRF, por lo que un atacante podría aprovechar esta vulnerabilidad para crear nuevos clientes. Este problema se solucionó en la versión 4.0.5.
  
• Vulnerabilidad en Streamingmedia (CVE-2023-49700)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Violaciones de las mejores prácticas de seguridad: una operación de cadena en Streamingmedia escribirá más allá del final del búfer de destino de tamaño fijo si el búfer de origen es demasiado grande.
  
• Vulnerabilidad en Apache Cocoon (CVE-2022-45135)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Apache Cocoon. Este problema afecta a Apache Cocoon: desde 2.2.0 antes de 2.3.0. Se recomienda a los usuarios actualizar a la versión 2.3.0, que soluciona el problema.
  
• Vulnerabilidad en USIMFase2init (CVE-2023-49701)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Corrupción de la memoria en la gestión de SIM mientras USIMFase2init
  
• Vulnerabilidad en Sophos Email Appliance (CVE-2021-36806)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una vulnerabilidad XSS reflejada permite una redirección abierta cuando la víctima hace clic en un enlace malicioso a una página de error en Sophos Email Appliance anterior a la versión 4.5.3.4.
  
• Vulnerabilidad en cybernetikz Easy Social Icons (CVE-2023-48336)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting') en cybernetikz Easy Social Icons permite almacenar XSS. Este problema afecta a Easy Social Icons: desde n/a hasta 3.2.4.
  
• Vulnerabilidad en PT Trijaya Digital Grup TriPay Payment Gateway (CVE-2023-48737)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting') en PT Trijaya Digital Grup TriPay Payment Gateway permite almacenar XSS. Este problema afecta a TriPay Payment Gateway: desde n/a hasta 3.2.7.
  
• Vulnerabilidad en Paul Menard Simply Exclude (CVE-2023-48743)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting') en Paul Menard Simply Exclude permite XSS Reflejado. Este problema afecta a Simply Exclude: desde n/a hasta 2.0.6.6.
  
• Vulnerabilidad en Laurence/OhMyBox.Info Simple Long Form (CVE-2023-41136)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en Laurence/OhMyBox.Info Simple Long Form permite almacenar XSS. Este problema afecta a Simple Long Form: desde n/a hasta 2.2.2.
  
• Vulnerabilidad en Elementor.Com Elementor (CVE-2023-47505)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ("Cross-site Scripting") en Elementor.Com Elementor permite Cross-Site Scripting (XSS). Este problema afecta a Elementor: desde n/a hasta 3.16.4.
  
• Vulnerabilidad en Automattic WooCommerce, Automattic WooCommerce Blocks (CVE-2023-47777)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Scripting entre sitios') en Automattic WooCommerce, Automattic WooCommerce Blocks permite XSS almacenado. Este problema afecta a WooCommerce: desde n/a hasta 8.1.1; WooCommerce Blocks: desde n/a hasta 11.1.1.
  
• Vulnerabilidad en PeepSo Community by PeepSo – Social Network, Membership, Registration, User Profiles (CVE-2023-47850)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en PeepSo Community by PeepSo – Social Network, Membership, Registration, User Profiles permite almacenar XSS. Este problema afecta a Community by PeepSo – Social Network, Membership, Registration, User Profiles: desde n/a hasta 6.2.2.0.
  
• Vulnerabilidad en Akhtarujjaman Shuvo Bootstrap Shortcodes Ultimate (CVE-2023-47851)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Akhtarujjaman Shuvo Bootstrap Shortcodes Ultimate permite almacenar XSS. Este problema afecta a Bootstrap Shortcodes Ultimate: desde n/a hasta 4.3.1.
  
• Vulnerabilidad en Howard Ehrenberg Parallax Image (CVE-2023-47854)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Howard Ehrenberg Parallax Image permite almacenar XSS. Este problema afecta a Parallax Image: desde n/a hasta 1.7.1.
  
• Vulnerabilidad en SpreadsheetConverter Import Spreadsheets from Microsoft Excel (CVE-2023-48289)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en SpreadsheetConverter Import Spreadsheets from Microsoft Excel permite almacenar XSS. Este problema afecta a Import Spreadsheets from Microsoft Excel: desde n/a hasta 10.1.3.
  
• Vulnerabilidad en eDoc Intelligence eDoc Employee Job Application – Best WordPress Job Manager for Employees (CVE-2023-48322)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Scripting entre sitios') en eDoc Intelligence eDoc Employee Job Application – Best WordPress Job Manager for Employees permite XSS reflejado. Este problema afecta a eDoc Employee Job Application – Best WordPress Job Manager for Employees: desde n/a hasta 1.13.
  
