Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Microsoft (CVE-2024-21319)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/01/2024
    Fecha de última actualización: 29/01/2024
    Vulnerabilidad de denegación de servicio de identidad de Microsoft
  • Vulnerabilidad en Cisco ThousandEyes Enterprise Agent (CVE-2024-20277)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 29/01/2024
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco ThousandEyes Enterprise Agent, tipo de instalación de dispositivo virtual, podría permitir que un atacante remoto autenticado realice una inyección de comando y eleve los privilegios a root. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario para la interfaz web. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete HTTP manipulado al dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios y elevar privilegios a root.
  • Vulnerabilidad en SonicWall Capture Client y NetExtender client (CVE-2023-6340)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 29/01/2024
    SonicWall Capture Client versión 3.7.10, NetExtender client versión 10.2.337 y versiones anteriores se instalan con el controlador sfpmonitor.sys. Se ha descubierto que el controlador es vulnerable a la denegación de servicio (DoS) causada por una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria.
  • Vulnerabilidad en pyLoad (CVE-2024-22416)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 29/01/2024
    pyLoad es un administrador de descargas gratuito y de código abierto escrito en Python puro. La API `pyload` permite realizar cualquier llamada a la API mediante solicitudes GET. Dado que la cookie de sesión no está configurada en "SameSite: strict", esto abre la librería a graves posibilidades de ataque a través de un ataque de Cross-Site Request Forgery (CSRF). Como resultado, cualquier llamada a la API puede realizarse mediante un ataque CSRF por parte de un usuario no autenticado. Este problema se solucionó en la versión `0.5.0b3.dev78`. Se recomienda a todos los usuarios que actualicen.
  • Vulnerabilidad en Mbed TLS (CVE-2023-52353)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/01/2024
    Fecha de última actualización: 29/01/2024
    Se descubrió un problema en Mbed TLS hasta la versión 3.5.1. En mbedtls_ssl_session_reset, la versión TLS máxima negociable no se maneja correctamente. Por ejemplo, si la última conexión negoció TLS 1.2, entonces 1.2 se convierte en el nuevo máximo.
  • Vulnerabilidad en Mbed TLS 3.5.1 (CVE-2024-23744)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/01/2024
    Fecha de última actualización: 29/01/2024
    Se descubrió un problema en Mbed TLS 3.5.1. Hay una denegación persistente del protocolo de enlace si un cliente envía un ClientHello TLS 1.3 sin extensiones.
  • Vulnerabilidad en MetaGPT (CVE-2024-23750)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    MetaGPT hasta 0.6.4 permite que la función QaEngineer ejecute código arbitrario porque RunCode.run_script() pasa metacaracteres de shell al subproceso.Popen.
  • Vulnerabilidad en GenerateSDFPipeline en Synthetic_dataframe en PandasAI (CVE-2024-23752)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    GenerateSDFPipeline en Synthetic_dataframe en PandasAI (también conocido como pandas-ai) hasta 1.5.17 permite a los atacantes activar la generación de código Python arbitrario que es ejecutado por SDFCodeExecutor. Un atacante puede crear un marco de datos que proporcione una especificación en inglés de este código Python. NOTA: el proveedor intentó anteriormente restringir la ejecución del código en respuesta a un problema separado, CVE-2023-39660.
  • Vulnerabilidad en jsrsasign en Snyk (CVE-2024-21484)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Las versiones del paquete jsrsasign anteriores a 11.0.0 son vulnerables a la discrepancia observable a través del proceso de descifrado RSA PKCS1.5 o RSAOAEP. Un atacante puede descifrar textos cifrados aprovechando esta vulnerabilidad. Explotar esta vulnerabilidad requiere que el atacante tenga acceso a una gran cantidad de textos cifrados con la misma clave. Workaround esta vulnerabilidad se puede mitigar buscando y reemplazando el descifrado RSA y RSAOAEP con otra librería criptográfica.
  • Vulnerabilidad en chasquid (CVE-2023-52354)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    chasquid anterior a 1.13 permite el contrabando SMTP porque se aceptan líneas terminadas en LF.
  • Vulnerabilidad en kernel de Linux (CVE-2024-0775)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Se encontró una falla de use-after-free en __ext4_remount en fs/ext4/super.c en ext4 en el kernel de Linux. Esta falla permite que un usuario local cause un problema de fuga de información mientras libera los nombres de archivos de cuota antiguos antes de una posible falla, lo que lleva a un use-after-free.
