Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en live555versión 2023.05.10 (CVE-2023-37117)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    Se encontró una vulnerabilidad de use after free del montón en live555 versión 2023.05.10 mientras se manejaba el SETUP.
  • Vulnerabilidad en Checkmk (CVE-2023-31211)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    El flujo de autenticación insuficiente en Checkmk anterior a 2.2.0p17, 2.1.0p37 y 2.0.0p39 permite al atacante utilizar credenciales bloqueadas
  • Vulnerabilidad en CentralSquare Click2Gov Building Permit (CVE-2023-40362)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    Se descubrió un problema en CentralSquare Click2Gov Building Permit antes de octubre de 2023. La falta de protecciones de control de acceso permite a atacantes remotos eliminar arbitrariamente a los contratistas de la cuenta de cualquier usuario cuando se conoce la identificación del usuario y la información del contratista.
  • Vulnerabilidad en GL.iNet (CVE-2023-50919)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    Se descubrió un problema en dispositivos GL.iNet anteriores a la versión 4.5.0. Existe una omisión de autenticación NGINX mediante la coincidencia de patrones de cadenas Lua. Esto afecta a A1300 4.4.6, AX1800 4.4.6, AXT1800 4.4.6, MT3000 4.4.6, MT2500 4.4.6, MT6000 4.5.0, MT1300 4.3.7, MT300N-V2 4.3.7, AR750S 4.3.7, AR750 4.3.7, AR300M 4.3.7 y B1300 4.3.7.
  • Vulnerabilidad en GL.iNet (CVE-2023-50920)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    Se descubrió un problema en dispositivos GL.iNet anteriores a la versión 4.5.0. Asignan el mismo ID de sesión después de reiniciar cada usuario, lo que permite a los atacantes compartir identificadores de sesión entre diferentes sesiones y omitir las medidas de autenticación o control de acceso. Los atacantes pueden hacerse pasar por usuarios legítimos o realizar acciones no autorizadas. Esto afecta a A1300 4.4.6, AX1800 4.4.6, AXT1800 4.4.6, MT3000 4.4.6, MT2500 4.4.6, MT6000 4.5.0, MT1300 4.3.7, MT300N-V2 4.3.7, AR750S 4.3.7, AR750 4.3.7, AR300M 4.3.7 y B1300 4.3.7.
  • Vulnerabilidad en mk_tsm en Checkmk (CVE-2023-6735)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    La escalada de privilegios en el complemento del agente mk_tsm en Checkmk anterior a 2.2.0p17, 2.1.0p37 y 2.0.0p39 permite al usuario local escalar privilegios
  • Vulnerabilidad en jar_signature en Checkmk (CVE-2023-6740)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    La escalada de privilegios en el complemento del agente jar_signature en Checkmk anterior a 2.2.0p17, 2.1.0p37 y 2.0.0p39 permite al usuario local escalar privilegios
  • Vulnerabilidad en H8951-4G-ESP (CVE-2023-49255)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    Se puede acceder a la consola del enrutador sin autenticación en el campo "data" y, si bien es necesario que un usuario inicie sesión para modificar la configuración, el estado de la sesión se comparte. Si algún otro usuario ha iniciado sesión actualmente, el usuario anónimo puede ejecutar comandos en el contexto del autenticado. Si el usuario que inició sesión tiene privilegios administrativos, es posible utilizar los comandos de configuración del servicio webadmin para crear un nuevo usuario administrador con una contraseña elegida.
  • Vulnerabilidad en H8951-4G-ESP (CVE-2023-49262)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 19/01/2024
    El mecanismo de autenticación se puede omitir desbordando el valor del campo "authentication" de cookies, siempre que haya una sesión de usuario activa.
  • Vulnerabilidad en code-projects Online FIR System 1.0 (CVE-2024-0503)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2024
    Fecha de última actualización: 19/01/2024
    Se encontró una vulnerabilidad en code-projects Online FIR System 1.0. Ha sido clasificada como problemática. Esto afecta a una parte desconocida del archivo Registercomplaint.php. La manipulación del argumento Name/Address conduce a cross site scripting. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-250611.