Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2002-0969
    Severidad: MEDIA
    Fecha de publicación: 11/10/2002
    Fecha de última actualización: 26/01/2024
    Desbordamiento de búfer en MySQL anteriores a 3.23.50, y 4.0 beta anteriores a 4.02 sobre Windows, y posiblemente otras plataformas, permite a usuarios locales ejecutar código arbitrario mediante un parámetro datadir largo en el fichero de inicialización my.ini, cuyos permisos en Windows permiten Control Total al grupo Todos.
  • CVE-2003-0517
    Severidad: BAJA
    Fecha de publicación: 18/08/2003
    Fecha de última actualización: 26/01/2024
    faxrunqd.in en mgetty 1.1.28 y anteriores, permite a usuarios locales sobreescribir ficheros mediante un ataque de enlaces simbólicos en ficheros JOB.
  • CVE-2004-0217
    Severidad: BAJA
    Fecha de publicación: 15/04/2004
    Fecha de última actualización: 26/01/2024
    La capacidad LiveUpdate de Symantec Antivirus Scan Engine 4.0 y 4.3 para Red Hat Linux permite a usuarios locales crear o añadir ficheros arbitrarios mediante un ataque de enlaces simbólicos sobre /tmp/LiveUpdate.log.
  • CVE-2004-0689
    Severidad: MEDIA
    Fecha de publicación: 28/09/2004
    Fecha de última actualización: 26/01/2024
    KDE 3.3.0 no maneja adecuadamente ciertos enlaces simbólicos que apuntan a localizaciones "gastadas", lo que podría permitir a usaurios locales crear o truncar ficheros arbitrarios.
  • Vulnerabilidad en una carga de archivo en el archivo upload.php en Monitorr (CVE-2020-28871)
    Severidad: ALTA
    Fecha de publicación: 10/02/2021
    Fecha de última actualización: 26/01/2024
    Una ejecución de código remota en Monitorr versión v1.7.6m, en el archivo upload.php permite a una persona no autorizada ejecutar código arbitrario en el lado del servidor por medio de una carga de archivo no segura
  • Vulnerabilidad en el archivo Monitorr/assets/config/_installation/_register.php en Monitorr (CVE-2020-28872)
    Severidad: ALTA
    Fecha de publicación: 12/04/2021
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad de omisión de autorización en Monitorr versión v1.7.6m, en el archivo Monitorr/assets/config/_installation/_register.php permite a una persona no autorizada crear credenciales válidas
  • Vulnerabilidad en el componente User Creation Handler en SourceCodester Cashier Queuing System (CVE-2022-3580)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/10/2022
    Fecha de última actualización: 26/01/2024
    Se ha encontrado una vulnerabilidad, clasificada como problemática, en SourceCodester Cashier Queuing System versión 1.0.1. Este problema afecta a un procesamiento desconocido del componente User Creation Handler. La manipulación conlleva a un ataque de tipo cross site scripting. El ataque puede ser iniciado remotamente. El identificador asociado a esta vulnerabilidad es VDB-211187
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Serialization) (CVE-2022-21248)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Serialization). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 3.7 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot) (CVE-2022-21291)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java con sandbox, que cargan y ejecutan código no fiable (por ejemplo, código procedente de Internet) y que dependen de la sandbox de Java para su seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries) (CVE-2022-21293)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JAXP) (CVE-2022-21296)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JAXP). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JAXP) (CVE-2022-21299)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JAXP). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot) (CVE-2022-21305)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries) (CVE-2022-21340)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Serialization) (CVE-2022-21341)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Serialization). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: ImageIO) (CVE-2022-21360)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: ImageIO). Las versiones compatibles que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial del servicio (DOS parcial) de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: ImageIO) (CVE-2022-21365)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2022
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: ImageIO). Las versiones soportadas que están afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial del servicio (DOS parcial) de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  • Vulnerabilidad en DeepFaceLab preentrenado DF.wf.288res.384.92.72.22 (CVE-2024-0654)
    Severidad: MEDIA
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad fue encontrada en DeepFaceLab preentrenado DF.wf.288res.384.92.72.22 y clasificada como problemática. Una función desconocida del archivo mainscripts/Util.py es afectada por esta vulnerabilidad. La manipulación conduce a la deserialización. Se requiere acceso local para abordar este ataque. La explotación ha sido divulgada al público y puede utilizarse. VDB-251382 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Progress Application Server para OpenEdge (CVE-2023-40051)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    Este problema afecta a Progress Application Server (PAS) para OpenEdge en las versiones 11.7 anteriores a 11.7.18, 12.2 anteriores a 12.2.13 y versiones de innovación anteriores a 12.8.0. Un atacante puede formular una solicitud para un transporte WEB que permita cargas de archivos no deseadas a una ruta de directorio del servidor en el sistema que ejecuta PASOE. Si la carga contiene un payload que puede explotar aún más el servidor o su red, es posible que se lance un ataque a mayor escala.
