Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Python (CVE-2024-23342)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 06/02/2024
    El paquete PyPI `ecdsa` es una implementación pura de Python de ECC (criptografía de curva elíptica) con soporte para ECDSA (algoritmo de firma digital de curva elíptica), EdDSA (algoritmo de firma digital de curva Edwards) y ECDH (curva elíptica Diffie-Hellman). Las versiones 0.18.0 y anteriores son vulnerables al ataque Minerva. Al momento de la publicación, no existe ninguna versión parcheada conocida.
  • Vulnerabilidad en Cisco Business 250 Series Smart Switches y Business 350 Series Managed Switches (CVE-2024-20263)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 06/02/2024
    Una vulnerabilidad con la administración de la lista de control de acceso (ACL) dentro de una configuración de switches apilados de Cisco Business 250 Series Smart Switches y los Business 350 Series Managed Switches podría permitir que un atacante remoto no autenticado evite la protección ofrecida por una ACL configurada en un dispositivo afectado. Esta vulnerabilidad se debe al procesamiento incorrecto de las ACL en una configuración apilada cuando el conmutador principal o el de respaldo experimentan una recarga completa de la pila o un ciclo de encendido. Un atacante podría aprovechar esta vulnerabilidad enviando tráfico manipulado a través de un dispositivo afectado. Una explotación exitosa podría permitir al atacante eludir las ACL configuradas, provocando que el tráfico se caiga o se reenvíe de manera inesperada. El atacante no tiene control sobre las condiciones que hacen que el dispositivo esté en estado vulnerable. Nota: En el estado vulnerable, la ACL se aplicaría correctamente en los dispositivos principales, pero podría aplicarse incorrectamente a los dispositivos de respaldo.
  • Vulnerabilidad en Shim (CVE-2023-40548)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 06/02/2024
    Se encontró un desbordamiento de búfer en Shim en el sistema de 32 bits. El desbordamiento ocurre debido a una operación de suma que involucra un valor controlado por el usuario analizado del binario PE que utiliza Shim. Este valor se utiliza además para operaciones de asignación de memoria, lo que provoca un desbordamiento de búfer en la región Heap de la memoria. Esta falla causa daños en la memoria y puede provocar fallas o problemas de integridad de los datos durante la fase de inicio.
  • Vulnerabilidad en Trend Micro uiAirSupport (CVE-2024-23940)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 06/02/2024
    Trend Micro uiAirSupport, incluido en la familia de productos de consumo Trend Micro Security 2023, versión 6.0.2092 y anteriores, es vulnerable a una vulnerabilidad de secuestro/proxy de DLL que, si se explota, podría permitir a un atacante hacerse pasar por una librería y modificarla para ejecutar código en el sistema y, en última instancia, escalar privilegios en un sistema afectado.
  • Vulnerabilidad en DeviceFarmer stf v3.6.6 (CVE-2023-51839)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 06/02/2024
    DeviceFarmer stf v3.6.6 sufre de uso de un algoritmo criptográfico defectuoso o riesgoso.
  • Vulnerabilidad en Ylianst MeshCentral 1.1.16 (CVE-2023-51842)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 06/02/2024
    Se descubrió un problema de degradación del algoritmo en Ylianst MeshCentral 1.1.16.
  • Vulnerabilidad en aiohttp (CVE-2024-23829)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 06/02/2024
    aiohttp es un framework cliente/servidor HTTP asíncrono para asyncio y Python. Las partes sensibles a la seguridad del analizador HTTP de Python conservaron diferencias menores en los conjuntos de caracteres permitidos, que deben activar el manejo de errores para hacer coincidir de manera sólida los límites de marco de los servidores proxy para proteger contra la inyección de solicitudes adicionales. Además, la validación podría desencadenar excepciones que no se manejaron de manera consistente con el procesamiento de otras entradas con formato incorrecto. Ser más indulgente de lo que exigen los estándares de Internet podría, según el entorno de implementación, ayudar en el contrabando de solicitudes. La excepción no controlada podría causar un consumo excesivo de recursos en el servidor de aplicaciones y/o sus instalaciones de registro. Esta vulnerabilidad existe debido a una solución incompleta para CVE-2023-47627. La versión 3.9.2 corrige esta vulnerabilidad.
