Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en dispositivos Corega CG-WLBARGL (CVE-2016-4822)
Severidad: MEDIA
Fecha de publicación: 25/06/2016
Fecha de última actualización: 25/07/2024
Dispositivos Corega CG-WLBARGL permiten a usuarios remotos autenticados ejecutar comandos arbitrarios a través de vectores no especificados.
Vulnerabilidad en los controladores kernel-mode en distintos productos de Windows (CVE-2016-7255)
Severidad: ALTA
Fecha de publicación: 10/11/2016
Fecha de última actualización: 25/07/2024
Los controladores kernel-mode en Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold y R2, Windows RT 8.1, Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability".
Vulnerabilidad en el servidor SMBv1 en múltiples productos Microsoft (CVE-2017-0143)
Severidad: ALTA
Fecha de publicación: 17/03/2017
Fecha de última actualización: 25/07/2024
El servidor SMBv1 en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permite a atacantes remotos ejecutar código arbitrario a través de paquetes manipulados, vulnerabilidad también conocida como "Windows SMB Remote Code Execution Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148.
Vulnerabilidad en la función ScStoragePathFromUrl en el servicio WebDAV en Internet Information Services en Microsoft Windows Server (CVE-2017-7269)
Severidad: ALTA
Fecha de publicación: 27/03/2017
Fecha de última actualización: 25/07/2024
Desbordamiento de búfer en la función ScStoragePathFromUrl en el servicio WebDAV en Internet Information Services (IIS) 6.0 en Microsoft Windows Server 2003 R2 permite a atacantes remotos ejecutar código arbitrario a través de una cabecera larga comenzando con "If:
Vulnerabilidad en El Plugin REST en Apache (CVE-2017-9805)
Severidad: MEDIA
Fecha de publicación: 15/09/2017
Fecha de última actualización: 25/07/2024
El Plugin REST en Apache Struts versiones 2.1.1 hasta 2.3.x anteriores a 2.3.34 y versiones 2.5.x anteriores a 2.5.13, usa una XStreamHandler con una instancia de XStream para deserialización sin ningún filtrado de tipos, lo que puede conllevar a una ejecución de código remota cuando se deserializan cargas XML.
Vulnerabilidad en Telerik (CVE-2017-9248)
Severidad: ALTA
Fecha de publicación: 03/07/2017
Fecha de última actualización: 25/07/2024
La biblioteca Telerik.Web.UI.dll en la Interfaz de Usuario de Progress Telerik para ASP.NET AJAX anterior a la versión R2 2017 SP1 y Sitefinity anterior a la versión 10.0.6412.0, no protege apropiadamente a Telerik.Web.UI.DialogParametersEncryptionKey o MachineKey, lo que facilita para los atacantes remotos superar los mecanismos de protección criptográfica, conllevando a un perdida de MachineKey, cargas o descargas arbitrarias de archivos, XSS o un compromiso de ViewState de ASP.NET.
Vulnerabilidad en Microsoft Outlook (CVE-2017-11774)
Severidad: MEDIA
Fecha de publicación: 13/10/2017
Fecha de última actualización: 25/07/2024
Microsoft Outlook 2010 SP2, Outlook 2013 SP1 y RT SP1 y Outlook 2016 permite a un atacante ejecutar comandos arbitrarios por la manera en la que Microsoft Office gestiona los objetos en la memoria. Esto también se conoce como "Microsoft Outlook Security Feature Bypass Vulnerability".
Vulnerabilidad en los manejadores de ioctl del controlador de Mediatek Command Queue (CVE-2020-0069)
Severidad: ALTA
Fecha de publicación: 10/03/2020
Fecha de última actualización: 25/07/2024
En los manejadores de ioctl del controlador Mediatek de Command Queue, hay una posible escritura fuera de límites debido a un saneamiento de entrada insuficiente y a una falta de restricciones de SELinux. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-147882143, Referencias: M-ALPS04356754
Vulnerabilidad en Equation Editor en Microsoft Office (CVE-2018-0802)
Severidad: ALTA
Fecha de publicación: 10/01/2018
Fecha de última actualización: 25/07/2024
Equation Editor en Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013 y Microsoft Office 2016 permite una vulnerabilidad de ejecución remota de código debido a la forma en la que se gestionan los objetos en la memoria. Esto también se conoce como "Microsoft Office Memory Corruption Vulnerability". Este CVE es diferente de CVE-2018-0797 y CVE-2018-0812.
