Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en rymcu forest v.0.02 (CVE-2023-51804)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Un problema en rymcu forest v.0.02 permite a un atacante remoto obtener información confidencial mediante la manipulación de la URL del cuerpo HTTP en el archivo com.rymcu.forest.web.api.common.UploadController.
Vulnerabilidad en flaskcode package (CVE-2023-52288)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Se descubrió un problema en flaskcode package hasta la versión 0.0.8 para Python. Un directory traversal no autenticado, explotable con una solicitud GET a un URI /resource-data/.txt (de views.py), permite a los atacantes leer archivos arbitrarios.
Vulnerabilidad en flaskcode package (CVE-2023-52289)
Severidad: Pendiente de análisis
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Se descubrió un problema en flaskcode package hasta la versión 0.0.8 para Python. Un directory traversal no autenticado, explotable con una solicitud POST a un URI /update-resource-data/ (desde views.py), permite a los atacantes escribir en archivos arbitrarios.
Vulnerabilidad en Taokeyun (CVE-2024-0479)
Severidad: ALTA
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Se encontró una vulnerabilidad en Taokeyun hasta 1.0.5. Ha sido clasificada como crítica. La función login del archivo application/index/controller/m/User.php del componente HTTP POST Request Handler es afectada por la vulnerabilidad. La manipulación del argumento username conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-250584.
Vulnerabilidad en Taokeyun (CVE-2024-0480)
Severidad: ALTA
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Se encontró una vulnerabilidad en Taokeyun hasta 1.0.5. Ha sido declarada crítica. La función index del archivo application/index/controller/m/Drs.php del componente HTTP POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento cid conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-250585.
Vulnerabilidad en Taokeyun (CVE-2024-0481)
Severidad: MEDIA
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Se encontró una vulnerabilidad en Taokeyun hasta 1.0.5. Ha sido calificada como crítica. La función shopGoods del archivo application/index/controller/app/store/Goods.php del componente HTTP POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento keyword conduce a la inyección SQL. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-250586 es el identificador asignado a esta vulnerabilidad.
Vulnerabilidad en Taokeyun (CVE-2024-0482)
Severidad: MEDIA
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad ha sido encontrada en Taokeyun hasta 1.0.5 y clasificada como crítica. Esto afecta a la función index del archivo application/index/controller/app/Video.php del componente HTTP POST Request Handler. La manipulación del argumento cid conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-250587.
Vulnerabilidad en Taokeyun (CVE-2024-0483)
Severidad: MEDIA
Fecha de publicación: 13/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad fue encontrada en Taokeyun hasta 1.0.5 y clasificada como crítica. Esta vulnerabilidad afecta a la función index del archivo application/index/controller/app/Task.php del componente HTTP POST Request Handler. La manipulación del argumento cid conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-250588.
Vulnerabilidad en GnuTLS (CVE-2024-0553)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Se encontró una vulnerabilidad en GnuTLS. Los tiempos de respuesta a textos cifrados con formato incorrecto en RSA-PSK ClientKeyExchange difieren de los tiempos de respuesta de textos cifrados con el relleno PKCS#1 v1.5 correcto. Este problema puede permitir que un atacante remoto realice un ataque de canal lateral de sincronización en el intercambio de claves RSA-PSK, lo que podría provocar la fuga de datos confidenciales. CVE-2024-0553 está designado como una resolución incompleta para CVE-2023-5981.
Vulnerabilidad en El complemento Dokan WordPress (CVE-2022-3194)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
El complemento Dokan WordPress anterior a 3.6.4 permite a los proveedores inyectar javascript arbitrario en reseñas de productos, lo que puede permitirles ejecutar ataques de XSS almacenado contra otros usuarios, como administradores de sitios.
Vulnerabilidad en El complemento de WordPress Contact Form Entries (CVE-2022-3604)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
El complemento de WordPress Contact Form Entries anterior a 1.3.0 no valida los datos cuando se generan en un archivo CSV, lo que podría provocar una inyección de CSV.
Vulnerabilidad en El complemento de WordPress WP Best Quiz (CVE-2022-3739)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
El complemento de WordPress WP Best Quiz hasta la versión 1.0 no sanitiza ni escapa a algunos parámetros, lo que podría permitir a los usuarios con un rol tan bajo como Autor realizar ataques de cross site scripting.