  • Vulnerabilidad en Progress Application Server para OpenEdge (CVE-2023-40052)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    Este problema afecta a Progress Application Server (PAS) para OpenEdge en las versiones 11.7 anteriores a 11.7.18, 12.2 anteriores a 12.2.13 y versiones de innovación anteriores a 12.8.0. Un atacante que pueda generar una solicitud web con formato incorrecto puede provocar el bloqueo de un agente PASOE, lo que podría interrumpir las actividades de subprocesos de muchos clientes de aplicaciones web. Varios de estos ataques DoS podrían provocar una inundación de solicitudes no válidas en comparación con la capacidad restante del servidor para procesar solicitudes válidas.
  • Vulnerabilidad en Skoda Automotive (CVE-2023-28901)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    La nube de Skoda Automotive contiene una vulnerabilidad de control de acceso roto, que permite a atacantes remotos obtener datos de viajes recientes, kilometraje del vehículo, consumo de combustible, velocidad media y máxima y otra información de los usuarios del servicio Skoda Connect especificando un número VIN arbitrario del vehículo.
  • Vulnerabilidad en AVEVA PI Server (CVE-2023-31274)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    AVEVA PI Server versiones 2023 y 2018 SP3 P05 y anteriores contienen una vulnerabilidad que podría permitir que un usuario no autenticado haga que el PI Message Subsystem de un PI Server consuma memoria disponible, lo que provocaría un procesamiento limitado de nuevos eventos de PI Data Archive y una condición de denegación de servicio parcial.
  • Vulnerabilidad en AVEVA PI Server (CVE-2023-34348)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    AVEVA PI Server versiones 2023 y 2018 SP3 P05 y anteriores contienen una vulnerabilidad que podría permitir que un usuario no autenticado bloquee de forma remota el subsistema de mensajes PI de un PI Server, lo que resultaría en una condición de denegación de servicio.
  • Vulnerabilidad en Nextcloud Global Site Selector (CVE-2024-22212)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    Nextcloud Global Site Selector es una herramienta que le permite ejecutar múltiples instancias pequeñas de Nextcloud y redirigir a los usuarios al servidor correcto. Un problema en el método de verificación de contraseña permite que un atacante se autentique como otro usuario. Se recomienda actualizar Nextcloud Global Site Selector a la versión 1.4.1, 2.1.2, 2.3.4 o 2.4.5. No se conocen workarounds para este problema.
  • Vulnerabilidad en TenghuTOS TWS-200: V4.0-201809201424 (CVE-2023-51217)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    Un problema descubierto en la versión del firmware TenghuTOS TWS-200: V4.0-201809201424 permite a un atacante remoto ejecutar código arbitrario mediante un comando manipulado en el componente de la página ping.