Vulnerabilidad en el analizador Jakarta Multipart en Apache Struts (CVE-2017-5638)
Severidad: ALTA
Fecha de publicación: 11/03/2017
Fecha de última actualización: 25/07/2024
El analizador sintáctico Jakarta Multipart en Apache Struts 2 en versiones 2.3.x anteriores a la 2.3.32 y versiones 2.5.x anteriores a la 2.5.10.1 no maneja correctamente las excepciones y la generación de mensajes de error, lo que permite a atacantes remotos ejecutar comandos arbitrarios a través de una cadena #cmd= en un encabezado HTTP de Content-Type, Content-Disposition o Content-Length manipulado.
Vulnerabilidad en Apache Struts (CVE-2018-11776)
Severidad: ALTA
Fecha de publicación: 22/08/2018
Fecha de última actualización: 25/07/2024
Apache Struts, desde la versión 2.3 hasta la 2.3.34 y desde la versión 2.5 hasta la 2.5.16, sufre de una posible ejecución remota de código cuando el valor de alwaysSelectFullNamespace es "true" (establecido por el usuario o por un plugin como Convention Plugin). Además, los resultados se emplean sin ningún espacio de nombres y, al mismo tiempo, el paquete superior no tiene espacio de nombres o contiene caracteres comodín. De manera similar a como pasa con los resultados, existe la misma posibilidad al emplear la etiqueta url, que no tiene un valor y acción definidos y, además, su paquete superior no tiene espacio de nombres o contiene caracteres comodín.
Vulnerabilidad en el archivo binder.c en una aplicación en el kernel de Linux en Android (CVE-2019-2215)
Severidad: MEDIA
Fecha de publicación: 11/10/2019
Fecha de última actualización: 25/07/2024
Un uso de la memoria previamente liberada en el archivo binder.c, permite una elevación de privilegios desde una aplicación en el kernel de Linux. No es requerida una interacción del usuario para explotar esta vulnerabilidad, sin embargo, la explotación necesita de la instalación de una aplicación local maliciosa o una vulnerabilidad separada en una aplicación de red. Producto: Android; ID de Android: A-141720095
Vulnerabilidad en Win32k en Microsoft Windows (CVE-2019-0808)
Severidad: ALTA
Fecha de publicación: 09/04/2019
Fecha de última actualización: 25/07/2024
Se presenta una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Win32k Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-0797.
Vulnerabilidad en el motor de scripting en Internet Explorer (CVE-2019-1429)
Severidad: ALTA
Fecha de publicación: 12/11/2019
Fecha de última actualización: 25/07/2024
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting maneja objetos en la memoria en Internet Explorer, también se conoce como "Scripting Engine Memory Corruption Vulnerability". Este ID de CVE es diferente de CVE-2019-1426, CVE-2019-1427, CVE-2019-1428.
Vulnerabilidad en la función base64d en Exim (CVE-2018-6789)
Severidad: ALTA
Fecha de publicación: 08/02/2018
Fecha de última actualización: 25/07/2024
Se ha descubierto un problema en la función base64d en el escuchador SMTP en Exim, en versiones anteriores a la 4.90.1. Al enviar un mensaje manipulado, podría ocurrir un desbordamiento de búfer. Esto puede emplearse para ejecutar código de forma remota.