Vulnerabilidad en El complemento Seed Social WordPress (CVE-2022-3836)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
El complemento Seed Social WordPress anterior a 2.0.4 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en El complemento 3dprint WordPress (CVE-2022-3899)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
El complemento 3dprint WordPress anterior a 3.5.6.9 no protege contra ataques CSRF en la versión modificada de Tiny File Manager incluida con el complemento, lo que permite a un atacante crear una solicitud maliciosa que eliminará cualquier cantidad de archivos o directorios en el servidor de destino mediante engañando a un administrador que haya iniciado sesión para enviar un formulario.
Vulnerabilidad en OPCUAServerToolkit (CVE-2023-7234)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
OPCUAServerToolkit escribirá un mensaje de registro una vez que un cliente OPC UA se haya conectado exitosamente y contenga el campo de descripción autodefinido del cliente.
Vulnerabilidad en Ursa (CVE-2022-31021)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Ursa es una librería criptográfica para usar con blockchains. Una debilidad en la especificación Hyperledger AnonCreds que no se mitiga en las implementaciones Ursa y AnonCreds es que el Emisor no publica una prueba de corrección de clave que demuestre que una clave privada generada es suficiente para cumplir con las garantías de desvinculación de AnonCreds. Las implementaciones Ursa y AnonCreds CL-Signatures siempre generan una clave privada suficiente. En teoría, un emisor malintencionado podría crear una implementación personalizada de CL Signature (derivada de las implementaciones Ursa o AnonCreds CL-Signatures) que utilice claves privadas debilitadas, de modo que los verificadores puedan compartir las presentaciones de los titulares con el emisor, quien podría determinar a qué titular se se emitió la credencial. Esta vulnerabilidad podría afectar a los titulares de credenciales de AnonCreds implementadas utilizando el esquema de firma CL en las implementaciones Ursa y AnonCreds de CL Signatures. El proyecto Ursa ha llegado al estado de fin de vida útil y no se espera ninguna solución.
Vulnerabilidad en Ursa (CVE-2024-21670)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Ursa es una librería criptográfica para usar con blockchains. El esquema de revocación que forma parte de las implementaciones de Ursa CL-Signatures tiene un fallo que podría afectar las garantías de privacidad definidas por el modelo de credencial verificable de AnonCreds, permitiendo a un titular malicioso de una credencial revocada generar una prueba de no revocación válida para esa credencial como parte de una presentación de AnonCreds. Un verificador puede verificar que una credencial de un titular está "not revoked" cuando, en realidad, la credencial del titular ha sido revocada. Ursa ha pasado al estado de fin de vida útil y no se espera ninguna solución.
Vulnerabilidad en Avo (CVE-2024-22191)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Avo es un framework para crear paneles de administración para aplicaciones Ruby on Rails. Se encontró una vulnerabilidad de cross site scripting (XSS) almacenado en el campo key_value de Avo v3.2.3. Esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript arbitrario en el navegador de la víctima. El valor de key_value se inserta directamente en el código HTML. En la versión actual de Avo (posiblemente también en versiones anteriores), el valor no se sanitiza adecuadamente antes de insertarlo en el código HTML. Esta vulnerabilidad podría usarse para robar información confidencial de las víctimas que podría usarse para secuestrar las cuentas de las víctimas o redirigirlas a sitios web maliciosos. Avo 3.2.4 incluye una solución para este problema. Se recomienda a los usuarios que actualicen.
Vulnerabilidad en Ursa (CVE-2024-22192)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Ursa es una librería criptográfica para usar con blockchains. El esquema de revocación que forma parte de las implementaciones de Ursa CL-Signatures tiene un fallo que podría afectar las garantías de privacidad definidas por el modelo de credenciales verificables de AnonCreds. En particular, un verificador malicioso puede generar un identificador único para un titular que proporcione una presentación verificable que incluya una prueba de no revocación. El impacto del fallo es que un verificador malicioso puede determinar un identificador único para un titular que presenta una prueba de no revocación. Ursa ha pasado al estado de fin de vida útil y no se espera ninguna solución.
Vulnerabilidad en Avo (CVE-2024-22411)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Avo es un framework para crear paneles de administración para aplicaciones Ruby on Rails. En Avo 3 pre12, cualquier texto HTML interno que se pase a "error" o "succeed" en una subclase "Avo::BaseAction" se representará directamente sin sanitización en toast/notification que aparece en la interfaz de usuario al finalizar la acción. Un usuario malintencionado podría aprovechar esta vulnerabilidad para desencadenar un ataque de cross site scripting en un usuario desprevenido. Este problema se solucionó en la versión 3.0.0 de Avo. Se recomienda a los usuarios que actualicen.