  • Vulnerabilidad en Nextcloud (CVE-2024-22401)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    La aplicación para invitados Nextcloud es una utilidad para crear usuarios invitados que solo pueden ver los archivos compartidos con ellos. En las versiones afectadas, los usuarios podían cambiar la lista permitida de aplicaciones, permitiéndoles usar aplicaciones que no estaban destinadas a ser utilizadas. Se recomienda actualizar la aplicación Invitados a 2.4.1, 2.5.1 o 3.0.1. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Nextcloud (CVE-2024-22402)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    La aplicación para invitados Nextcloud es una utilidad para crear usuarios invitados que solo pueden ver los archivos compartidos con ellos. En las versiones afectadas, los usuarios podían cargar la primera página de aplicaciones a las que en realidad no se les permitía acceder. Sin embargo, todas las llamadas API posteriores fallaron correctamente, por lo que en la mayoría de las aplicaciones no se filtró información adicional. Dependiendo de la selección de aplicaciones instaladas, esto puede presentar una omisión de permisos. Se recomienda actualizar la aplicación Invitados a 2.4.1, 2.5.1 o 3.0.1. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Nextcloud files Zip (CVE-2024-22404)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 26/01/2024
    La aplicación Nextcloud files Zip es una herramienta para crear archivos zip a partir de uno o varios archivos desde Nextcloud. En las versiones afectadas, los usuarios pueden descargar archivos de "sólo lectura" comprimiendo la carpeta completa. Se recomienda actualizar la aplicación Archivos ZIP a 1.2.1, 1.4.1 o 1.5.0. Los usuarios que no puedan actualizar deben desactivar la aplicación de archivos zip.
  • Vulnerabilidad en Apache Tomcat (CVE-2024-21733)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Vulnerabilidad de generación de mensaje de error que contiene información confidencial en Apache Tomcat. Este problema afecta a Apache Tomcat: desde 8.5.7 hasta 8.5.63, desde 9.0.0-M11 hasta 9.0.43. Se recomienda a los usuarios actualizar a la versión 8.5.64 en adelante o 9.0.44 en adelante, que contienen una solución para el problema.
  • Vulnerabilidad en Monitorr 1.7.6m (CVE-2024-0713)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se encontró una vulnerabilidad en Monitorr 1.7.6m. Ha sido declarada crítica. Una función desconocida del archivo /assets/php/upload.php del componente Services Configuration es afectada por esta vulnerabilidad. La manipulación del argumento fileToUpload conduce a una carga sin restricciones. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-251539. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Pillow (CVE-2023-50447)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Pillow hasta la versión 10.1.0 permite la ejecución de código arbitrario PIL.ImageMath.eval a través del parámetro de entorno, una vulnerabilidad diferente a CVE-2022-22817 (que se refería al parámetro de expresión).
  • Vulnerabilidad en dom96 Jester v.0.6.0 (CVE-2023-50693)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Un problema en dom96 Jester v.0.6.0 y anteriores permite a un atacante remoto ejecutar código arbitrario a través de una solicitud manipulada.
  • Vulnerabilidad en dom96 HTTPbeast v.0.4.1 (CVE-2023-50694)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Un problema en dom96 HTTPbeast v.0.4.1 y anteriores permite a un atacante remoto ejecutar código arbitrario a través de una solicitud manipulada al componente parser.nim.
  • Vulnerabilidad en Lenovo (CVE-2023-5080)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se informó una vulnerabilidad de escalada de privilegios en algunas tabletas Lenovo que podría permitir que las aplicaciones locales accedan a identificadores de dispositivos y comandos del sistema.
  • Vulnerabilidad en Lenovo Tab M8 HD (CVE-2023-5081)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se informó una vulnerabilidad de divulgación de información en Lenovo Tab M8 HD que podría permitir que una aplicación local recopile un identificador de dispositivo no reiniciable.
  • Vulnerabilidad en Lenovo Vantage (CVE-2023-6043)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se informó de una vulnerabilidad de escalada de privilegios en Lenovo Vantage que podría permitir a un atacante local eludir las comprobaciones de integridad y ejecutar código arbitrario con privilegios elevados.
  • Vulnerabilidad en Lenovo Vantage (CVE-2023-6044)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se informó una vulnerabilidad de escalada de privilegios en Lenovo Vantage que podría permitir que un atacante local con acceso físico se haga pasar por Lenovo Vantage Service y ejecute código arbitrario con privilegios elevados.