Vulnerabilidad en Community Edition (CVE-2019-15752)
Severidad: ALTA
Fecha de publicación: 28/08/2019
Fecha de última actualización: 25/07/2024
Docker Desktop Community Edition antes de 2.1.0.1 permite a los usuarios locales obtener privilegios al colocar un archivo trojan horse docker-credential-wincred.exe en% PROGRAMDATA% \ DockerDesktop \ version-bin \ como un usuario con pocos privilegios y luego esperar un administrador o usuario de servicio para identificarse con Docker, reiniciar Docker o ejecutar 'inicio de sesión de docker' para forzar el comando.
Vulnerabilidad en configset en la función VelocityResponseWriter en Apache Solr (CVE-2019-17558)
Severidad: MEDIA
Fecha de publicación: 30/12/2019
Fecha de última actualización: 25/07/2024
Apache Solr versión 5.0.0 hasta Apache Solr versión 8.3.1 son vulnerables a una ejecución de código remota por medio de la función VelocityResponseWriter. Se puede proporcionar una plantilla Velocity por medio de plantillas Velocity en un directorio configset "velocity/" o como un parámetro. Un configset definido por el usuario podría contener plantillas renderizables, potencialmente maliciosas. Las plantillas proporcionadas por los parámetros están deshabilitadas por defecto, pero pueden ser habilitadas configurando "params.resource.loader.enabled" definiendo un escritor de respuestas con esa configuración establecida en "true". La definición de un escritor de respuestas requiere acceso a la API de configuración. Solr versión 8.4 eliminó por completo el cargador de recursos params, y solo habilita la renderización de la plantilla proporcionada por el configset cuando el configset es "trusted" (ha sido cargado por parte de un usuario autenticado).
Vulnerabilidad en Progress Telerik UI para ASP.NET AJAX (CVE-2019-18935)
Severidad: ALTA
Fecha de publicación: 11/12/2019
Fecha de última actualización: 25/07/2024
Progress Telerik UI para ASP.NET AJAX hasta 2019.3.1023 contiene una vulnerabilidad de deserialización de .NET en la función RadAsyncUpload. Esto es explotable cuando las claves de cifrado se conocen debido a la presencia de CVE-2017-11317 o CVE-2017-11357, u otros medios. La explotación puede resultar en la ejecución remota de código. (A partir de 2020.1.114, una configuración predeterminada evita la explotación. En 2019.3.1023, pero no en versiones anteriores, una configuración no predeterminada puede evitar la explotación).
Vulnerabilidad en Apache HTTP Server (CVE-2019-0211)
Severidad: ALTA
Fecha de publicación: 08/04/2019
Fecha de última actualización: 25/07/2024
En Apache HTTP Server 2.4, versiones 2.4.17 a 2.4.38, con el evento MPM, worker o prefork, el código ejecutándose en procesos hijo (o hilos) menos privilegiados (incluyendo scripts ejecutados por un intérprete de scripts en proceso) podría ejecutar código arbitrario con los privilegios del proceso padre (normalmente root) manipulando el marcador. Los sistemas que no son Unix no se ven afectados.
Vulnerabilidad en Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708)
Severidad: ALTA
Fecha de publicación: 16/05/2019
Fecha de última actualización: 25/07/2024
Existe una vulnerabilidad de ejecución remota de código en Remote Desktop Services, anteriormente conocido como Terminal Services, cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía peticiones especialmente diseñadas, conocida como 'Remote Desktop Services Remote Code Execution Vulnerability'.
Vulnerabilidad en OpenSLP, usado en ESXi y los dispositivos Horizon DaaS (CVE-2019-5544)
Severidad: ALTA
Fecha de publicación: 06/12/2019
Fecha de última actualización: 25/07/2024
OpenSLP, como es usado en ESXi y los dispositivos Horizon DaaS, presenta un problema de sobrescritura de la pila. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad Crítica con una puntuación base máxima CVSSv3 de 9.8.