  • Vulnerabilidad en Spring Framework (CVE-2024-22233)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    En las versiones 6.0.15 y 6.1.2 de Spring Framework, es posible que un usuario proporcione solicitudes HTTP especialmente manipuladas que pueden causar una condición de denegación de servicio (DoS). Específicamente, una aplicación es vulnerable cuando se cumple todo lo siguiente: * la aplicación usa Spring MVC * Spring Security 6.1.6+ o 6.2.1+ está en el classpath Normalmente, las aplicaciones Spring Boot necesitan org.springframework.boot:spring-boot-starter-web y org.springframework.boot:spring-boot-starter-security para cumplir con todas las condiciones.
  • Vulnerabilidad en CloudLinux CageFS 7.1.1-1 (CVE-2020-36771)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    CloudLinux CageFS 7.1.1-1 o inferior pasa el token de autenticación como argumento de línea de comando. En algunas configuraciones, esto permite a los usuarios locales verlo a través de la lista de procesos y obtener la ejecución del código como otro usuario.
  • Vulnerabilidad en CloudLinux CageFS 7.0.8-2 (CVE-2020-36772)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    CloudLinux CageFS 7.0.8-2 o inferior restringe insuficientemente las rutas de archivo proporcionadas al comando proxy sendmail. Esto permite a los usuarios locales leer y escribir archivos arbitrarios fuera del entorno CageFS de forma limitada.
  • Vulnerabilidad en Autolab (CVE-2023-44395)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Autolab es un servicio de gestión de cursos que permite a los profesores ofrecer tareas de programación con calificación automática a sus estudiantes a través de la Web. Se descubrieron vulnerabilidades de path traversal en la funcionalidad de evaluación de Autolab en versiones de Autolab anteriores a la 2.12.0, mediante las cuales los instructores pueden realizar lecturas de archivos arbitrarias. La versión 2.12.0 contiene un parche. No existen workarounds viables para este problema.
  • Vulnerabilidad en CodeAstro Online Railway Reservation System 1.0 (CVE-2024-0782)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Una vulnerabilidad fue encontrada en CodeAstro Online Railway Reservation System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo pass-profile.php. La manipulación del argumento Nombre/Apellido/Nombre de usuario conduce a cross site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-251698 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Omron FINS (CVE-2022-45790)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    El protocolo Omron FINS tiene una función autenticada para evitar el acceso a regiones de memoria. La autenticación es susceptible a ataques de fuerza bruta, lo que puede permitir que un adversario obtenga acceso a la memoria protegida. Este acceso puede permitir la sobrescritura de valores, incluida la lógica programada.
  • Vulnerabilidad en GoAnywhere MFT de Fortra (CVE-2024-0204)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    La omisión de autenticación en GoAnywhere MFT de Fortra anterior a 7.4.1 permite a un usuario no autorizado crear un usuario administrador a través del portal de administración.
  • Vulnerabilidad en Project Worlds Online Admission System 1.0 (CVE-2024-0783)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Una vulnerabilidad fue encontrada en Project Worlds Online Admission System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo documents.php. La manipulación conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-251699.
  • Vulnerabilidad en biantaibao octopus 1.0 (CVE-2024-0784)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Se encontró una vulnerabilidad en biantaibao octopus 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /system/role/list es afectada por esta vulnerabilidad. La manipulación del argumento dataScope conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. Este producto utiliza un lanzamiento continuo para proporcionar una entrega continua. Por lo tanto, no hay detalles disponibles para las versiones afectadas ni actualizadas. El identificador de esta vulnerabilidad es VDB-251700.
  • Vulnerabilidad en Quest Analytics LLC IQCRM v.2023.9.5 (CVE-2023-48118)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Vulnerabilidad de inyección SQL en Quest Analytics LLC IQCRM v.2023.9.5 permite a un atacante remoto ejecutar código arbitrario a través de una solicitud manipulada a la página WSDL Common.svc.
  • Vulnerabilidad en Jensen de Scandinavia Eagle 1200AC V15.03.06.33_en (CVE-2023-24135)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    Se descubrió que Jensen de Scandinavia Eagle 1200AC V15.03.06.33_en contiene una vulnerabilidad de inyección de comandos en la función formWriteFacMac. Esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios mediante la manipulación del parámetro mac.
