Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Ghostscript 8.61 y anteriores, Desbordamiento de búfer basado en pila (CVE-2008-0411)
  Severidad: MEDIA
  Fecha de publicación: 28/02/2008
  Fecha de última actualización: 16/02/2024
  Desbordamiento de búfer basado en pila en la función zseticcspace de zicc.c en Ghostscript 8.61 y anteriores permite a atacantes remotos ejecutar código de su elección a través de un archivo postscript (.ps) que contiene un array de Range (rango) largo en un operador .seticcspace.
  
• Vulnerabilidad en el módulo de node lodash (CVE-2018-3721)
  Severidad: MEDIA
  Fecha de publicación: 07/06/2018
  Fecha de última actualización: 16/02/2024
  El módulo de node lodash en versiones anteriores a la 4.17.5 se ve afectada por una vulnerabilidad MAID (modificación de datos asumidos como asumible) mediante las funciones "defaultsDeep", "merge" y "mergeWith", lo que permite que un usuario malicioso modifique el prototipo de "Object" mediante __proto__, provocando la adición o modificación de una propiedad existente que va a existir en todos los objetos.
  
• Vulnerabilidad en jQuery (CVE-2019-11358)
  Severidad: MEDIA
  Fecha de publicación: 20/04/2019
  Fecha de última actualización: 16/02/2024
  jQuery, en versiones anteriores a 3.4.0, como es usado en Drupal, Backdrop CMS, y otros productos, maneja mal jQuery.extend(true, {}, ...) debido a la contaminación de Object.prototype. Si un objeto fuente no sanitizado contenía una propiedad enumerable __proto__, podría extender el Object.prototype nativo.
  
• Vulnerabilidad en la inflación del cuerpo de la petición GZIP en Eclipse Jetty (CVE-2020-27218)
  Severidad: MEDIA
  Fecha de publicación: 28/11/2020
  Fecha de última actualización: 16/02/2024
  En Eclipse Jetty versión 9.4.0.RC0 hasta 9.4.34.v20201102, 10.0.0.alpha0 hasta 10.0.0.beta2 y 11.0.0.alpha0 hasta 11.0.0.beta2, si la inflación del cuerpo de la petición GZIP está habilitada y solicita de diferentes clientes se multiplexan en una sola conexión, y si un atacante puede enviar una petición con un cuerpo que es recibido por completo pero no consumido por la aplicación, entonces una petición posterior en la misma conexión verá ese cuerpo antepuesto a su cuerpo. El atacante no verá ningún dato, pero puede inyectar datos en el cuerpo de la petición posterior
  
• Vulnerabilidad en las entradas al componente Clientless SSL VPN en el componente Clientless SSL VPN (WebVPN) del software Cisco Adaptive Security Appliance (ASA) (CVE-2022-20713)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/08/2022
  Fecha de última actualización: 16/02/2024
  Una vulnerabilidad en el componente Clientless SSL VPN (WebVPN) del software Cisco Adaptive Security Appliance (ASA) podría permitir a un atacante remoto no autenticado conducir ataques basados en el navegador. Esta vulnerabilidad es debido a que no son comprobadas apropiadamente las entradas que son pasadas al componente Clientless SSL VPN. Un atacante podría explotar esta vulnerabilidad al convencer a un usuario objetivo para que visite un sitio web que pueda pasar peticiones maliciosas a un dispositivo ASA que tenga habilitada la función Clientless SSL VPN. Una explotación con éxito podría permitir al atacante llevar a cabo ataques basados en el navegador, incluyendo ataques de tipo cross-site scripting, contra el usuario objetivo
  
• Vulnerabilidad en el análisis de archivos X_T en Parasolid y Teamcenter Visualization (CVE-2023-38526)
  Severidad: Pendiente de análisis
  Fecha de publicación: 08/08/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en Parasolid V34.1 (Todas las versiones inferiores a V34.1.258), Parasolid V35.0 (Todas las versiones inferiores a V35.0.254), Parasolid V35.1 (Todas las versiones inferiores a V35.1. 171), Teamcenter Visualization V14.1 (Todas las versiones inferiores a V14.1.0.11), Teamcenter Visualization V14.2 (Todas las versiones inferiores a V14.2.0.6), Teamcenter Visualization V14.3 (Todas las versiones inferiores a V14.3.0.3). Las aplicaciones afectadas contienen una lectura fuera de los límites más allá del final de una estructura asignada al analizar archivos X_T especialmente diseñados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual.
  