Vulnerabilidad en D-LINK Go-RT-AC750 v101b03 (CVE-2024-22916)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
En D-LINK Go-RT-AC750 v101b03, la función sprintf en la función sub_40E700 dentro de cgibin es susceptible al desbordamiento de pila.
Vulnerabilidad en Shopware (CVE-2024-22406)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Shopware es una plataforma de comercio abierta y sin cabeza. La API de la aplicación Shopware contiene una función de búsqueda que permite a los usuarios buscar información almacenada en su instancia de Shopware. Las búsquedas realizadas por esta función se pueden agregar utilizando los parámetros del objeto “aggregations”. El campo 'name' en este objeto de "aggregations" es vulnerable a una inyección SQL y puede explotarse mediante consultas SQL basadas en tiempo. Este problema se solucionó y se recomienda a los usuarios que actualicen a Shopware 6.5.7.4. Para versiones anteriores de 6.1, 6.2, 6.3 y 6.4, las medidas de seguridad correspondientes también están disponibles a través de un complemento. Para obtener la gama completa de funciones, recomendamos actualizar a la última versión de Shopware.
Vulnerabilidad en Shopware (CVE-2024-22407)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Shopware es una plataforma de comercio abierta y sin cabeza. En Shopware CMS, el controlador de estado de los pedidos no verifica suficientemente las autorizaciones del usuario para las acciones que modifican el pago, la entrega y/o el estado del pedido. Debido a esta implementación inadecuada, los usuarios que carecen de permisos de "write" para pedidos aún pueden cambiar el estado del pedido. Este problema se solucionó y se recomienda a los usuarios que actualicen a Shopware 6.5.7.4. Para versiones anteriores de 6.1, 6.2, 6.3 y 6.4, las medidas de seguridad correspondientes también están disponibles a través de un complemento. Para obtener la gama completa de funciones, recomendamos actualizar a la última versión de Shopware.
Vulnerabilidad en Shopware (CVE-2024-22408)
Severidad: Pendiente de análisis
Fecha de publicación: 16/01/2024
Fecha de última actualización: 24/01/2024
Shopware es una plataforma de comercio abierta y sin cabeza. La funcionalidad Flow Builder implementada en la aplicación Shopware no valida adecuadamente la URL utilizada al crear la acción "call webhook". Esto permite a usuarios malintencionados realizar solicitudes web a hosts internos. Este problema se solucionó en la versión 6.5.7.4 del complemento comercial o con el complemento de seguridad. Para instalaciones con Shopware 6.4, se recomienda instalar y actualizar el complemento de seguridad. Para versiones anteriores de 6.4 y 6.5, las medidas de seguridad correspondientes también están disponibles a través de un complemento. Para obtener la gama completa de funciones, recomendamos actualizar a la última versión de Shopware.
Vulnerabilidad en TP Link TC70 y C200 WIFI Camera v.3 firmware v.1.3.4 (CVE-2023-49515)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
La vulnerabilidad de permisos inseguros en TP Link TC70 y C200 WIFI Camera v.3 firmware v.1.3.4 y corregida en v.1.3.11 permite a un atacante físicamente cercano obtener información confidencial a través de una conexión a los componentes del pin UART.
Vulnerabilidad en webkul qloapps (CVE-2023-36235)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Un problema en webkul qloapps anterior a v1.6.0 permite a un atacante obtener información confidencial a través del parámetro id_order.
Vulnerabilidad en El complemento Burst Statistics – Privacy-Friendly Analytics para WordPress (CVE-2024-0405)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
El complemento Burst Statistics – Privacy-Friendly Analytics para WordPress, versión 1.5.3, es vulnerable a la inyección SQL post-autenticada a través de múltiples parámetros JSON en el endpoint /wp-json/burst/v1/data/compare. Los parámetros afectados incluyen "browser", "device", "page_id", "page_url", "platform" y "referrer". Esta vulnerabilidad surge debido a un escape insuficiente de los parámetros proporcionados por el usuario y a la falta de preparación adecuada en las consultas SQL. Como resultado, los atacantes autenticados con acceso de editor o superior pueden agregar consultas SQL adicionales a las existentes, lo que podría conducir a un acceso no autorizado a información confidencial de la base de datos.
Vulnerabilidad en ExamSys 9150244 (CVE-2023-52285)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
ExamSys 9150244 permite la inyección SQL a través del parámetro /Support/action/Pages.php s_score2.
Vulnerabilidad en El complemento Social Warfare para WordPress (CVE-2021-4434)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
El complemento Social Warfare para WordPress es vulnerable a la ejecución remota de código en versiones hasta la 3.5.2 inclusive a través del parámetro 'swp_url'. Esto permite a los atacantes ejecutar código en el servidor.