Vulnerabilidad en Fortinet FortiOS y FortiProxy (CVE-2018-13379)
Severidad: MEDIA
Fecha de publicación: 04/06/2019
Fecha de última actualización: 25/07/2024
Una limitación inadecuada de un nombre de ruta a un directorio restringido ("Path Traversal") en Fortinet FortiOS versiones 6.0.0 a 6.0.4, 5.6.3 a 5.6.7 y 5.4.6 a 5.4.12 y FortiProxy versiones 2.0.0, 1. 2.0 a 1.2.8, 1.1.0 a 1.1.6, 1.0.0 a 1.0.7 bajo el portal web SSL VPN permite a un atacante no autenticado descargar archivos del sistema a través de solicitudes de recursos HTTP especialmente diseñadas
Vulnerabilidad en Elastic Cloud on Kubernetes (ECK) (CVE-2023-31416)
Severidad: Pendiente de análisis
Fecha de publicación: 26/10/2023
Fecha de última actualización: 25/07/2024
La configuración del token secreto nunca se aplica cuando se usa ECK <2.8 con APM Server>=8.0. Esto podría dar lugar a que se acepten solicitudes anónimas a un servidor APM y que los datos se ingieran en esta implementación de APM.
Vulnerabilidad en Chanjet Smooth T+system 3.5 (CVE-2024-5653)
Severidad: ALTA
Fecha de publicación: 05/06/2024
Fecha de última actualización: 25/07/2024
Una vulnerabilidad fue encontrada en Chanjet Smooth T+system 3.5 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /tplus/UFAQD/keyEdit.aspx. La manipulación del argumento KeyID conduce a la inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-267185. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en The Moneytizer para WordPress (CVE-2023-6968)
Severidad: Pendiente de análisis
Fecha de publicación: 06/06/2024
Fecha de última actualización: 25/07/2024
El complemento The Moneytizer para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 9.5.20 incluida. Esto se debe a una validación nonce faltante o incorrecta en múltiples funciones AJAX. Esto hace posible que atacantes no autenticados actualicen y recuperen datos bancarios y de facturación, actualicen y restablezcan la configuración del complemento y actualicen idiomas, así como otras acciones de menor gravedad a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Vulnerabilidad en Restrict for Elementor para WordPress (CVE-2024-0910)
Severidad: Pendiente de análisis
Fecha de publicación: 06/06/2024
Fecha de última actualización: 25/07/2024
El complemento Restrict for Elementor para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.0.6 incluida debido a restricciones inadecuadas sobre datos ocultos que los hacen accesibles a través de la API REST. Esto hace posible que atacantes no autenticados extraigan datos potencialmente confidenciales del contenido de las publicaciones.
Vulnerabilidad en Clever Addons for Elementor para WordPress (CVE-2024-2350)
Severidad: Pendiente de análisis
Fecha de publicación: 06/06/2024
Fecha de última actualización: 25/07/2024
El complemento Clever Addons for Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los widgets CAFE Icon, CAFE Team Member y CAFE Slider en todas las versiones hasta la 2.1.9 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en Countdown, Coming Soon, Maintenance – Countdown & Clock para WordPress (CVE-2024-2017)
Severidad: Pendiente de análisis
Fecha de publicación: 06/06/2024
Fecha de última actualización: 25/07/2024
El complemento Countdown, Coming Soon, Maintenance – Countdown & Clock para WordPress es vulnerable al acceso no autorizado debido a una falta de verificación de capacidad en las funciones conditionRow y switchCountdown en todas las versiones hasta la 2.7.8 incluida. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, inyecten objetos PHP y modifiquen el estado de las cuentas regresivas.
Vulnerabilidad en BuddyPress Members Only para WordPress (CVE-2024-0972)
Severidad: Pendiente de análisis
Fecha de publicación: 06/06/2024
Fecha de última actualización: 25/07/2024
El complemento BuddyPress Members Only para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 3.3.5 incluida a través de la API REST. Esto hace posible que atacantes no autenticados omitan la función "Todas las demás secciones de su sitio se abrirán para invitados" del complemento (cuando no está configurada) y vean páginas restringidas y contenido de publicaciones.