• Vulnerabilidad en el análisis de archivos X_T en Parasolid y Teamcenter Visualization (CVE-2023-38525)
  Severidad: Pendiente de análisis
  Fecha de publicación: 08/08/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en Parasolid V34.1 (Todas las versiones inferiores a V34.1.258), Parasolid V35.0 (Todas las versiones inferiores a V35.0.254), Parasolid V35.1 (Todas las versiones inferiores a V35.1. 171), Teamcenter Visualization V14.1 (Todas las versiones inferiores a V14.1.0.11), Teamcenter Visualization V14.2 (Todas las versiones inferiores a V14.2.0.6), Teamcenter Visualization V14.3 (Todas las versiones inferiores a V14.3.0.3). Las aplicaciones afectadas contienen una lectura fuera de los límites más allá del final de una estructura asignada al analizar archivos X_T especialmente diseñados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual.
  
• Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries) (CVE-2022-21283)
  Severidad: MEDIA
  Fecha de publicación: 19/01/2022
  Fecha de última actualización: 16/02/2024
  Una vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Oracle Java SE: 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. Una vulnerabilidad explotable fácilmente, permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad es aplicada a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1, Puntuación base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
  
• Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2023-38071)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en JT2Go (Todas las versiones < V14.3.0.1), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0.12), Teamcenter Visualization V14.0 (Todas las versiones), Teamcenter Visualization V14.1 ( Todas las versiones < V14.1.0.11), Teamcenter Visualization V14.2 (todas las versiones < V14.2.0.6), Teamcenter Visualization V14.3 (todas las versiones < V14.3.0.1). La aplicación afectada es vulnerable al Desbordamiento del Búfer mientras analiza archivos WRL especialmente manipulados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-20824)
  
• Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2023-38072)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en JT2Go (Todas las versiones < V14.3.0.1), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0.12), Teamcenter Visualization V14.0 (Todas las versiones), Teamcenter Visualization V14.1 ( Todas las versiones < V14.1.0.11), Teamcenter Visualization V14.2 (todas las versiones < V14.2.0.6), Teamcenter Visualization V14.3 (todas las versiones < V14.3.0.1). La aplicación afectada contiene una Escritura Fuera de Límites más allá del final de una estructura asignada mientras analiza archivos WRL especialmente manipulados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-20825)
  
• Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2023-38073)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en JT2Go (Todas las versiones < V14.3.0.1), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0.12), Teamcenter Visualization V14.0 (Todas las versiones), Teamcenter Visualization V14.1 ( Todas las versiones < V14.1.0.11), Teamcenter Visualization V14.2 (todas las versiones < V14.2.0.6), Teamcenter Visualization V14.3 (todas las versiones < V14.3.0.1). La aplicación afectada contiene una vulnerabilidad de Confusión de Tipos al analizar archivos WRL. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-20826)
  
• Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2023-38076)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en JT2Go (Todas las versiones < V14.3.0.1), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0.12), Teamcenter Visualization V14.0 (Todas las versiones), Teamcenter Visualization V14.1 ( Todas las versiones < V14.1.0.11), Teamcenter Visualization V14.2 (todas las versiones < V14.2.0.6), Teamcenter Visualization V14.3 (todas las versiones < V14.3.0.1). La aplicación afectada es vulnerable al Desbordamiento del Búfer mientras analiza archivos WRL especialmente manipulados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-21041)
  
• Vulnerabilidad en Parasolid (CVE-2023-41032)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en Parasolid V34.1 (todas las versiones < V34.1.258), Parasolid V35.0 (todas las versiones < V35.0.253), Parasolid V35.1 (todas las versiones < V35.1.184), Parasolid V36.0 (todas las versiones < V36.0.142). La aplicación afectada contiene una escritura fuera de los límites más allá del final de una estructura asignada mientras analiza archivos X_T especialmente manipulados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-21263)
  
• Vulnerabilidad en Parasolid (CVE-2023-41033)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 16/02/2024
  Se ha identificado una vulnerabilidad en Parasolid V35.0 (todas las versiones < V35.0.260), Parasolid V35.1 (todas las versiones < V35.1.246), Parasolid V36.0 (todas las versiones < V36.0.156). La aplicación afectada contiene una escritura fuera de los límites más allá del final de una estructura asignada mientras analiza archivos X_T especialmente manipulados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-21266)
  