  • Vulnerabilidad en Lenovo App Store (CVE-2023-6450)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se informó una vulnerabilidad de permisos incorrectos en la aplicación Lenovo App Store que podría permitir a un atacante utilizar recursos del sistema, lo que provocaría una denegación de servicio.
  • Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2024-0731)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad ha sido encontrada en PCMan FTP Server 2.0.7 y clasificada como problemática. Código desconocido del componente PUT Command Handler es afectado por esta vulnerabilidad. La manipulación conduce a la denegación del servicio. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-251554 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en PCMan FTP Server 2.0.7 (CVE-2024-0732)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad fue encontrada en PCMan FTP Server 2.0.7 y clasificada como problemática. Este problema afecta un procesamiento desconocido del componente STOR Command Handler. La manipulación conduce a la denegación del servicio. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-251555.
  • Vulnerabilidad en Smsot (CVE-2024-0733)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se encontró una vulnerabilidad en Smsot hasta 2.12. Ha sido clasificada como crítica. Una función desconocida del archivo /api.php del componente HTTP POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento data[sign] conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-251556.
  • Vulnerabilidad en Smsot (CVE-2024-0734)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Se encontró una vulnerabilidad en Smsot hasta 2.12. Ha sido declarada crítica. Una función desconocida del archivo /get.php es afectada por esta vulnerabilidad. La manipulación del argumento tid conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-251557.
  • Vulnerabilidad en MolecularFaces (CVE-2024-0758)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    MolecularFaces anteriores a 0.3.0 son vulnerables a cross site scripting. Un atacante remoto puede ejecutar JavaScript arbitrario en el contexto del navegador de la víctima a través de archivos mol manipulados.
  • Vulnerabilidad en Artemis Java Test Sandbox (CVE-2024-23681)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Las versiones de Artemis Java Test Sandbox anteriores a 1.11.2 son vulnerables a un escape de la sandbox cuando un atacante carga librerías que no son de confianza utilizando System.load o System.loadLibrary. Un atacante puede abusar de este problema para ejecutar Java arbitrario cuando una víctima ejecuta el código supuestamente aislado.
  • Vulnerabilidad en Artemis Java Test Sandbox (CVE-2024-23682)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Las versiones de Artemis Java Test Sandbox anteriores a 1.8.0 son vulnerables a un escape de la sandbox cuando un atacante incluye archivos de clase en un paquete en el que Ares confía. Un atacante puede abusar de este problema para ejecutar Java arbitrario cuando una víctima ejecuta el código supuestamente aislado.
  • Vulnerabilidad en Artemis Java Test Sandbox (CVE-2024-23683)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Las versiones de Artemis Java Test Sandbox inferiores a 1.7.6 son vulnerables a un escape de la sandbox cuando un atacante crea una subclase especial de InvocationTargetException. Un atacante puede abusar de este problema para ejecutar Java arbitrario cuando una víctima ejecuta el código supuestamente aislado.
  • Vulnerabilidad en ClichHouse (CVE-2024-23689)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    La exposición de información confidencial en excepciones en las versiones clickhouse-r2dbc, com.clickhouse:clickhouse-jdbc y com.clickhouse:clickhouse-client de ClichHouse inferiores a 0.4.6 permite a usuarios no autorizados obtener acceso a las contraseñas de los certificados del cliente a través de los registros de excepciones del cliente. Esto ocurre cuando se especifica 'sslkey' y se genera una excepción, como ClickHouseException o SQLException, durante las operaciones de la base de datos; la contraseña del certificado se incluye en el mensaje de excepción registrado.
  • Vulnerabilidad en Xlightftpd Xlight FTP Server 1.1 (CVE-2024-0737)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad fue encontrada en Xlightftpd Xlight FTP Server 1.1 y clasificada como problemática. Esta vulnerabilidad afecta a código desconocido del componente Login. La manipulación del argumento usuario conduce a la denegación de servicio. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-251560.