Vulnerabilidad en Loopus WP Visitors Tracker (CVE-2024-35737)
Severidad: Pendiente de análisis
Fecha de publicación: 08/06/2024
Fecha de última actualización: 25/07/2024
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Loopus WP Visitors Tracker permite el XSS reflejado. Este problema afecta a WP Visitants Tracker: desde n/a hasta 2.3.
Vulnerabilidad en Kognetiks Kognetiks Chatbot para WordPress (CVE-2024-35738)
Severidad: Pendiente de análisis
Fecha de publicación: 08/06/2024
Fecha de última actualización: 25/07/2024
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Kognetiks Kognetiks Chatbot para WordPress permite XSS Almacenado. Este problema afecta a Kognetiks Chatbot para WordPress: desde n/a hasta 1.9.8.
Vulnerabilidad en RadiusTheme The Post Grid (CVE-2024-35739)
Severidad: Pendiente de análisis
Fecha de publicación: 08/06/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en RadiusTheme The Post Grid permite XSS Almacenado. Este problema afecta a The Post Grid: desde n/a hasta 7.7.1.
Vulnerabilidad en Theme Freesia Pixgraphy (CVE-2024-35740)
Severidad: Pendiente de análisis
Fecha de publicación: 08/06/2024
Fecha de última actualización: 25/07/2024
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Theme Freesia Pixgraphy permite XSS Almacenado. Este problema afecta a Pixgraphy: desde n/a hasta 1.3.8.
Vulnerabilidad en Creative Motion, Will Bontrager Software, LLC Woody ad snippets (CVE-2024-35751)
Severidad: Pendiente de análisis
Fecha de publicación: 08/06/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Creative Motion, Will Bontrager Software, LLC Woody ad snippets permiten XSS Almacenado. Este problema afecta a los fragmentos de anuncios de Woody: desde n/a hasta 2.4.10 .
Vulnerabilidad en Enea Overclokk Stellissimo Text Box (CVE-2024-35752)
Severidad: Pendiente de análisis
Fecha de publicación: 08/06/2024
Fecha de última actualización: 25/07/2024
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Enea Overclokk Stellissimo Text Box permite XSS Almacenado. Este problema afecta a Stellissimo Text Box: desde n/a hasta 1.1.4.
Vulnerabilidad en WPS Hide Login para WordPress (CVE-2024-2473)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 25/07/2024
El complemento WPS Hide Login para WordPress es vulnerable a la divulgación de la página de inicio de sesión en todas las versiones hasta la 1.9.15.2 incluida. Esto se debe a una omisión que se crea cuando se proporciona el parámetro 'action=postpass'. Esto hace posible que los atacantes descubran fácilmente cualquier página de inicio de sesión que pueda haber sido ocultada por el complemento.
Vulnerabilidad en Apache StreamPipes (CVE-2024-30471)
Severidad: Pendiente de análisis
Fecha de publicación: 17/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de condición de ejecución de tiempo de verificación de tiempo de uso (TOCTOU) en Apache StreamPipes en el registro automático del usuario. Esto permite que un atacante solicite potencialmente la creación de varias cuentas con la misma dirección de correo electrónico hasta que se registre la dirección de correo electrónico, lo que crea muchos usuarios idénticos y corrompe la administración de usuarios de StreamPipe. Este problema afecta a Apache StreamPipes: hasta 0.93.0. Se recomienda a los usuarios actualizar a la versión 0.95.0, que soluciona el problema.
Vulnerabilidad en Apache StreamPipes (CVE-2024-31979)
Severidad: Pendiente de análisis
Fecha de publicación: 17/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de Server-Side Request Forgery (SSRF) en Apache StreamPipes durante el proceso de instalación de elementos de canalización. Anteriormente, StreamPipes permitía a los usuarios configurar endpoints personalizados desde los cuales instalar elementos de canalización adicionales. Estos endpoints no se validaron adecuadamente, lo que permitió que un atacante lograra que StreamPipes enviara una solicitud HTTP GET a una dirección arbitraria. Este problema afecta a Apache StreamPipes: hasta 0.93.0. Se recomienda a los usuarios actualizar a la versión 0.95.0, que soluciona el problema.