Vulnerabilidad en Zorem Advanced Local Pickup for WooCommerce (CVE-2022-40702)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de autorización faltante en Zorem Advanced Local Pickup for WooCommerce. Este problema afecta a Local Pickup for WooCommerce: desde n/a hasta 1.5.2.
Vulnerabilidad en Vinoj Cardoza 3D Tag Cloud (CVE-2022-41990)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Vinoj Cardoza 3D Tag Cloud permite XSS almacenado. Este problema afecta a 3D Tag Cloud: desde n/a hasta 3.8.
Vulnerabilidad en Cisco Prime Infrastructure (CVE-2023-20257)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Infrastructure podría permitir que un atacante remoto autenticado realice ataques de cross site scripting. Esta vulnerabilidad se debe a una validación inadecuada de la entrada proporcionada por el usuario en la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad enviando entradas maliciosas que contengan scripts o contenido HTML dentro de las solicitudes que se almacenarían en la interfaz de la aplicación. Una explotación exitosa podría permitir al atacante realizar ataques de cross site scripting contra otros usuarios de la aplicación afectada.
Vulnerabilidad en Cisco Prime Infrastructure (CVE-2023-20258)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Infrastructure podría permitir que un atacante remoto autenticado ejecute comandos arbitrarios en el sistema operativo subyacente. Esta vulnerabilidad se debe al procesamiento inadecuado de objetos Java serializados por parte de la aplicación afectada. Un atacante podría aprovechar esta vulnerabilidad cargando un documento que contenga objetos Java serializados maliciosos para que los procese la aplicación afectada. Una explotación exitosa podría permitir al atacante hacer que la aplicación ejecute comandos arbitrarios.
Vulnerabilidad en Cisco Prime Infrastructure y Cisco Evolved Programmable Network Manager (CVE-2023-20260)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad en la CLI de la aplicación de Cisco Prime Infrastructure y Cisco Evolved Programmable Network Manager podría permitir que un atacante local autenticado obtenga privilegios aumentados. Esta vulnerabilidad se debe al procesamiento inadecuado de los argumentos de la línea de comando en los scripts de la aplicación. Un atacante podría aprovechar esta vulnerabilidad emitiendo un comando en la CLI con opciones maliciosas. Una explotación exitosa podría permitir al atacante obtener privilegios aumentados del usuario root en el sistema operativo subyacente.
Vulnerabilidad en Cisco Prime Infrastructure y Cisco Evolved Programmable Network Manager (CVE-2023-20271)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Prime Infrastructure y Cisco Evolved Programmable Network Manager (EPNM) podría permitir que un atacante remoto autenticado realice ataques de inyección SQL en un sistema afectado. Esta vulnerabilidad se debe a una validación incorrecta de los parámetros enviados por el usuario. Un atacante podría aprovechar esta vulnerabilidad autenticándose en la aplicación y enviando solicitudes maliciosas a un sistema afectado. Una explotación exitosa podría permitir al atacante obtener y modificar información confidencial almacenada en la base de datos subyacente.
Vulnerabilidad en Brainstorm Force Ultimate Addons para Beaver Builder – Lite (CVE-2023-23882)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de autorización faltante en Brainstorm Force Ultimate Addons para Beaver Builder – Lite. Este problema afecta a Ultimate Addons para Beaver Builder – Lite: desde n/a hasta 1.5.5.
Vulnerabilidad en MyThemeShop URL Shortener de MyThemeShop (CVE-2023-23896)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de autorización faltante en MyThemeShop URL Shortener de MyThemeShop. Este problema afecta a URL Shortener de MyThemeShop: desde n/a hasta 1.0.17.
Vulnerabilidad en IBM QRadar SIEM 7.5 (CVE-2023-50950)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
IBM QRadar SIEM 7.5 podría revelar información confidencial de correo electrónico en respuestas a reglas de infracción. ID de IBM X-Force: 275709.
Vulnerabilidad en C21 Live Encoder y Live Mosaic versión 5.3 (CVE-2024-0642)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Control de acceso inadecuado en el producto C21 Live Encoder y Live Mosaic, versión 5.3. Esta vulnerabilidad permite que un atacante remoto acceda a la aplicación como usuario administrador a través del endpoint de la aplicación, debido a la falta de una gestión de credenciales adecuada.