  • Vulnerabilidad en Splunk Enterprise (CVE-2024-23675)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    En las versiones de Splunk Enterprise inferiores a 9.0.8 y 9.1.3, el almacén de valores clave de la aplicación Splunk (KV Store) maneja incorrectamente los permisos para los usuarios que usan la interfaz de programación de aplicaciones (API) REST. Potencialmente, esto puede resultar en la eliminación de las colecciones de KV Store.
  • Vulnerabilidad en Splunk (CVE-2024-23676)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    En las versiones de Splunk inferiores a 9.0.8 y 9.1.3, el comando SPL “mrollup” permite a un usuario con pocos privilegios ver métricas en un índice para el que no tiene permiso. Esta vulnerabilidad requiere la interacción de un usuario con altos privilegios para poder explotarla.
  • Vulnerabilidad en Splunk Enterprise (CVE-2024-23677)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    En las versiones de Splunk Enterprise inferiores a 9.0.8, la utilidad Splunk RapidDiag revela las respuestas del servidor de aplicaciones externas en un archivo de registro.
  • Vulnerabilidad en Splunk Enterprise para Windows (CVE-2024-23678)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 29/01/2024
    En las versiones de Splunk Enterprise para Windows inferiores a 9.0.8 y 9.1.3, Splunk Enterprise no sanitiza correctamente los datos de entrada de ruta. Esto da como resultado la deserialización insegura de datos que no son de confianza desde una partición de disco separada en la máquina. Esta vulnerabilidad sólo afecta a Splunk Enterprise para Windows.
  • Vulnerabilidad en Nautobot (CVE-2024-23345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Nautobot es una plataforma de automatización de redes y fuente de verdad de red creada como una aplicación web. Todos los usuarios de versiones de Nautobot anteriores a 1.6.10 o 2.1.2 se ven potencialmente afectados por una vulnerabilidad de cross-site scripting. Debido a una sanitización de entrada inadecuada, cualquier campo editable por el usuario que admita la representación de Markdown, incluido el mismo, es potencialmente susceptible a ataques de cross-site scripting (XSS) a través de datos creados con fines malintencionados. Este problema se solucionó en las versiones 1.6.10 y 2.1.2 de Nautobot.
  • Vulnerabilidad en iOS, iPadOS, watchOS, macOS Ventura, macOS Sonoma y macOS Monterey (CVE-2023-42937)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro. Este problema se solucionó en iOS 16.7.5 y iPadOS 16.7.5, watchOS 10.2, macOS Ventura 13.6.4, macOS Sonoma 14.2, macOS Monterey 12.7.3, iOS 17.2 y iPadOS 17.2. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Ventura (CVE-2023-42935)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Se solucionó un problema de autenticación con una gestión de estado mejorada. Este problema se solucionó en macOS Ventura 13.6.4. Un atacante local puede ver el escritorio del usuario que inició sesión anteriormente desde la pantalla de cambio rápido de usuario.
  • Vulnerabilidad en Hitron Systems DVR HVR-4781 1.03~4.02 (CVE-2024-22768)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    La validación de entrada incorrecta en Hitron Systems DVR HVR-4781 1.03~4.02 permite a un atacante provocar un ataque a la red en caso de utilizar el ID/PW de administrador predeterminado.
  • Vulnerabilidad en Hitron Systems DVR HVR-8781 1.03~4.02 (CVE-2024-22769)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    La validación de entrada incorrecta en Hitron Systems DVR HVR-8781 1.03~4.02 permite a un atacante provocar un ataque a la red en caso de utilizar el ID/PW de administrador predeterminado.
  • Vulnerabilidad en Hitron Systems DVR HVR-16781 1.03~4.02 (CVE-2024-22770)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    La validación de entrada incorrecta en Hitron Systems DVR HVR-16781 1.03~4.02 permite a un atacante provocar un ataque a la red en caso de utilizar el ID/PW de administrador predeterminado.
  • Vulnerabilidad en Hitron Systems DVR LGUVR-4H 1.02~4.02 (CVE-2024-22771)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    La validación de entrada incorrecta en Hitron Systems DVR LGUVR-4H 1.02~4.02 permite a un atacante provocar un ataque a la red en caso de utilizar el ID/PW de administrador predeterminado.
  • Vulnerabilidad en Hitron Systems DVR LGUVR-8H 1.02~4.02 (CVE-2024-22772)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    La validación de entrada incorrecta en Hitron Systems DVR LGUVR-8H 1.02~4.02 permite a un atacante provocar un ataque a la red en caso de utilizar el ID/PW de administrador predeterminado.