• Vulnerabilidad en PostgreSQL (CVE-2023-39417)
  Severidad: Pendiente de análisis
  Fecha de publicación: 11/08/2023
  Fecha de última actualización: 16/02/2024
  EN EL SCRIPT DE EXTENSIÓN, se encontró una vulnerabilidad de inyección SQL en PostgreSQL si usa @extowner@, @extschema@ o @extschema:...@ dentro de una construcción de cotización (cotización en dólares, '' o ""). Si un administrador ha instalado archivos de una extensión vulnerable, de confianza y no empaquetada, un atacante con privilegios CREATE de nivel de base de datos puede ejecutar código arbitrario como superusuario de arranque.
  
• Vulnerabilidad en PostgreSQL (CVE-2023-39418)
  Severidad: Pendiente de análisis
  Fecha de publicación: 11/08/2023
  Fecha de última actualización: 16/02/2024
  Se encontró una vulnerabilidad en PostgreSQL con el uso del comando MERGE, que no puede probar nuevas filas con las políticas de seguridad de filas definidas para ACTUALIZAR y SELECCIONAR. Si las políticas ACTUALIZAR y SELECCIONAR prohíben algunas filas que las políticas INSERTAR no prohíben, un usuario podría almacenar dichas filas.
  
• Vulnerabilidad en Undici (CVE-2023-45143)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/10/2023
  Fecha de última actualización: 16/02/2024
  Undici es un cliente HTTP/1.1 escrito desde cero para Node.js. Antes de la versión 5.26.2, Undici ya borraba los encabezados de Autorización en redireccionamientos entre orígenes, pero no borraba los encabezados de "Cookie". Por diseño, los encabezados de "cookie" son encabezados de solicitud prohibidos, lo que no permite que se establezcan en RequestInit.headers en entornos de navegador. Dado que undici maneja los encabezados de manera más liberal que la especificación, hubo una desconexión con las suposiciones que hizo la especificación y la implementación de fetch por parte de undici. Como tal, esto puede provocar una fuga accidental de cookies a un sitio de terceros o que un atacante malicioso que pueda controlar el objetivo de la redirección (es decir, un redirector abierto) filtre la cookie al sitio de terceros. Esto fue parcheado en la versión 5.26.2. No se conocen workarounds.
  
• Vulnerabilidad en WordPress (CVE-2023-39999)
  Severidad: Pendiente de análisis
  Fecha de publicación: 13/10/2023
  Fecha de última actualización: 16/02/2024
  Exposición de Información Confidencial a un Actor No Autorizado en WordPress desde 6.3 hasta 6.3.1, desde 6.2 hasta 6.2.2, desde 6.1 hasta 6.13, desde 6.0 hasta 6.0.5, desde 5.9 hasta 5.9.7, desde 5.8 hasta 5.8.7, del 5.7 al 5.7.9, del 5.6 al 5.6.11, del 5.5 al 5.5.12, del 5.4 al 5.4.13, del 5.3 al 5.3.15, del 5.2 al 5.2.18, del 5.1 al 5.1.16, del 5.0 al 5.0.19, del 4.9 al 4.9.23, del 4.8 al 4.8.22, del 4.7 al 4.7.26, del 4.6 al 4.6.26, del 4.5 al 4.5.29, del 4.4 al 4.4.30, del 4.3 al 4.3.31, del 4.2 al 4.2.35, del 4.1 al 4.1.38.
  
• Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK de Oracle Java SE (CVE-2023-22081)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/10/2023
  Fecha de última actualización: 16/02/2024
  Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK de Oracle Java SE (componente: JSSE). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u381, 8u381-perf, 11.0.20, 17.0.8, 21; Oracle GraalVM para JDK: 17.0.8 y 21. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTPS comprometer Oracle Java SE y Oracle GraalVM para JDK. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una Denegación de Servicio parcial (DOS parcial) de Oracle Java SE, Oracle GraalVM para JDK. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en espacio aislado o subprogramas de Java en espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, normalmente en servidores, que cargan y ejecutan sólo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.1 Puntuación base 5.3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
  
• Vulnerabilidad en Node.js (CVE-2023-38552)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/10/2023
  Fecha de última actualización: 16/02/2024
  Cuando la función de política de Node.js verifica la integridad de un recurso con un manifiesto confiable, la aplicación puede interceptar la operación y devolver una suma de verificación falsificada a la implementación de la política del nodo, deshabilitando así efectivamente la verificación de integridad. Impactos: esta vulnerabilidad afecta a todos los usuarios que utilizan el mecanismo de política experimental en todas las líneas de versiones activas: 18.x y 20.x. Tenga en cuenta que en el momento en que se emitió este CVE, el mecanismo de política era una característica experimental de Node.js.
  