• Vulnerabilidad en Pixelite Events Manager (CVE-2023-48326)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Pixelite Events Manager permite XSS Reflejado. Este problema afecta a Events Manager: desde n/a hasta 6.4.5.
  
• Vulnerabilidad en CodeBard Fast Custom Social Share de CodeBard (CVE-2023-48329)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en CodeBard Fast Custom Social Share de CodeBard permite almacenar XSS. Este problema afecta a Fast Custom Social Share de CodeBard: desde n/a hasta 1.1.1.
  
• Vulnerabilidad en DolphinScheduler (CVE-2023-49620)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Antes de la versión 3.1.0 de DolphinScheduler, el usuario que iniciaba sesión podía eliminar la función UDF en el centro de recursos sin autorización (que casi se usaba en tareas SQL), con vulnerabilidad de acceso no autorizado (IDOR), pero después de la versión 3.1.0 solucionamos este problema. Marcamos esta cve como nivel moderado porque todavía requiere el inicio de sesión del usuario para funcionar. Actualice a la versión 3.1.0 para evitar esta vulnerabilidad.
  
• Vulnerabilidad en Apache Cocoon (CVE-2023-49733)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Restricción inadecuada de la vulnerabilidad de referencia de entidad externa XML en Apache Cocoon. Este problema afecta a Apache Cocoon: desde 2.2.0 antes de 2.3.0. Se recomienda a los usuarios actualizar a la versión 2.3.0, que soluciona el problema.
  
• Vulnerabilidad en MonsterInsights Pro (CVE-2023-32291)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Scripting entre sitios') en MonsterInsights Pro permite almacenar XSS. Este problema afecta a MonsterInsights Pro: desde n/a hasta 8.14.1.
  
• Vulnerabilidad en ampaign Monitor Campaign Monitor para WordPress (CVE-2023-38474)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Scripting entre sitios') en Campaign Monitor Campaign Monitor para WordPress permite el XSS reflejado. Este problema afecta a Campaign Monitor para WordPress: desde n/a hasta 2.8.12.
  
• Vulnerabilidad en Lasso Simple URLs – Link Cloaking, Product Displays, and Affiliate Link Management (CVE-2023-40674)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Scripting entre sitios') en Lasso Simple URLs – Link Cloaking, Product Displays, and Affiliate Link Management permite almacenar XSS. Este problema afecta a Simple URLs – Link Cloaking, Product Displays, and Affiliate Link Management: desde n/a hasta 118.
  
• Vulnerabilidad en Team Yoast Yoast SEO (CVE-2023-40680)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Team Yoast Yoast SEO permite almacenar XSS. Este problema afecta a Yoast SEO: desde n/a hasta 21.0.
  
• Vulnerabilidad en Evergreen Content Poster Evergreen Content Poster – Auto Post and Schedule Your Best Content to Social Media (CVE-2023-41127)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Evergreen Content Poster Evergreen Content Poster – Auto Post and Schedule Your Best Content to Social Media permite almacenar XSS. Este problema afecta a Evergreen Content Poster – Auto Post and Schedule Your Best Content to Social Media: desde n/a hasta 1.3.6.1.
  
• Vulnerabilidad en Iqonic Design WP Roadmap – Product Feedback Board (CVE-2023-41128)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Iqonic Design WP Roadmap – Product Feedback Board permite almacenar XSS. Este problema afecta a WP Roadmap – Product Feedback Board: desde n/a hasta 1.0.8.
  
• Vulnerabilidad en ESM (CVE-2023-6071)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando en ESM anterior a la versión 11.6.9 permite a un administrador remoto ejecutar código arbitrario como root en ESM. Esto es posible porque la entrada no se sanitiza correctamente al agregar una nueva fuente de datos.
  
• Vulnerabilidad en NicheAddons Events Addon for Elementor allows Accessing Functionality Not Properly Constrained by ACLs (CVE-2023-47827)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de autorización incorrecta en el complemento NicheAddons Events Addon for Elementor allows Accessing Functionality Not Properly Constrained by ACLs. Este problema afecta a Events Addon for Elementor: desde n/a hasta 2.1.3.
  
• Vulnerabilidad en Seraphinite Solutions Seraphinite Post .DOCX Source (CVE-2023-48279)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Seraphinite Solutions Seraphinite Post .DOCX Source permite la Cross-Site Request Forgery. Este problema afecta a Seraphinite Post .DOCX Source: desde n/a hasta 2.16.6.
  