Vulnerabilidad en Livemesh para Beaver Builder (CVE-2024-38784)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Livemesh Los complementos de Livemesh para Beaver Builder permiten el XSS almacenado. Este problema afecta a los complementos de Livemesh para Beaver Builder: desde n/a hasta 3.6.1.
Vulnerabilidad en Gutenverse (CVE-2024-38785)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Jegstudio Gutenverse permite XSS almacenado. Este problema afecta a Gutenverse: desde n/a hasta 1.9.2.
Vulnerabilidad en CoziPress (CVE-2024-38786)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en BurgerThemes CoziPress permite XSS almacenado. Este problema afecta a CoziPress: desde n/a hasta 1.0.30.
Vulnerabilidad en PayPlus Payment Gateway (CVE-2024-37459)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en PayPlus LTD PayPlus Payment Gateway permite XSS reflejado. Este problema afecta a PayPlus Payment Gateway: desde n/a hasta 6.6.8.
Vulnerabilidad en SuperSaaS – online appointment scheduling (CVE-2024-37460)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en SuperSaaS SuperSaaS – online appointment scheduling permite XSS almacenado. Este problema afecta a SuperSaaS – online appointment scheduling: desde n/a hasta 2.1.9.
Vulnerabilidad en IdeaPush (CVE-2024-37461)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Martin Gibson IdeaPush permite XSS almacenado. Este problema afecta a IdeaPush: desde n/a hasta 8.65.
Vulnerabilidad en GPT3 AI Content Write (CVE-2024-37465)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Senol Sahin GPT3 AI Content Writer permite XSS almacenado. Este problema afecta a GPT3 AI Content Writer: desde n/a hasta 1.8.66.
Vulnerabilidad en Mega Elements (CVE-2024-37466)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Kraftplugins Mega Elements. Este problema afecta a Mega Elements: desde n/a hasta 1.2.2.
Vulnerabilidad en Apollo13 Framework Extensions (CVE-2024-37480)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Apollo13Themes Apollo13 Framework Extensions apollo13-framework-extensions permite XSS almacenado. Este problema afecta a Apollo13 Framework Extensions: desde n/a hasta 1.9.3.
Vulnerabilidad en bbPress Notify (CVE-2024-37485)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Neutralización incorrecta de la entrada durante la vulnerabilidad de generación de páginas web (XSS o 'Cross-site Scripting') en Vinny Alves (UseStrict Consulting) bbPress Notify permite XSS reflejado. Este problema afecta a bbPress Notify: desde n/a hasta 2.18.3.
Vulnerabilidad en CopySafe Web Protection (CVE-2024-38781)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en ArtistScope CopySafe Web Protection permite XSS reflejado. Este problema afecta a CopySafe Web Protection: desde n/a hasta 3.15.
Vulnerabilidad en Leaflet Maps Marker (CVE-2024-38782)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en MapsMarker.Com eU Leaflet Maps Marker permite XSS almacenado. Este problema afecta a Leaflet Maps Marker: desde n/a hasta 3.12.9.
Vulnerabilidad en Chained Quiz (CVE-2024-37446)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Kiboko Labs Chained Quiz permite XSS almacenado. Este problema afecta a Chained Quiz: desde n/a hasta 1.3.2.8.
Vulnerabilidad en PixelYourSite (CVE-2024-37447)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en PixelYourSite PixelYourSite: Your smart PIXEL (TAG) Manager permite XSS almacenado. Este problema afecta a PixelYourSite: su administrador inteligente de PIXEL (TAG): desde n/ a hasta 9.6.1.1.
Vulnerabilidad en Slider Revolution (CVE-2024-37449)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Neutralización incorrecta de la entrada durante la vulnerabilidad de generación de páginas web (XSS o 'Cross-site Scripting') en ThemePunch OHG Slider Revolution. Este problema afecta a Slider Revolution: desde n/a hasta 6.7.13.
