Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en SAP GUI para Windows y SAP GUI para Java (CVE-2023-49581)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/12/2023
  Fecha de última actualización: 18/12/2023
  SAP GUI para Windows y SAP GUI para Java permiten que un atacante no autenticado acceda a información que de otro modo estaría restringida y confidencial. Además, esta vulnerabilidad permite que un atacante no autenticado escriba datos en una tabla de base de datos. Al hacerlo, el atacante podría aumentar los tiempos de respuesta del AS ABAP, lo que tendría un impacto leve en la disponibilidad.
  
• Vulnerabilidad en Ubuntu Server (CVE-2023-5536)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/12/2023
  Fecha de última actualización: 18/12/2023
  Una característica en LXD (LP#1829071) afecta la configuración predeterminada de Ubuntu Server que permite a los usuarios privilegiados del grupo lxd escalar su privilegio a root sin requerir una contraseña sudo.
  
• Vulnerabilidad en Emarsys SDK para Android (CVE-2023-6542)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/12/2023
  Fecha de última actualización: 18/12/2023
  Debido a la falta de controles de autorización adecuados en Emarsys SDK para Android, un atacante puede llamar a una actividad particular y reenviarse páginas web y/o enlaces profundos sin ninguna validación directamente desde la aplicación host. En caso de un ataque exitoso, un atacante podría navegar a una URL arbitraria, incluidos enlaces profundos de aplicaciones en el dispositivo.
  
• Vulnerabilidad en Workspace ONE Launcher (CVE-2023-34064)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/12/2023
  Fecha de última actualización: 18/12/2023
  Workspace ONE Launcher contiene una vulnerabilidad de escalada de privilegios. Un actor malintencionado con acceso físico a Workspace ONE Launcher podría utilizar la función Edge Panel para omitir la configuración y obtener acceso a información confidencial.
  
• Vulnerabilidad en Newsletter Software SuperMailer (CVE-2023-6381)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de validación de entrada incorrecta en Newsletter Software SuperMailer que afecta a la versión 11.20.0.2204. Un atacante podría aprovechar esta vulnerabilidad enviando un archivo de configuración malicioso (archivo con extensión SMB) a un usuario a través de un enlace o un archivo adjunto de correo electrónico y persuadir al usuario para que abra el archivo con el software afectado en el sistema local. Un exploit exitoso podría permitir al atacante bloquear la aplicación al intentar cargar el archivo malicioso.
  
• Vulnerabilidad en Dasan Networks (CVE-2023-42495)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Dasan Networks - W-Web versiones 1.22-1.27 - CWE-78: Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comando del sistema operativo")
  
• Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47324)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Silverpeas Core 6.3.1 es vulnerable a Cross Site Scripting (XSS) a través de la función de mensaje/notificación.
  
• Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47325)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  La función administrativa "Bin" de Silverpeas Core 6.3.1 se ve afectada por un control de acceso roto. Un usuario con pocos privilegios puede navegar directamente a la papelera, revelando todos los espacios eliminados. Luego, el usuario puede restaurar o eliminar permanentemente los espacios.
  
• Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47326)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Silverpeas Core 6.3.1 es vulnerable a la cross-site request forgery (CSRF) a través de la función Domain SQL Create.
  
• Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47327)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  La función "Crear un espacio" en Silverpeas Core 6.3.1 está reservada para uso de administradores. Esta función sufre un control de acceso roto, lo que permite a cualquier usuario autenticado crear un espacio navegando a la URL correcta.
  
• Vulnerabilidad en Jenkins Deployment Dashboard Plugin (CVE-2023-50775)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de cross-site request forgery (CSRF) en Jenkins Deployment Dashboard Plugin 1.0.10 y versiones anteriores permite a los atacantes copiar trabajos.
  
• Vulnerabilidad en Jenkins PaaSLane Estimate Plugin (CVE-2023-50776)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Jenkins PaaSLane Estimate Plugin 1.0.4 y versiones anteriores almacenan tokens de autenticación de PaaSLane sin cifrar en archivos job config.xml en el controlador Jenkins, donde pueden ser vistos por usuarios con permiso de elemento/lectura extendida o acceso al sistema de archivos del controlador Jenkins.
  
• Vulnerabilidad en Jenkins PaaSLane Estimate Plugin (CVE-2023-50777)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Jenkins PaaSLane Estimate Plugin 1.0.4 y versiones anteriores no enmascaran los tokens de autenticación de PaaSLane que se muestran en el formulario de configuración del trabajo, lo que aumenta la posibilidad de que los atacantes los observen y capturen.
  