• Vulnerabilidad en Super Blog Me Broken Link Checker para YouTube (CVE-2023-48281)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Super Blog Me Broken Link Checker para YouTube permite Cross-Site Request Forgery. Este problema afecta a Broken Link Checker para YouTube: desde n/a hasta 1.3.
  
• Vulnerabilidad en LicenseManager License Manager for WooCommerce license-manager-for-woocommerce (CVE-2023-48742)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('Inyección SQL') en LicenseManager License Manager for WooCommerce license-manager-for-woocommerce permite la inyección SQL. Este problema afecta a License Manager for WooCommerce: desde n/a hasta 2.2.10 .
  
• Vulnerabilidad en Dreamer CMS v4.1.3 (CVE-2023-48912)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Se descubrió que Dreamer CMS v4.1.3 contenía Cross-Site Request Forgery (CSRF) a través del componente /admin/archives/edit.
  
• Vulnerabilidad en Dreamer CMS v4.1.3 (CVE-2023-48913)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Se descubrió que Dreamer CMS v4.1.3 contenía Cross-Site Request Forgery (CSRF) a través del componente /admin/archives/delete.
  
• Vulnerabilidad en Dreamer CMS v4.1.3 (CVE-2023-48914)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Se descubrió que Dreamer CMS v4.1.3 contenía Cross-Site Request Forgery (CSRF) a través del componente /admin/archives/add.
  
• Vulnerabilidad en Tenda i6 V1.0.0.8(3856) (CVE-2023-48963)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Tenda i6 V1.0.0.8(3856) es vulnerable al desbordamiento del búfer a través de /goform/wifiSSIDget.
  
• Vulnerabilidad en Tenda i6 V1.0.0.8(3856) (CVE-2023-48964)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Tenda i6 V1.0.0.8(3856) es vulnerable al desbordamiento del búfer a través de /goform/WifiMacFilterSet.
  
• Vulnerabilidad en Really Simple Plugins Complianz, Really Simple Plugins Complianz Premium (CVE-2023-34030)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Really Simple Plugins Complianz, Really Simple Plugins Complianz Premium permite la Cross-Site Request Forgery. Este problema afecta a Complianz: desde n/a hasta 6.4.5; Complianz Premium: desde n/a hasta 6.4.7.
  
• Vulnerabilidad en Brainstorm Force US LLC Schema Pro (CVE-2023-36682)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Brainstorm Force US LLC Schema Pro permite la Cross-Site Request Forgery. Este problema afecta a Schema Pro: desde n/a hasta 2.7.7.
  
• Vulnerabilidad en Brainstorm Force US LLC CartFlows Pro (CVE-2023-36685)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Brainstorm Force US LLC CartFlows Pro permite la Cross-Site Request Forgery. Este problema afecta a CartFlows Pro: desde n/a hasta 1.11.12.
  
• Vulnerabilidad en YetAnotherStarsRating.Com YASR para WordPress (CVE-2023-37867)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de condición de ejecución de tiempo de verificación de tiempo de uso (TOCTOU) en YetAnotherStarsRating.Com YASR – Otro complemento de calificación de estrellas para WordPress. Este problema afecta a YASR – Otro complemento de calificación de estrellas para WordPress: desde n/a hasta 3.3. 8.
  
• Vulnerabilidad en RegistrationMagic RegistrationMagic (CVE-2023-47645)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en RegistrationMagic RegistrationMagic: formularios de registro personalizados, registro de usuario, pago e inicio de sesión de usuario permite la Cross-Site Request Forgery. Este problema afecta a RegistrationMagic: formularios de registro personalizados, registro de usuario, pago e inicio de sesión de usuario: desde n/a hasta 5.2.2.6.
  
• Vulnerabilidad en Kriesi Enfold - Responsive Multi-Purpose Theme (CVE-2023-38400)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Kriesi Enfold - Responsive Multi-Purpose Theme permite XSS reflejado. Este problema afecta a Enfold - Responsive Multi-Purpose Theme: desde n/a hasta 5.6.4.
  
• Vulnerabilidad en Lim Kai Yang Grab & Save (CVE-2023-47844)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Lim Kai Yang Grab & Save permite XSS reflejado. Este problema afecta a Grab & Save: desde n/a hasta 1.0.4.
  
• Vulnerabilidad en Tainacan.Org Tainacan (CVE-2023-47848)
  Severidad: Pendiente de análisis
  Fecha de publicación: 30/11/2023
  Fecha de última actualización: 05/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Tainacan.Org Tainacan permite XSS Reflejado. Este problema afecta a Tainacan: desde n/a hasta 0.20.4.