  • Vulnerabilidad en Hitron Systems DVR LGUVR-16H 1.02~4.02 (CVE-2024-23842)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    La validación de entrada incorrecta en Hitron Systems DVR LGUVR-16H 1.02~4.02 permite a un atacante provocar un ataque a la red en caso de utilizar el ID/PW de administrador predeterminado.
  • Vulnerabilidad en kernel de Linux (CVE-2024-22705)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Se descubrió un problema en ksmbd en el kernel de Linux anterior a 6.6.10. smb2_get_data_area_len en fs/smb/server/smb2misc.c puede causar un acceso fuera de los límites smb_strndup_from_utf16 porque la relación entre los datos de Nombre y los datos de CreateContexts está mal manejada.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-0742)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Era posible que el usuario activara o descartara ciertas indicaciones y cuadros de diálogo del navegador sin querer debido a una marca de tiempo incorrecta utilizada para evitar la entrada después de cargar la página. Esta vulnerabilidad afecta a Firefox < 122, Firefox ESR < 115.7 y Thunderbird < 115.7.
  • Vulnerabilidad en Apache Superset (CVE-2023-49657)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en Apache Superset anterior a 3.0.3. Un atacante autenticado con permisos de creación/actualización en gráficos o paneles podría almacenar un script o agregar un fragmento HTML específico que actuaría como un XSS almacenado. Para las versiones 2.X, los usuarios deben cambiar su configuración para incluir: TALISMAN_CONFIG = { "content_security_policy": { "base-uri": ["'self'"], "default-src": ["'self'"], "img-src": ["'self'", "blob:", "data:"], "worker-src": ["'self'", "blob:"], "connect-src": [ "'self'", " https://api.mapbox.com" https://api.mapbox.com" ;, " https://events.mapbox.com" https://events.mapbox.com" ;, ], "object-src": "'none'", "style-src": [ "'self'", "'unsafe-inline'", ], "script-src": ["'self' ", "'strict-dynamic'"], }, "content_security_policy_nonce_in": ["script-src"], "force_https": False, "session_cookie_secure": False, }
  • Vulnerabilidad en TOTOLINK A3700R_V9.1.2u.6165_20211012 (CVE-2024-22662)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    TOTOLINK A3700R_V9.1.2u.6165_20211012 tiene una vulnerabilidad de desbordamiento en la región stack de la memoria a través de setParentalRules
  • Vulnerabilidad en TOTOLINK_A3700R_V9.1.2u.6165_20211012 (CVE-2024-22663)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    TOTOLINK_A3700R_V9.1.2u.6165_20211012 tiene una vulnerabilidad de inyección de comando a través de setOpModeCfg
  • Vulnerabilidad en JFinalcms 5.0.0 (CVE-2024-22496)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Vulnerabilidad de Cross Site Scripting (XSS) en JFinalcms 5.0.0 permite a los atacantes ejecutar código arbitrario a través del parámetro de nombre de usuario /admin/login.
  • Vulnerabilidad en Webkul Bundle Product 6.0.1 (CVE-2023-51210)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Vulnerabilidad de inyección SQL en Webkul Bundle Product 6.0.1 permite a un atacante remoto ejecutar código arbitrario a través de los parámetros id_product en la función UpdateProductQuantity.
  • Vulnerabilidad en JFinalcms 5.0.0 (CVE-2024-22497)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Vulnerabilidad de cross-site scripting (XSS) en el parámetro de contraseña /admin/login en JFinalcms 5.0.0 permite a los atacantes ejecutar código arbitrario a través de una URL manipulada.
  • Vulnerabilidad en Trend Micro Apex Central 2019 (CVE-2023-38624)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Una vulnerabilidad de server-side request forgery (SSRF) posterior a la autenticación en Trend Micro Apex Central 2019 (inferior a la compilación 6481) podría permitir a un atacante interactuar directamente con servicios internos o locales. Tenga en cuenta: un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad. Esta es una vulnerabilidad similar, pero no idéntica, a CVE-2023-38625 hasta CVE-2023-38627.