  • Vulnerabilidad en CrateDB 5.5.1 (CVE-2023-51982)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    CrateDB 5.5.1 contiene una vulnerabilidad de omisión de autenticación en el componente de la interfaz de usuario de administración. Después de configurar la autenticación de contraseña y_ Local_ En el caso de una dirección, la autenticación de identidad se puede omitir configurando el encabezado de solicitud de IP de X-Real en un valor específico y accediendo a la interfaz de usuario del administrador directamente utilizando la identidad de usuario predeterminada. (https://github. es/crate/crate/issues/15231)
  • Vulnerabilidad en Hitachi Storage Plug-in para VMware vCenter (CVE-2024-21840)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de permisos predeterminados incorrectos en Hitachi Storage Plug-in para VMware vCenter permite a los usuarios locales leer y escribir archivos específicos. Este problema afecta a Hitachi Storage Plug-in para VMware vCenter: desde 04.0.0 hasta 04.9.2.
  • Vulnerabilidad en Snyk (CVE-2024-21488)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    Las versiones de la red de paquetes anteriores a la 0.7.0 son vulnerables a la inyección de comandos arbitrarios debido al uso de la función ejecutiva child_process sin sanitización de entrada. Si se proporciona entrada de usuario (controlada por el atacante) a la función mac_address_for del paquete, es posible que un atacante ejecute comandos arbitrarios en el sistema operativo en el que se ejecuta este paquete.
  • Vulnerabilidad en MapPress Maps for WordPress para WordPress (CVE-2023-7225)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    El complemento MapPress Maps for WordPress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros de ancho y alto en todas las versiones hasta la 2.88.16 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Mitsubishi Electric Corporation (CVE-2023-6374)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    Vulnerabilidad de omisión de autenticación mediante Capture-replay en Mitsubishi Electric Corporation MELSEC WS Series WS0-GETH00200, todos los números de serie permite a un atacante remoto no autenticado omitir la autenticación mediante un ataque de Capture-replay e iniciar sesión ilegalmente en el módulo afectado. Como resultado, el atacante remoto que ha iniciado sesión ilegalmente puede revelar o alterar los programas y parámetros de los módulos.
  • Vulnerabilidad en Authentik (CVE-2024-23647)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    Authentik es un proveedor de identidades de código abierto. Hay un error en nuestra implementación de PKCE que permite a un atacante eludir la protección que ofrece PKCE. PKCE agrega el parámetro code_challenge a la solicitud de autorización y agrega el parámetro code_verifier a la solicitud de token. Antes de 2023.8.7 y 2023.10.7, es posible un escenario de degradación: si el atacante elimina el parámetro code_challenge de la solicitud de autorización, authentik no realizará la verificación PKCE. Debido a este error, un atacante puede eludir la protección que ofrece PKCE, como los ataques CSRF y los ataques de inyección de código. Las versiones 2023.8.7 y 2023.10.7 solucionan el problema.
  • Vulnerabilidad en Microsoft Edge (CVE-2024-21388)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    Vulnerabilidad de elevación de privilegios en Microsoft Edge (basado en Chromium)
  • Vulnerabilidad en urql (CVE-2024-24556)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    urql es un cliente GraphQL que expone un conjunto de ayudas para varios marcos. El paquete `@urql/next` es vulnerable a XSS. Para explotar esto, un atacante debería asegurarse de que la respuesta devuelva etiquetas "html" y que la aplicación web utilice respuestas transmitidas (no RSC). Esta vulnerabilidad se debe a un escape inadecuado de caracteres tipo html en el flujo de respuesta. Para corregir esta vulnerabilidad, actualice a la versión 1.1.1
  • Vulnerabilidad en TanStack Query (CVE-2024-24558)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    TanStack Query proporciona administración de estado asincrónica, utilidades de estado de servidor y recuperación de datos para la web. El paquete NPM `@tanstack/react-query-next-experimental` es afectado por una vulnerabilidad de cross site scripting. Para aprovechar esto, un atacante necesitaría inyectar entradas maliciosas o hacer arreglos para que se devuelvan entradas maliciosas desde un endpoint. Para solucionar este problema, actualice a la versión 5.18.0 o posterior.
