Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Ultimate Member (CVE-2019-10271)
Severidad: MEDIA
Fecha de publicación: 24/06/2019
Fecha de última actualización: 05/03/2024
Se detectó un problema en el plugin Ultimate Member versión 2.39 para WordPress. Este permite la modificación no autorizada del perfil y foto de portada. Es posible modificar el perfil y la imagen de portada de cualquier usuario una vez que esté conectado. También se puede modificar los perfiles y las imágenes de portada de usuarios privilegiados. Para realizar dicha modificación, primero necesita (por ejemplo) interceptar una petición de carga de imagen y modificar el parámetro user_id.
-
Vulnerabilidad en Adobe FrameMaker (CVE-2023-44324)
Severidad: Pendiente de análisis
Fecha de publicación: 17/11/2023
Fecha de última actualización: 05/03/2024
Las versiones 2022 y anteriores de Adobe FrameMaker se ven afectadas por una vulnerabilidad de autenticación incorrecta que podría provocar la omisión de una función de seguridad. Un atacante no autenticado puede aprovechar esta vulnerabilidad para acceder a la API y filtrar la contraseña de administrador predeterminada. La explotación de este problema no requiere la interacción del usuario.
-
Vulnerabilidad en Shim (CVE-2023-40548)
Severidad: Pendiente de análisis
Fecha de publicación: 29/01/2024
Fecha de última actualización: 05/03/2024
Se encontró un desbordamiento de búfer en Shim en el sistema de 32 bits. El desbordamiento ocurre debido a una operación de suma que involucra un valor controlado por el usuario analizado del binario PE que utiliza Shim. Este valor se utiliza además para operaciones de asignación de memoria, lo que provoca un desbordamiento de búfer en la región Heap de la memoria. Esta falla causa daños en la memoria y puede provocar fallas o problemas de integridad de los datos durante la fase de inicio.
-
Vulnerabilidad en SCHUHFRIED v.8.22.00 (CVE-2023-38995)
Severidad: Pendiente de análisis
Fecha de publicación: 07/02/2024
Fecha de última actualización: 05/03/2024
Un problema en SCHUHFRIED v.8.22.00 permite a un atacante remoto obtener la contraseña de la base de datos mediante un comando curl manipulado.
-
Vulnerabilidad en Payment Forms for Paystack para WordPress (CVE-2023-5665)
Severidad: Pendiente de análisis
Fecha de publicación: 08/02/2024
Fecha de última actualización: 05/03/2024
El complemento Payment Forms for Paystack para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento en todas las versiones hasta la 3.4.1 incluida, debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21360)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21361)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21365)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21366)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21367)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21368)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21369)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21370)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21375)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21350)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21359)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
-
Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1354)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con función de editor en Management Console obtener acceso SSH de administrador al dispositivo a través del archivo de configuración `syslog-ng`. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
-
Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1355)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con una función de editor en la Consola de administración obtener acceso SSH de administrador al dispositivo a través del contenedor acoplable de la consola de acciones mientras configuraba una URL de servicio. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
-
Vulnerabilidad en GitHub Enterprise Server (CVE-2024-1359)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 05/03/2024
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con una función de editor en Management Console obtener acceso SSH de administrador al dispositivo al configurar un proxy HTTP. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.11.5, 3.10.7, 3.9.10 y 3.8.15. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty https://bounty.github.com.
-
Vulnerabilidad en Acrobat Reader (CVE-2024-20747)
Severidad: Pendiente de análisis
Fecha de publicación: 15/02/2024
Fecha de última actualización: 05/03/2024
Las versiones 20.005.30539, 23.008.20470 y anteriores de Acrobat Reader se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Acrobat Reader (CVE-2024-20748)
Severidad: Pendiente de análisis
Fecha de publicación: 15/02/2024
Fecha de última actualización: 05/03/2024
Las versiones 20.005.30539, 23.008.20470 y anteriores de Acrobat Reader se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Acrobat Reader (CVE-2024-20749)
Severidad: Pendiente de análisis
Fecha de publicación: 15/02/2024
Fecha de última actualización: 05/03/2024
Las versiones 20.005.30539, 23.008.20470 y anteriores de Acrobat Reader se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.