Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Totolink N200RE_V5 V9.3.5u.6255_B20211224 (CVE-2022-46025)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/01/2024
  Fecha de última actualización: 17/01/2024
  Totolink N200RE_V5 V9.3.5u.6255_B20211224 es vulnerable a un control de acceso incorrecto. El dispositivo permite a atacantes remotos obtener información del sistema Wi-Fi, como el SSID y la contraseña de Wi-Fi, sin iniciar sesión en la página de administración.
  
• Vulnerabilidad en SEMCMS v4.8 (CVE-2023-48864)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/01/2024
  Fecha de última actualización: 17/01/2024
  Se descubrió que SEMCMS v4.8 contenía una vulnerabilidad de inyección SQL a través del parámetro languageID en /web_inc.php.
  
• Vulnerabilidad en FreeIPA (CVE-2023-5455)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/01/2024
  Fecha de última actualización: 17/01/2024
  Existe una vulnerabilidad de Cross-site request forgery en ipa/session/login_password en todas las versiones compatibles de IPA. Este fallo permite a un atacante engañar al usuario para que envíe una solicitud que podría realizar acciones como el usuario, lo que resulta en una pérdida de confidencialidad e integridad del sistema. Durante las pruebas de penetración de la comunidad, se descubrió que para ciertos endpoints HTTP, FreeIPA no garantizan la protección CSRF. Debido a los detalles de implementación, no se puede utilizar este fallo para reflejar una cookie que represente a un usuario que ya inició sesión. Un atacante siempre tendría que realizar un nuevo intento de autenticación.