  • Vulnerabilidad en Vyper (CVE-2024-24567)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/01/2024
    Fecha de última actualización: 06/02/2024
    Vyper es un Smart Contract Language pythonico para la máquina virtual ethereum. El compilador de Vyper permite pasar un valor en raw_call incorporado incluso si la llamada es una llamada delegada o una llamada estática. Pero en el contexto de delegarcall y staticcall el manejo del valor no es posible debido a la semántica de los respectivos códigos de operación, y vyper ignorará silenciosamente el argumento value=. Si el desarrollador desconoce la semántica del EVM, podría sospechar que al especificar el "valor" kwarg, se enviará exactamente la cantidad dada al objetivo. Esta vulnerabilidad afecta a la versión 0.3.10 y versiones anteriores.
  • Vulnerabilidad en POSCMS v4.6.2 (CVE-2024-22569)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    Vulnerabilidad de cross site scripting (XSS) almacenado en POSCMS v4.6.2 permite a los atacantes ejecutar código arbitrario a través de un payload manipulado en /index.php?c=install&m=index&step=2&is_install_db=0.
  • Vulnerabilidad en Notion Web Clipper 1.0.3(7) (CVE-2024-23745)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    En Notion Web Clipper 1.0.3(7), un archivo .nib es susceptible al ataque Dirty NIB. Los archivos NIB se pueden manipular para ejecutar comandos arbitrarios. Además, incluso si un archivo NIB se modifica dentro de una aplicación, Gatekeeper aún puede permitir la ejecución de la aplicación, permitiendo la ejecución de comandos arbitrarios dentro del contexto de la aplicación.
  • Vulnerabilidad en El complemento UserPro para WordPress (CVE-2023-2439)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    El complemento UserPro para WordPress es vulnerable a cross site scripting almacenado a través del código abreviado 'userpro' en versiones hasta la 5.1.5 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Schlix CMS v2.2.8-1 (CVE-2023-31505)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    Una vulnerabilidad de carga de archivos arbitrarios en Schlix CMS v2.2.8-1 permite a atacantes remotos autenticados ejecutar código arbitrario y obtener información confidencial a través de un archivo .phtml manipulado.
  • Vulnerabilidad en El complemento Contact Form Entries para WordPress (CVE-2024-1069)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    El complemento Contact Form Entries para WordPress es vulnerable a cargas de archivos arbitrarios debido a una validación de archivos insuficiente en la función 'view_page' en versiones hasta la 1.3.2 inclusive. Esto hace posible que atacantes autenticados con capacidades de nivel de administrador o superior carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
  • Vulnerabilidad en Hometory Mang Board WP (CVE-2024-22306)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site Scripting') en Hometory Mang Board WP permite XSS almacenado. Este problema afecta a Mang Board WP: desde n/a hasta 1.7.7.
  • Vulnerabilidad en Pega Platform (CVE-2023-50165)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    Las versiones de Pega Platform 8.2.1 a Infinity 23.1.0 se ven afectadas por un problema de PDF generado que podría exponer el contenido del archivo.
  • Vulnerabilidad en Pega Platform (CVE-2023-50166)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    Pega Platform de 8.5.4 a 8.8.3 se ve afectada por un problema XSS con un usuario no autenticado y el parámetro redirect.
  • Vulnerabilidad en Michael Torbert SimpleMap Store Locator (CVE-2024-22282)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('cross-site Scripting') en Michael Torbert SimpleMap Store Locator permite XSS reflejado. Este problema afecta a SimpleMap Store Locator: desde n/a hasta 2.6.1.