• Vulnerabilidad en Jenkins PaaSLane Estimate Plugin (CVE-2023-50778)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de cross-site request forgery (CSRF) en Jenkins PaaSLane Estimate Plugin 1.0.4 y versiones anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando un token especificado por el atacante.
  
• Vulnerabilidad en Jenkins PaaSLane Estimate Plugin (CVE-2023-50779)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Las comprobaciones de permisos faltantes en Jenkins PaaSLane Estimate Plugin 1.0.4 y versiones anteriores permiten a los atacantes con permiso general/lectura conectarse a una URL especificada por el atacante utilizando un token especificado por el atacante.
  
• Vulnerabilidad en SourceCodester Online Tours & Travels Management System 1.0 (CVE-2023-6765)
  Severidad: MEDIA
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Se encontró una vulnerabilidad en SourceCodester Online Tours & Travels Management System 1.0. Ha sido calificada como crítica. Este problema afecta la función de preparación del archivo email_setup.php. La manipulación del nombre del argumento conduce a la inyección de SQL. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-247895.
  
• Vulnerabilidad en PHPGurukul Teacher Subject Allocation Management System 1.0 (CVE-2023-6766)
  Severidad: MEDIA
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Una vulnerabilidad ha sido encontrada en PHPGurukul Teacher Subject Allocation Management System 1.0 y clasificada como problemática. Una función desconocida del archivo /admin/course.php del componente Delete Course Handler es afectada por esta vulnerabilidad. La manipulación del argumento delid conduce a cross-site request forgery. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-247896.
  
• Vulnerabilidad en SourceCodester Wedding Guest e-Book 1.0 (CVE-2023-6767)
  Severidad: MEDIA
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Una vulnerabilidad fue encontrada en SourceCodester Wedding Guest e-Book 1.0 y clasificada como problemática. Esto afecta a una parte desconocida del archivo /endpoint/add-guest.php. La manipulación del nombre del argumento conduce a cross-site scripting. Es posible iniciar el ataque de forma remota. El identificador asociado de esta vulnerabilidad es VDB-247899.
  
• Vulnerabilidad en GLPI (CVE-2023-43813)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  GLPI es un paquete de software gratuito de gestión de activos y TI. A partir de la versión 10.0.0 y anteriores a la versión 10.0.11, la función de búsqueda guardada se puede utilizar para realizar una inyección SQL. La versión 10.0.11 contiene un parche para el problema.
  
• Vulnerabilidad en GLPI (CVE-2023-46726)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  GLPI es un paquete de software gratuito de gestión de activos y TI. A partir de la versión 10.0.0 y anteriores a la versión 10.0.11, solo en PHP 7.4, el formulario de configuración del servidor LDAP se puede utilizar para ejecutar código arbitrario cargado previamente como un documento GLPI. La versión 10.0.11 contiene un parche para el problema.
  
• Vulnerabilidad en GLPI (CVE-2023-46727)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  GLPI es un paquete de software gratuito de gestión de activos y TI. A partir de la versión 10.0.0 y anteriores a la versión 10.0.11, el endpoint del inventario GLPI se puede utilizar para impulsar un ataque de inyección SQL. La versión 10.0.11 contiene un parche para el problema. Como workaround, deshabilite el inventario nativo.
  
• Vulnerabilidad en SourceCodester Simple Student Attendance System 1.0 (CVE-2023-6771)
  Severidad: MEDIA
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Una vulnerabilidad fue encontrada en SourceCodester Simple Student Attendance System 1.0 y clasificada como crítica. Este problema afecta a la función save_attendance del archivo action.class.php. La manipulación del argumento sid conduce a la inyección de SQL. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-247907.
  
• Vulnerabilidad en OTCMS 7.01 (CVE-2023-6772)
  Severidad: MEDIA
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Una vulnerabilidad fue encontrada en OTCMS 7.01 y clasificada como crítica. Una función desconocida del archivo /admin/ind_backstage.php es afectada por esta vulnerabilidad. La manipulación del argumento sqlContent conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-247908.
  
• Vulnerabilidad en Jellyfin (CVE-2023-48702)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Jellyfin es un sistema para gestionar y transmitir medios. Antes de la versión 10.8.13, el endpoint `/System/MediaEncoder/Path` ejecuta un archivo arbitrario usando `ProcessStartInfo` a través de la función `ValidateVersion`. Un administrador malintencionado puede configurar un recurso compartido de red y proporcionar una ruta UNC a `/System/MediaEncoder/Path` que apunta a un ejecutable en el recurso compartido de red, lo que hace que el servidor Jellyfin ejecute el ejecutable en el contexto local. El endpoint se eliminó en la versión 10.8.13.
  