  • Vulnerabilidad en Trend Micro Apex Central 2019 (CVE-2023-38625)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Una vulnerabilidad de server-side request forgery (SSRF) posterior a la autenticación en Trend Micro Apex Central 2019 (inferior a la compilación 6481) podría permitir a un atacante interactuar directamente con servicios internos o locales. Tenga en cuenta: un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad. Esta es una vulnerabilidad similar, pero no idéntica, a CVE-2023-38624.
  • Vulnerabilidad en Trend Micro Apex Central 2019 (CVE-2023-38626)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Una vulnerabilidad de server-side request forgery (SSRF) posterior a la autenticación en Trend Micro Apex Central 2019 (inferior a la compilación 6481) podría permitir a un atacante interactuar directamente con servicios internos o locales. Tenga en cuenta: un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad. Esta es una vulnerabilidad similar, pero no idéntica, a CVE-2023-38625.
  • Vulnerabilidad en Trend Micro Apex Central 2019 (CVE-2023-38627)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Una vulnerabilidad de server-side request forgery (SSRF) posterior a la autenticación en Trend Micro Apex Central 2019 (inferior a la compilación 6481) podría permitir a un atacante interactuar directamente con servicios internos o locales. Tenga en cuenta: un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad. Esta es una vulnerabilidad similar, pero no idéntica, a CVE-2023-38626.
  • Vulnerabilidad en Trend Micro Mobile Security (Enterprise) (CVE-2023-41176)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Las vulnerabilidades de cross-site scripting (XSS) reflejado en Trend Micro Mobile Security (Enterprise) podrían permitir una explotación contra una víctima autenticada que visita un enlace malicioso proporcionado por un atacante. Tenga en cuenta que esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-41177.
  • Vulnerabilidad en Trend Micro Mobile Security (Enterprise) (CVE-2023-41177)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Las vulnerabilidades de cross-site scripting (XSS) reflejado en Trend Micro Mobile Security (Enterprise) podrían permitir una explotación contra una víctima autenticada que visita un enlace malicioso proporcionado por un atacante. Tenga en cuenta que esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-41178.
  • Vulnerabilidad en Trend Micro Mobile Security (Enterprise) (CVE-2023-41178)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Las vulnerabilidades de cross-site scripting (XSS) reflejado en Trend Micro Mobile Security (Enterprise) podrían permitir una explotación contra una víctima autenticada que visita un enlace malicioso proporcionado por un atacante. Tenga en cuenta que esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-41176.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2023-52326)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Ciertos widgets del panel de Trend Micro Apex Central (local) son vulnerables a ataques de cross-site scripting (XSS) que pueden permitir a un atacante lograr la ejecución remota de código en los servidores afectados. Tenga en cuenta que esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-52327.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2023-52327)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Ciertos widgets del panel de Trend Micro Apex Central (local) son vulnerables a ataques de cross-site scripting (XSS) que pueden permitir a un atacante lograr la ejecución remota de código en los servidores afectados. Tenga en cuenta que esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-52328.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2023-52328)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Ciertos widgets del panel de Trend Micro Apex Central (local) son vulnerables a ataques de cross-site scripting (XSS) que pueden permitir a un atacante lograr la ejecución remota de código en los servidores afectados. Tenga en cuenta que esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-52329.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2023-52329)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 29/01/2024
    Ciertos widgets del panel de Trend Micro Apex Central (local) son vulnerables a ataques de cross-site scripting (XSS) que pueden permitir a un atacante lograr la ejecución remota de código en los servidores afectados. Tenga en cuenta que esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-52326.
  • Vulnerabilidad en WP Customer Area para WordPress (CVE-2024-0665)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 29/01/2024
    El complemento WP Customer Area para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'tab' en todas las versiones hasta la 8.2.1 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Jenkins Log Command Plugin (CVE-2024-23904)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 29/01/2024
    Jenkins Log Command Plugin 1.0.2 y versiones anteriores no desactivan una función de su analizador de comandos que reemplaza un carácter '@' seguido de una ruta de archivo en un argumento con el contenido del archivo, permitiendo a atacantes no autenticados leer contenido de archivos arbitrarios en el sistema de archivos del controlador Jenkins.
  • Vulnerabilidad en Jenkins Red Hat Dependency Analytics (CVE-2024-23905)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 29/01/2024
    El complemento Jenkins Red Hat Dependency Analytics 0.7.1 y versiones anteriores deshabilita mediante programación la protección de la política de seguridad de contenido para el contenido generado por el usuario en espacios de trabajo, artefactos archivados, etc. que Jenkins ofrece para descargar.