  • Vulnerabilidad en SourceCodester QR Code Login System 1.0 (CVE-2024-1111)
    Severidad: MEDIA
    Fecha de publicación: 31/01/2024
    Fecha de última actualización: 06/02/2024
    Una vulnerabilidad fue encontrada en SourceCodester QR Code Login System 1.0 y clasificada como problemática. Una función desconocida del archivo add-user.php es afectada por esta vulnerabilidad. La manipulación del argumento qr-code conduce a cross site scripting. El ataque puede lanzarse de forma remota. VDB-252470 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Torbjon Infogram – Add charts, maps and infographics (CVE-2023-52191)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('Cross-site Scripting') en Torbjon Infogram – Add charts, maps and infographics permite XSS almacenado. Este problema afecta a Infogram – Add charts, maps and infographics: desde n/a hasta 1.6. 1.
  • Vulnerabilidad en Live Composer Team Page Builder: Live Composer (CVE-2023-52193)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('Cross-site Scripting') en Live Composer Team Page Builder: Live Composer permite XSS almacenado. Este problema afecta a Page Builder: Live Composer: desde n/a hasta 1.5.23.
  • Vulnerabilidad en Takayuki Miyauchi oEmbed Gist (CVE-2023-52194)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('Cross-site Scripting') en Takayuki Miyauchi oEmbed Gist permite XSS almacenado. Este problema afecta a oEmbed Gist: desde n/a hasta 4.9.1.
  • Vulnerabilidad en Posts to Page Kerry James (CVE-2023-52195)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('cross-site Scripting') en Posts to Page Kerry James permite XSS almacenado. Este problema afecta a Kerry James: desde n/a hasta 1.7.
  • Vulnerabilidad en Icegram Icegram Engage (CVE-2023-51532)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('Cross-site Scripting') en Icegram Icegram Engage – WordPress Lead Generation, Popup Builder, CTA, Optins and Email List Building permiten XSS almacenado. Este problema afecta a Icegram Engage – WordPress Lead Generation, Popup Builder, CTA, Optins and Email List Building: desde n/a hasta el 3.1.19.
  • Vulnerabilidad en Brave Brave – Create Popup, Optins, Lead Generation, Survey, Sticky Elements & Interactive Content (CVE-2023-51534)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('Cross-site Scripting') en Brave Brave – Create Popup, Optins, Lead Generation, Survey, Sticky Elements & Interactive Content permite XSS almacenado. Este problema afecta a Brave – Create Popup, Optins, Lead Generation, Survey, Sticky Elements & Interactive Content: desde n/a hasta 0.6.2.
  • Vulnerabilidad en WPdevelop/Oplugins WP Booking Calendar (CVE-2023-51520)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 06/02/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPdevelop/Oplugins WP Booking Calendar permite XSS almacenado. Este problema afecta a WP Booking Calendar: desde n/a antes de 9.7.4.
  • Vulnerabilidad en IBM Operational Decision Manager (CVE-2024-22319)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    IBM Operational Decision Manager 8.10.3, 8.10.4, 8.10.5.1, 8.11, 8.11.0.1 y 8.12.0.1 podría permitir a un atacante remoto realizar una inyección LDAP. Al enviar una solicitud especialmente manipulada, un atacante podría aprovechar esta vulnerabilidad para inyectar contenido no sanitizado en el filtro LDAP. ID de IBM X-Force: 279145.
  • Vulnerabilidad en IBM Operational Decision Manager (CVE-2024-22320)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    IBM Operational Decision Manager versiones 8.10.3, 8.10.4, 8.10.5.1, 8.11, 8.11.0.1 y 8.12.0.1 podrían permitir que un atacante remoto autenticado ejecute código arbitrario en el sistema, causado por una deserialización insegura. Al enviar una solicitud especialmente manipulada, un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto de SYSTEM. ID de IBM X-Force: 279146.
  • Vulnerabilidad en OpenHarmony (CVE-2023-43756)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Las versiones de OpenHarmony v3.2.4 y versiones anteriores permiten que un atacante local provoque una fuga de información a través de lectura fuera de los límites.
  • Vulnerabilidad en National Keep Cyber Security Services CyberMath (CVE-2023-6672)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en National Keep Cyber Security Services CyberMath permite almacenar XSS. Este problema afecta a CyberMath: desde v1.4 antes de v1.5.
  • Vulnerabilidad en National Keep Cyber Security Services CyberMath (CVE-2023-6673)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en National Keep Cyber Security Services CyberMath permite XSS Reflejado. Este problema afecta a CyberMath: desde v.1.4 antes de v.1.5.