• Vulnerabilidad en CKAN (CVE-2023-50248)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  CKAN es un sistema de gestión de datos de código abierto para impulsar centros y portales de datos. A partir de la versión 2.0.0 y anteriores a las versiones 2.9.10 y 2.10.3, al enviar una solicitud POST al endpoint `/dataset/new` (incluida la cookie de autenticación o el encabezado `Authorization`) con un archivo especialmente manipulado campo, un atacante puede crear un error de falta de memoria en el servidor de alojamiento. Para desencadenar este error, el atacante debe tener permisos para crear o editar conjuntos de datos. Esta vulnerabilidad ha sido parcheada en CKAN 2.10.3 y 2.9.10.
  
• Vulnerabilidad en ZTE mobile (CVE-2023-25644)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Existe una vulnerabilidad de denegación de servicio en algunos productos de Internet móvil de ZTE. Debido a una validación insuficiente del parámetro de la interfaz web, un atacante podría utilizar la vulnerabilidad para realizar un ataque de denegación de servicio.
  
• Vulnerabilidad en LivingWord para Joomla (CVE-2023-40627)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Se descubrió una vulnerabilidad XSS reflejada en el componente LivingWord para Joomla.
  
• Vulnerabilidad en Extplorer para Joomla (CVE-2023-40628)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Se descubrió una vulnerabilidad XSS reflejada en el componente Extplorer para Joomla.
  
• Vulnerabilidad en SunnyToo (CVE-2023-46348)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de inyección SQL en SunnyToo, existente antes de la versión 1.1.13, permite a los atacantes escalar privilegios y obtener información confidencial a través de los métodos StUrls::hookActionDispatcher y StUrls::getInstanceId.
  
• Vulnerabilidad en Apache Shiro (CVE-2023-46750)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de redirección de URL a un sitio que no es de confianza ("Open Redirect") cuando se utiliza la autenticación de "formulario" en Apache Shiro. Mitigación: actualice a Apache Shiro 1.13.0+ o 2.0.0-alpha-4+.
  
• Vulnerabilidad en Buy Addons bavideotab (CVE-2023-48925)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de inyección SQL en Buy Addons bavideotab anterior a la versión 1.0.6, permite a los atacantes escalar privilegios y obtener información confidencial a través del componente BaVideoTabSaveVideoModuleFrontController::run().
  
• Vulnerabilidad en Adobe Systems (CVE-2023-48631)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Las versiones 4.3.1 y anteriores de @adobe/css-tools se ven afectadas por una vulnerabilidad de validación de entrada incorrecta que podría provocar una denegación de servicio al intentar analizar CSS.
  
• Vulnerabilidad en h2oai/h2o-3 (CVE-2023-6569)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Control externo del nombre o ruta del archivo en h2oai/h2o-3
  
• Vulnerabilidad en kubeflow/kubeflow (CVE-2023-6570)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Server-Side Request Forgery (SSRF) en kubeflow/kubeflow
  
• Vulnerabilidad en kubeflow/kubeflow (CVE-2023-6571)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Cross-site Scripting (XSS): reflejado en kubeflow/kubeflow
  
• Vulnerabilidad en Schneider Electric SE (CVE-2023-6407)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Existe una vulnerabilidad CWE-22: limitación inadecuada de un nombre de ruta a un directorio restringido ("Path Traversal") que podría causar la eliminación arbitraria de archivos al reiniciar el servicio cuando un atacante local y con pocos privilegios accede a él.
  
• Vulnerabilidad en ZTE mobile (CVE-2023-25642)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Existe una vulnerabilidad de desbordamiento del búfer en algunos productos de Internet móvil de ZTE. Debido a una validación insuficiente del parámetro del puerto tcp, un atacante autenticado podría utilizar la vulnerabilidad para realizar un ataque de denegación de servicio.
  
• Vulnerabilidad en ZTE mobile (CVE-2023-25643)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Existe una vulnerabilidad de inyección de comandos en algunos productos de internet móvil de ZTE. Debido a una validación de entrada insuficiente de múltiples parámetros de red, un atacante autenticado podría utilizar la vulnerabilidad para ejecutar comandos arbitrarios.
  
• Vulnerabilidad en Emlog Pro v2.1.14 (CVE-2023-41621)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  Se descubrió una vulnerabilidad de Cross Site Scripting (XSS) en Emlog Pro v2.1.14 a través del componente /admin/store.php.
  