Vulnerabilidad en C21 Live Encoder y Live Mosaic versión 5.3 (CVE-2024-0643)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Carga sin restricciones de tipos de archivos peligrosos en el producto C21 Live Encoder y Live Mosaic, versión 5.3. Esta vulnerabilidad permite a un atacante remoto cargar diferentes extensiones de archivos sin restricciones, lo que compromete todo el sistema.
Vulnerabilidad en Explorer++ 1.3.5.531 (CVE-2024-0645)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de desbordamiento de búfer en Explorer++ que afecta a la versión 1.3.5.531. Un atacante local podría ejecutar código arbitrario a través de un argumento filename largo al monitorear los registros de Structured Exception Handler (SEH).
Vulnerabilidad en El complemento de WordPress WP Discord Invite (CVE-2023-5006)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
El complemento de WordPress WP Discord Invite anterior a 2.5.1 no protege algunas de sus acciones contra ataques CSRF, lo que permite a un atacante no autenticado realizar acciones en su nombre engañando a un administrador conectado para que envíe una solicitud manipulada.
Vulnerabilidad en El complemento Track The Click de WordPress (CVE-2023-5041)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
El complemento Track The Click de WordPress anterior a 0.3.12 no sanitiza adecuadamente los parámetros de consulta en el endpoint REST de estadísticas antes de usarlos en una consulta de base de datos, lo que permite a un usuario registrado con un rol de autor o superior realizar ataques SQLi ciegos basados en el tiempo en la base de datos. .
Vulnerabilidad en Vagary Digital HREFLANG Tags Lite (CVE-2022-36418)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de autorización faltante en Vagary Digital HREFLANG Tags Lite. Este problema afecta a HREFLANG Tags Lite: desde n/a hasta 2.0.0.
Vulnerabilidad en Zorem Sales Report Email para WooCommerce (CVE-2022-38141)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de autorización faltante en Zorem Sales Report Email para WooCommerce. Este problema afecta a Report Email para WooCommerce: desde n/a hasta 2.8.
Vulnerabilidad en AlgolPlus Advanced Dynamic Pricing para WooCommerce (CVE-2022-40203)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de falta de autorización en AlgolPlus Advanced Dynamic Pricing para WooCommerce. Este problema afecta a Advanced Dynamic Pricing para WooCommerce: desde n/a hasta 4.1.5.
Vulnerabilidad en MagneticOne Cart2Cart: Magento to WooCommerce Migration (CVE-2023-34379)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de autorización faltante en MagneticOne Cart2Cart: Magento to WooCommerce Migration. Este problema afecta a Cart2Cart: Magento to WooCommerce Migration: desde n/a hasta 2.0.0.
Vulnerabilidad en WP Job Portal WP Job Portal – A Complete Job Board (CVE-2022-41786)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de autorización faltante en WP Job Portal WP Job Portal – A Complete Job Board. Este problema afecta a WP Job Portal – A Complete Job Board: desde n/a hasta 2.0.1.
Vulnerabilidad en ThemeinProgress WIP Custom Login (CVE-2022-42884)
Severidad: Pendiente de análisis
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Vulnerabilidad de falta de autorización en ThemeinProgress WIP Custom Login. Este problema afecta a WIP Custom Login: desde n/a hasta 1.2.7.
Vulnerabilidad en Sparksuite SimpleMDE (CVE-2024-0647)
Severidad: MEDIA
Fecha de publicación: 17/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad clasificada como problemática fue encontrada en Sparksuite SimpleMDE hasta 1.11.2. Una parte desconocida del componente iFrame Handler afecta a una parte desconocida. La manipulación conduce a cross site scripting. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-251373.
Vulnerabilidad en Project Worlds Visitor Management System 1.0 (CVE-2024-0650)
Severidad: MEDIA
Fecha de publicación: 18/01/2024
Fecha de última actualización: 24/01/2024
Se encontró una vulnerabilidad en Project Worlds Visitor Management System 1.0. Ha sido clasificada como problemática. Una función desconocida del archivo dataset.php del componente URL Handler es afectada por esta vulnerabilidad. La manipulación del argumento name con la entrada "> conduce a cross site scripting. Es posible lanzar el ataque de forma remota. La explotación se ha divulgado al público y puede ser utilizada. El identificador de esta vulnerabilidad es VDB-251376.
Vulnerabilidad en Citrix Session Recording (CVE-2023-6184)
Severidad: Pendiente de análisis
Fecha de publicación: 18/01/2024
Fecha de última actualización: 24/01/2024
Una vulnerabilidad de Cross Site Scripting en Citrix Session Recording permite al atacante realizar Cross Site Scripting