• Vulnerabilidad en Safari, iOS, iPadOS, macOS Sonoma, watchOS y tvOS (CVE-2023-42852)
  Severidad: Pendiente de análisis
  Fecha de publicación: 25/10/2023
  Fecha de última actualización: 16/02/2024
  Se solucionó un problema lógico con controles mejorados. Este problema se solucionó en iOS 17.1 y iPadOS 17.1, watchOS 10.1, iOS 16.7.2 y iPadOS 16.7.2, macOS Sonoma 14.1, Safari 17.1, tvOS 17.1. El procesamiento de contenido web puede dar lugar a la ejecución de código arbitrario.
  
• Vulnerabilidad en xorg-x11 (CVE-2023-5367)
  Severidad: Pendiente de análisis
  Fecha de publicación: 25/10/2023
  Fecha de última actualización: 16/02/2024
  Se encontró una falla de escritura fuera de los límites en el servidor xorg-x11. Este problema ocurre debido a un cálculo incorrecto de un desplazamiento del búfer al copiar datos almacenados en el montón en la función XIChangeDeviceProperty en Xi/xiproperty.c y en la función RRChangeOutputProperty en randr/rrproperty.c, lo que permite una posible escalada de privilegios o Denegación de Servicio (DoS). .
  
• Vulnerabilidad en Squid (CVE-2023-46847)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/11/2023
  Fecha de última actualización: 16/02/2024
  Squid es vulnerable a una Denegación de Servicio, donde un atacante remoto puede realizar un ataque de desbordamiento de búfer escribiendo hasta 2 MB de datos arbitrarios en la memoria acumulada cuando Squid está configurado para aceptar la autenticación implícita HTTP.
  
• Vulnerabilidad en curl (CVE-2024-0853)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/02/2024
  Fecha de última actualización: 16/02/2024
  curl inadvertidamente mantuvo el ID de sesión SSL para las conexiones en su caché incluso cuando falló la prueba de verificación del estado (*OCSP stapling*). Una transferencia posterior al mismo nombre de host podría tener éxito si la caché de ID de sesión aún estuviera actualizada, lo que luego omitiría la verificación de estado de verificación.
  
• Vulnerabilidad en FastAPI (CVE-2024-24762)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/02/2024
  Fecha de última actualización: 16/02/2024
  FastAPI es un framework web para crear API con Python 3.8+ basado en sugerencias de tipo estándar de Python. Cuando se utilizan datos de formulario, `python-multipart` usa una expresión regular para analizar el encabezado HTTP `Content-Type`, incluidas las opciones. Un atacante podría enviar una opción de "Tipo de contenido" personalizada que es muy difícil de procesar para RegEx, consumiendo recursos de CPU y deteniéndose indefinidamente (minutos o más) mientras se mantiene el bucle de evento principal. Esto significa que el proceso no puede manejar más solicitudes. Es un ReDoS (expresión regular de denegación de servicio), solo se aplica a aquellos que leen datos del formulario usando `python-multipart`. Esta vulnerabilidad ha sido parcheada en la versión 0.109.0.
  