• Vulnerabilidad en Zoom Desktop Client, Zoom VDI Client y Zoom SDK para Windows (CVE-2023-43586)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/12/2023
  Fecha de última actualización: 18/12/2023
  El path traversal en Zoom Desktop Client para Windows, Zoom VDI Client para Windows y Zoom SDK para Windows puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso a la red.
  
• Vulnerabilidad en Azure DevOps (CVE-2023-21751)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de suplantación de identidad del servidor Azure DevOps
  
• Vulnerabilidad en Common Services soliberte (CVE-2023-40921)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de inyección SQL en functions/point_list.php en Common Services soliberte anterior a v4.3.03 permite a atacantes obtener información confidencial a través de los parámetros lat y lng.
  
• Vulnerabilidad en DedeBIZ v6.0.3 (CVE-2023-31546)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de Cross Site Scripting (XSS) en DedeBIZ v6.0.3 permite a los atacantes ejecutar código arbitrario a través de la función de búsqueda.
  
• Vulnerabilidad en Page Visit Counter Advanced Page Visit Counter – Most Wanted Analytics Plugin for WordPress (CVE-2023-50371)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Page Visit Counter Advanced Page Visit Counter – Most Wanted Analytics Plugin for WordPress permite almacenar XSS. Este problema afecta a Advanced Page Visit Counter – Most Wanted Analytics Plugin for WordPress: desde n/a hasta 8.0.6.
  
• Vulnerabilidad en IBM i Access Client Solutions (CVE-2023-45182)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  IBM i Access Client Solutions 1.1.2 a 1.1.4 y 1.1.4.3 a 1.1.9.3 es vulnerable a que se decodifique su clave para una contraseña cifrada. Al obtener acceso de alguna manera a la contraseña cifrada, un atacante local podría aprovechar esta vulnerabilidad para obtener la contraseña de otros sistemas. ID de IBM X-Force: 268265.
  
• Vulnerabilidad en IBM i Access Client Solutions (CVE-2023-45185)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  IBM i Access Client Solutions versiones 1.1.2 a 1.1.4 y 1.1.4.3 a 1.1.9.3 podrían permitir a un atacante ejecutar código remoto. Debido a controles de autoridad inadecuados, el atacante podría realizar operaciones en la PC bajo la autoridad del usuario. ID de IBM X-Force: 268273.
  
• Vulnerabilidad en Alma Alma – Pay in installments or later for WooCommerce (CVE-2023-50369)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Alma Alma – Pay in installments or later for WooCommerce permite almacenar XSS. Este problema afecta a Alma – Pay in installments or later for WooCommerce: desde n/a hasta 5.1.3.
  
• Vulnerabilidad en Livemesh WPBakery Page Builder Addons by Livemesh (CVE-2023-50370)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Livemesh WPBakery Page Builder Addons by Livemesh permite almacenar XSS. Este problema afecta a los complementos de WPBakery Page Builder by Livemesh: desde n/a hasta 3.5.
  
• Vulnerabilidad en PenciDesign Soledad – Multipurpose, Newspaper, Blog & WooCommerce WordPress Theme (CVE-2023-49827)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en PenciDesign Soledad – Multipurpose, Newspaper, Blog & WooCommerce WordPress Theme permite XSS reflejado. Este problema afecta a Soledad – Multipurpose, Newspaper, Blog & WooCommerce WordPress Theme: desde n/a hasta 8.4.1.
  
• Vulnerabilidad en Automattic WooPayments – Fully Integrated Solution Built and Supported by Woo (CVE-2023-49828)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Automattic WooPayments – Fully Integrated Solution Built and Supported by Woo permite almacenar XSS. Este problema afecta a WooPayments – Fully Integrated Solution Built and Supported by Woo: de n/ a hasta 6.4.2.v
  
• Vulnerabilidad en Brainstorm Force Spectra – WordPress Gutenberg Blocks (CVE-2023-49833)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Brainstorm Force Spectra – WordPress Gutenberg Blocks permite almacenar XSS. Este problema afecta a Spectra – WordPress Gutenberg Blocks: desde n/a hasta 2.7.9.
  
• Vulnerabilidad en EmpireCMS v7.5 (CVE-2023-50073)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Se descubrió que EmpireCMS v7.5 contenía una vulnerabilidad de inyección SQL a través del parámetro ftppassword en SetEnews.php.
  
• Vulnerabilidad en Semcms v4.8 (CVE-2023-50563)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Se descubrió que Semcms v4.8 contenía una vulnerabilidad de inyección SQL a través del parámetro AID en SEMCMS_Function.php.
  