  • Vulnerabilidad en mldong 1.0 (CVE-2024-0738)
    Severidad: MEDIA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad fue encontrada y clasificada como crítica en mldong 1.0. Este problema afecta la función ExpressionEngine del archivo com/mldong/modules/wf/engine/model/DecisionModel.java. La manipulación conduce a la inyección de código. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-251561.
  • Vulnerabilidad en Hecheng Leadshop (CVE-2024-0739)
    Severidad: ALTA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad fue encontrada en Hecheng Leadshop hasta 1.4.20 y clasificada como crítica. Una función desconocida del archivo /web/leadshop.php es afectada por esta vulnerabilidad. La manipulación del argumento install conduce a la deserialización. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-251562 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en FOLIO mod-data-export-spring (CVE-2024-23687)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Las credenciales codificadas en las versiones FOLIO mod-data-export-spring anteriores a 1.5.4 y de 2.0.0 a 2.0.2 permiten a usuarios no autenticados acceder a API críticas, modificar datos de usuario, modificar configuraciones, incluido el inicio de sesión único, y manipular tarifas/multas.
  • Vulnerabilidad en Consensys Discovery (CVE-2024-23688)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 26/01/2024
    Las versiones de Consensys Discovery inferiores a 0.4.5 utilizan el mismo nonce AES/GCM durante toda la sesión que idealmente debería ser único para cada mensaje. La clave privada del nodo no está comprometida, solo se expone la clave de sesión generada para una comunicación entre pares específica.
  • Vulnerabilidad en ejinshan v8+ (CVE-2021-31314)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad de carga de archivos en el sistema de seguridad del terminal ejinshan v8+ permite a los atacantes cargar archivos arbitrarios en ubicaciones arbitrarias del servidor.
  • Vulnerabilidad en weaver e-cology v.10.0.2310.01 (CVE-2023-51892)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Un problema en weaver e-cology v.10.0.2310.01 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado en el componente FrameworkShellController.
  • Vulnerabilidad en YonBIP v3_23.05 (CVE-2023-51926)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Se descubrió que YonBIP v3_23.05 contenía una vulnerabilidad de lectura de archivos arbitraria a través del componente nc.bs.framework.comn.serv.CommonServletDispatcher.
  • Vulnerabilidad en YonBIP v3_23.05 (CVE-2023-51927)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Se descubrió que YonBIP v3_23.05 contiene una vulnerabilidad de inyección SQL a través del método com.yonyou.hrcloud.attend.web.AttendScriptController.runScript().
  • Vulnerabilidad en YonBIP v3_23.05 (CVE-2023-51928)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad de carga de archivos arbitrarios en el método nccloud.web.arcp.taskmonitor.action.ArcpUploadAction.doAction() de YonBIP v3_23.05 permite a los atacantes ejecutar código arbitrario cargando un archivo manipulado.
  • Vulnerabilidad en yonyou YonBIP v3_23.05 (CVE-2023-51906)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Un problema en yonyou YonBIP v3_23.05 permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado en el componente ServiceDispatcherServlet uap.framework.rc.itf.IResourceManager.
  • Vulnerabilidad en YonBIP v3_23.05 (CVE-2023-51924)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad de carga de archivos arbitrarios en la interfaz uap.framework.rc.itf.IResourceManager de YonBIP v3_23.05 permite a los atacantes ejecutar código arbitrario cargando un archivo manipulado.
  • Vulnerabilidad en YonBIP v3_23.05 (CVE-2023-51925)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad de carga de archivos arbitrarios en el método nccloud.web.arcp.taskmonitor.action.ArcpUploadAction.doAction() de YonBIP v3_23.05 permite a los atacantes ejecutar código arbitrario cargando un archivo manipulado.
  • Vulnerabilidad en CodeAstro Internet Banking System 1.0 (CVE-2024-0773)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 26/01/2024
    Una vulnerabilidad fue encontrada en CodeAstro Internet Banking System 1.0 y clasificada como problemática. Una función desconocida del archivo pages_client_signup.php es afectada por esta vulnerabilidad. La manipulación del argumento Nombre completo del cliente conduce a cross site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-251677.