  • Vulnerabilidad en National Keep Cyber Security Services CyberMath (CVE-2023-6675)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en National Keep Cyber Security Services CyberMath permite cargar un Web Shell en un servidor web. Este problema afecta a CyberMath: desde v.1.4 antes de v.1.5.
  • Vulnerabilidad en QNAP (CVE-2023-39302)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.3.2578 build 20231110 y posteriores QuTS hero h5.1.3.2578 build 20231110 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-39303)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de autenticación incorrecta afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los usuarios comprometer la seguridad del sistema a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.3.2578 build 20231110 y posteriores QuTS hero h5.1.3.2578 build 20231110 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41273)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41274)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de desreferencia de puntero NULL afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados lanzar un ataque de denegación de servicio (DoS) a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41275)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41276)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41277)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41278)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41279)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41280)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.2.2533 build 20230926 y posteriores QuTS hero h5.1.2.2534 build 20230927 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41281)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.4.2596 build 20231128 y posteriores QuTS hero h5.1.4.2596 build 20231128 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41282)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.4.2596 build 20231128 y posteriores QuTS hero h5.1.4.2596 build 20231128 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41283)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.4.2596 build 20231128 y posteriores QuTS hero h5.1.4.2596 build 20231128 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-41292)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.4.2596 build 20231128 y posteriores QuTS hero h5.1.4.2596 build 20231128 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-45026)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de path traversal afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados leer el contenido de archivos inesperados y exponer datos confidenciales a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.5.2645 compilación 20240116 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-45027)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de path traversal afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados leer el contenido de archivos inesperados y exponer datos confidenciales a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.5.2645 compilación 20240116 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-45028)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de consumo de recursos incontrolado afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados lanzar un ataque de denegación de servicio (DoS) a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.5.2645 compilación 20240116 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-45036)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.3.2578 build 20231110 y posteriores QuTS hero h5.1.3.2578 build 20231110 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-45037)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar código a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.3.2578 build 20231110 y posteriores QuTS hero h5.1.3.2578 build 20231110 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-47566)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.5.2645 compilación 20240116 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores QuTScloud c5.1.5.2651 y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-50359)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Se ha informado que una vulnerabilidad de valor de retorno no verificada afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los administradores locales autenticados colocar el sistema en un estado que podría provocar una falla u otros comportamientos no deseados a través de vectores no especificados. Ya hemos solucionado la vulnerabilidad en las siguientes versiones: QTS 5.1.5.2645 compilación 20240116 y posteriores QuTS hero h5.1.5.2647 compilación 20240118 y posteriores
  • Vulnerabilidad en JFinalCMS 5.0.0 (CVE-2024-24029)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    JFinalCMS 5.0.0 es vulnerable a la inyección de SQL a través de /admin/content/data.
  • Vulnerabilidad en MRCMS 3.0 (CVE-2024-24160)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    MRCMS 3.0 contiene una vulnerabilidad de Cross-Site Scripting (XSS) a través de /admin/system/saveinfo.do.
  • Vulnerabilidad en MRCMS 3.0 (CVE-2024-24161)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    MRCMS 3.0 contiene una vulnerabilidad de lectura arbitraria de archivos en /admin/file/edit.do ya que el parámetro de ruta entrante no está filtrado.
  • Vulnerabilidad en flusity-CMS v.2.33 (CVE-2024-24470)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Vulnerabilidad de Cross Site Request Forgery en flusity-CMS v.2.33 permite a un atacante remoto ejecutar código arbitrario a través del componente update_post.php.
  • Vulnerabilidad en SourceCodester Testimonial Page Manager 1.0 (CVE-2024-1196)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 06/02/2024
    Una vulnerabilidad fue encontrada en SourceCodester Testimonial Page Manager 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo add-testimonial.php del componente HTTP POST Request Handler. La manipulación del argumento nombre/descripción/testimonio conduce a Cross-Site Scripting. El ataque se puede iniciar de forma remota. VDB-252694 es el identificador asignado a esta vulnerabilidad.