• Vulnerabilidad en Pluck-CMS v4.7.18 (CVE-2023-50564)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Una vulnerabilidad de carga de archivos arbitrarios en el componente /inc/modules_install.php de Pluck-CMS v4.7.18 permite a los atacantes ejecutar código arbitrario cargando un archivo ZIP manipulado.
  
• Vulnerabilidad en RPCMS v3.5.5 (CVE-2023-50565)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de Cross-Site Scripting (XSS) en el componente /logs/dopost.html en RPCMS v3.5.5 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado.
  
• Vulnerabilidad en Crocoblock JetBlocks For Elementor (CVE-2023-48756)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting') en Crocoblock JetBlocks For Elementor permite Reflected XSS. Este problema afecta a JetBlocks For Elementor: desde n/a hasta 1.3.8.
  
• Vulnerabilidad en Raghu Goriya MyTube PlayList (CVE-2023-48767)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Raghu Goriya MyTube PlayList permite Reflected XSS. Este problema afecta a MyTube PlayList: desde n/a hasta 2.0.3.
  
• Vulnerabilidad en RTU500 series (CVE-2023-5769)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Existe una vulnerabilidad en el servidor web que afecta a las versiones de productos de RTU500 series que se enumeran a continuación. Un actor malintencionado podría realizar Cross-Site Scripting en el servidor web debido a que la entrada del usuario se sanitizo incorrectamente.
  
• Vulnerabilidad en TheInnovs Innovs HR – Complete Human Resource Management System for Your Business (CVE-2023-49171)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en TheInnovs Innovs HR – Complete Human Resource Management System for Your Business permite Reflected XSS. Este problema afecta a Innovs HR – Complete Human Resource Management System for Your Business: desde n/a hasta 1.0.3.4.
  
• Vulnerabilidad en BrainCert BrainCert – HTML5 Virtual Classroom (CVE-2023-49172)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en BrainCert BrainCert – HTML5 Virtual Classroom permite XSS reflejado. Este problema afecta a BrainCert – HTML5 Virtual Classroom: desde n/a hasta 1.30.
  
• Vulnerabilidad en 10to8 Sign In Scheduling Online Appointment Booking System (CVE-2023-49173)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en 10to8 Sign In Scheduling Online Appointment Booking System permite almacenar XSS. Este problema afecta a Sign In Scheduling Online Appointment Booking System: desde n/a hasta 1.0.9.
  
• Vulnerabilidad en Kyle Phillips Nested Pages (CVE-2023-49195)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Kyle Phillips Nested Pages permite almacenar XSS. Este problema afecta a Nested Pages: desde n/a hasta 3.2.6.
  
• Vulnerabilidad en Themefic Ultimate Addons for Contact Form 7 (CVE-2023-49766)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting') en Themefic Ultimate Addons for Contact Form 7 permite almacenar XSS. Este problema afecta a Ultimate Addons for Contact Form 7: desde n/a hasta 3.2.0.
  
• Vulnerabilidad en Peter Raschendorfer Smart External Link Click Monitor [Link Log] (CVE-2023-49771)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Peter Raschendorfer Smart External Link Click Monitor [Link Log] permite XSS reflejado. Este problema afecta a Smart External Link Click Monitor [Link Log]: de n/a hasta 5.0.2.
  
• Vulnerabilidad en J.N. Breetvelt a.K.A. OpaJaap WP Photo Album Plus (CVE-2023-49813)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en J.N. Breetvelt a.K.A. OpaJaap WP Photo Album Plus permite almacenar XSS. Este problema afecta a WP Photo Album Plus: desde n/a hasta 8.5.02.005.
  
• Vulnerabilidad en Gordon Böhme, Antonio Leutsch Structured Content (JSON-LD) #wpsc (CVE-2023-49820)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en Gordon Böhme, Antonio Leutsch Structured Content (JSON-LD) #wpsc permite almacenar XSS. Este problema afecta a Structured Content (JSON-LD) #wpsc: de n/a hasta 1.5.3.
  
• Vulnerabilidad en FancyThemes Optin Forms – Simple List Building Plugin for WordPress (CVE-2023-49841)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en FancyThemes Optin Forms – Simple List Building Plugin for WordPress permite almacenar XSS. Este problema afecta a Optin Forms – Simple List Building Plugin for WordPress: desde n/a hasta 1.3.3.
  
• Vulnerabilidad en HP OfficeJet Pro (CVE-2023-4694)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 18/12/2023
  Ciertas impresoras HP OfficeJet Pro son potencialmente vulnerables a una denegación de servicio cuando envían un mensaje SOAP al servicio en el puerto TCP 3911 que contiene un cuerpo pero no un encabezado.