Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Media Encoder (CVE-2024-30278)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 15/07/2024
    Las versiones 23.6.5, 24.3 y anteriores de Media Encoder se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Modern Events Calendar para WordPress (CVE-2024-5441)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 15/07/2024
    El complemento Modern Events Calendar para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función set_featured_image en todas las versiones hasta la 7.11.0 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código. El complemento permite a los administradores (a través de su configuración) ampliar la capacidad de enviar eventos a usuarios no autenticados, lo que permitiría a atacantes no autenticados explotar esta vulnerabilidad.
  • Vulnerabilidad en Bible Text para WordPress (CVE-2024-5444)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/07/2024
    Fecha de última actualización: 15/07/2024
    El complemento Bible Text para WordPress hasta la versión 0.2 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superiores realizar ataques de Cross Site Scripting almacenado.