• Vulnerabilidad en Micronaut Framework (CVE-2024-23639)
  Severidad: Pendiente de análisis
  Fecha de publicación: 09/02/2024
  Fecha de última actualización: 16/02/2024
  Micronaut Framework es un framework Java moderno, de pila completa y basado en JVM, manipulado para crear aplicaciones JVM modulares y fácilmente comprobables con soporte para Java, Kotlin y el lenguaje Groovy. Los endpoints de administración habilitados pero no seguros son susceptibles a ataques de host local. Si bien no son típicos de una aplicación de producción, estos ataques pueden tener un mayor impacto en un entorno de desarrollo donde dichos endpoints pueden activarse sin pensarlo mucho. Un sitio web malicioso o comprometido puede realizar solicitudes HTTP a "localhost". Normalmente, dichas solicitudes desencadenarían una verificación previa de CORS que impediría la solicitud; sin embargo, algunas solicitudes son "simples" y no requieren una verificación previa. Estos endpoints, si están habilitados y no protegidos, son vulnerables a ser activados. Los entornos de producción normalmente desactivan los endpoints no utilizados y protegen/restringen el acceso a los endpoints necesarios. Una víctima más probable es el desarrollador de su host de desarrollo local, que ha habilitado endpoints sin seguridad para facilitar el desarrollo. Este problema se solucionó en la versión 3.8.3. Se recomienda a los usuarios que actualicen.
  
• Vulnerabilidad en Linksys WRT54GL 4.30.18 (CVE-2024-1404)
  Severidad: BAJA
  Fecha de publicación: 09/02/2024
  Fecha de última actualización: 16/02/2024
  Una vulnerabilidad fue encontrada en Linksys WRT54GL 4.30.18 y clasificada como problemática. Una función desconocida del archivo /SysInfo.htm del componente Web Management Interface es afectada por esta vulnerabilidad. La manipulación conduce a la divulgación de información. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-253328. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  
• Vulnerabilidad en nonebot2 (CVE-2024-21624)
  Severidad: Pendiente de análisis
  Fecha de publicación: 09/02/2024
  Fecha de última actualización: 16/02/2024
  nonebot2 es un framework de chatbot asincrónico de Python multiplataforma escrito en Python. Este aviso de seguridad se refiere a una posible fuga de información (por ejemplo, variables de entorno) en casos en los que los desarrolladores utilizan "MessageTemplate" e incorporan datos proporcionados por el usuario en plantillas. La vulnerabilidad identificada se solucionó en la solicitud de extracción n.° 2509 y se incluirá en las versiones lanzadas a partir de la 2.2.0. Se recomienda encarecidamente a los usuarios que actualicen a estas versiones parcheadas para protegerse contra la vulnerabilidad. Una solución temporal implica filtrar los guiones bajos antes de incorporar la entrada del usuario en la plantilla del mensaje.
  
• Vulnerabilidad en pkg (CVE-2024-24828)
  Severidad: Pendiente de análisis
  Fecha de publicación: 09/02/2024
  Fecha de última actualización: 16/02/2024
  pkg es una herramienta de diseño para agrupar proyectos de Node.js en archivos ejecutables. Cualquier paquete de código nativo creado por `pkg` se escribe en un directorio codificado. En sistemas Unix, este es `/tmp/pkg/*` que es un directorio compartido para todos los usuarios en el mismo sistema local. Los nombres de los paquetes dentro de este directorio no son únicos, son predecibles. Un atacante que tiene acceso al mismo sistema local tiene la capacidad de reemplazar los ejecutables genuinos en el directorio compartido con ejecutables maliciosos del mismo nombre. Luego, un usuario puede ejecutar el ejecutable malicioso sin darse cuenta de que ha sido modificado. Este paquete está en desuso. Por lo tanto, no se proporcionará ningún parche para esta vulnerabilidad. Para verificar si su ejecutable compilado por pkg depende del código nativo y es vulnerable, ejecute el ejecutable y verifique si se creó `/tmp/pkg/`. Los usuarios deben hacer la transición a alternativas mantenidas activamente. Recomendamos investigar la compatibilidad de Node.js 21 con aplicaciones ejecutables únicas. Dada la decisión de dejar de usar el paquete pkg, nuestro equipo no ha proporcionado soluciones ni soluciones oficiales. Los usuarios deben priorizar la migración a otros paquetes que ofrezcan funciones similares con seguridad mejorada.
  
• Vulnerabilidad en Snyk (CVE-2024-21490)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Esto afecta a las versiones del paquete angular desde 1.3.0. Una expresión regular utilizada para dividir el valor de la directiva ng-srcset es vulnerable a un tiempo de ejecución superlineal debido al retroceso. Con una gran cantidad de información cuidadosamente elaborada, esto puede resultar en un retroceso catastrófico y provocar una denegación de servicio. **Nota:** Este paquete está en EOL y no recibirá ninguna actualización para solucionar este problema. Los usuarios deben migrar a [@angular/core](https://www.npmjs.com/package/@angular/core).
  
• Vulnerabilidad en Linksys WRT54GL 4.30.18 (CVE-2024-1405)
  Severidad: BAJA
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Se encontró una vulnerabilidad en Linksys WRT54GL 4.30.18. Ha sido clasificada como problemática. Una parte desconocida del archivo /wlaninfo.htm del componente Web Management Interface afecta a una parte desconocida. La manipulación conduce a la divulgación de información. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-253329. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  
• Vulnerabilidad en Team Heator Heator Social Login WordPress (CVE-2024-24712)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Team Heator Heator Social Login WordPress permite almacenar XSS. Este problema afecta a Heateor Social Login WordPress: desde n/a hasta 1.1.30.
  
• Vulnerabilidad en WP Auto Listings Auto Listings – Car Listings & Car Dealership Plugin para WordPress (CVE-2024-24713)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en WP Auto Listings Auto Listings – Car Listings & Car Dealership Plugin para WordPress permite almacenar XSS. Este problema afecta a Auto Listings – Car Listings & Car Dealership Plugin para WordPress : desde n/a hasta 2.6.5.
  
• Vulnerabilidad en Mark Kinchin Beds24 Online Booking (CVE-2024-24717)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Mark Kinchin Beds24 Online Booking permite almacenar XSS. Este problema afecta a Beds24 Online Booking: desde n/a hasta 2.0.23.
  
• Vulnerabilidad en LogicHunt OWL Carousel – WordPress Owl Carousel Slider (CVE-2024-24801)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en LogicHunt OWL Carousel – WordPress Owl Carousel Slider permite almacenar XSS. Este problema afecta a OWL Carousel – WordPress Owl Carousel Slider: desde n/a hasta 1.4.0.
  
• Vulnerabilidad en WPoperation Ultra Companion – Companion plugin for WPoperation Themes (CVE-2024-24803)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPoperation Ultra Companion – Companion plugin for WPoperation Themes permite almacenar XSS. Este problema afecta a Ultra Companion – Companion plugin for WPoperation Themes: desde n/a hasta 1.1. 9.
  
• Vulnerabilidad en websoudan MW WP Form (CVE-2024-24804)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en websoudan MW WP Form permite almacenar XSS. Este problema afecta a MW WP Form: desde n/a hasta 5.0.6.
  
• Vulnerabilidad en Leap13 Premium Addons for Elementor (CVE-2024-24831)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Leap13 Premium Addons for Elementor permite almacenar XSS. Este problema afecta a Premium Addons for Elementor: desde n/a hasta 4.10.16.
  
• Vulnerabilidad en ClickToTweet.Com Click To Tweet (CVE-2024-23514)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en ClickToTweet.Com Click To Tweet permite almacenar XSS. Este problema afecta a Click To Tweet: desde n/a hasta 2.0.14.
  
• Vulnerabilidad en Calculators World CC BMI Calculator (CVE-2024-23516)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Calculators World CC BMI Calculator permite almacenar XSS. Este problema afecta a CC BMI Calculator: desde n/a hasta 2.0.1.
  
• Vulnerabilidad en Start Booking Scheduling Plugin – Online Booking for WordPress (CVE-2024-23517)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/02/2024
  Fecha de última actualización: 16/02/2024
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en Start Booking Scheduling Plugin – Online Booking for WordPress permite almacenar XSS. Este problema afecta a Scheduling Plugin – Online Booking for WordPress: desde n/a hasta 3.5.10.
  
• Vulnerabilidad en UnitedThemes Brooklyn | Creative Multi-Purpose Responsive WordPress Theme (CVE-2024-24927)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/02/2024
  Fecha de última actualización: 16/02/2024
  Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en UnitedThemes Brooklyn | Creative Multi-Purpose Responsive WordPress Theme permite XSS reflejado. Este problema afecta a Brooklyn | Creative Multi-Purpose Responsive WordPress Theme: desde n/a hasta 4.9.7.6.
  
• Vulnerabilidad en Arunas Liuiza Content Cards (CVE-2024-24928)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/02/2024
  Fecha de última actualización: 16/02/2024
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Arunas Liuiza Content Cards permite almacenar XSS. Este problema afecta a Content Cards: desde n/a hasta 0.9.7.