Vulnerabilidad en Gutenberg Blocks (CVE-2024-37457)
Severidad: Pendiente de análisis
Fecha de publicación: 21/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Ultimate Blocks Ultimate Blocks – El complemento Gutenberg Blocks permite almacenar XSS. Este problema afecta a Ultimate Blocks – Complemento Gutenberg Blocks: desde n/a hasta 3.1.9 .
Vulnerabilidad en Tenda O3 1.0.0.10 (CVE-2024-6962)
Severidad: ALTA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Una vulnerabilidad fue encontrada en Tenda O3 1.0.0.10 y clasificada como crítica. Esta vulnerabilidad afecta a la función formQosSet. La manipulación del argumento remark/ipRange/upSpeed/downSpeed/enable conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272116. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en Tenda O3 1.0.0.10 (CVE-2024-6963)
Severidad: ALTA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Una vulnerabilidad fue encontrada en Tenda O3 1.0.0.10 y clasificada como crítica. Este problema afecta la función formexeCommand. La manipulación del argumento cmdinput provoca un desbordamiento de búfer en la región stack de la memoria. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-272117. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en Tenda O3 1.0.0.10 (CVE-2024-6964)
Severidad: ALTA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Una vulnerabilidad fue encontrada en Tenda O3 1.0.0.10 y clasificada como crítica. La función fromDhcpSetSer es afectada por la vulnerabilidad. La manipulación del argumento dhcpEn/startIP/endIP/preDNS/altDNS/mask/gateway conduce a un desbordamiento de búfer en la región stack de la memoria. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-272118 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en Tenda O3 1.0.0.10 (CVE-2024-6965)
Severidad: ALTA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Una vulnerabilidad ha sido encontrada en Tenda O3 1.0.0.10 y clasificada como crítica. La función fromVirtualSet es afectada por esta vulnerabilidad. La manipulación del argumento ip/localPort/publicPort/app conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-272119. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
Vulnerabilidad en itsourcecode Online Blood Bank Management System 1.0 (CVE-2024-6966)
Severidad: ALTA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Una vulnerabilidad fue encontrada en itsourcecode Online Blood Bank Management System 1.0 y clasificada como crítica. Una función desconocida del archivo login.php del componente Login es afectada por esta vulnerabilidad. La manipulación del argumento user/pass conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272120.
Vulnerabilidad en SourceCodester Employee and Visitor Gate Pass Logging System 1.0 (CVE-2024-6967)
Severidad: MEDIA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Se encontró una vulnerabilidad en SourceCodester Employee and Visitor Gate Pass Logging System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /employee_gatepass/admin/?page=employee/manage_employee. La manipulación del argumento id conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-272121.
Vulnerabilidad en SourceCodester Clinics Patient Management System 1.0 (CVE-2024-6968)
Severidad: MEDIA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Se encontró una vulnerabilidad en SourceCodester Clinics Patient Management System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta al código desconocido del archivo /print_patients_visits.php. La manipulación del argumento from/to conduce a la inyección SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-272122 es el identificador asignado a esta vulnerabilidad.
Vulnerabilidad en SourceCodester Clinics Patient Management System 1.0 (CVE-2024-6969)
Severidad: MEDIA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Se encontró una vulnerabilidad en SourceCodester Clinics Patient Management System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo /ajax/get_patient_history.php. La manipulación del argumento patient_id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-272123.
Vulnerabilidad en Tailoring Management System 1.0 (CVE-2024-6970)
Severidad: MEDIA
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Una vulnerabilidad ha sido encontrada en el código fuente Tailoring Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /staffcatadd.php es afectada por esta vulnerabilidad. La manipulación del argumento title conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272124.
Vulnerabilidad en LibreChat (CVE-2024-41703)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
LibreChat hasta 0.7.4-rc1 tiene control de acceso incorrecto para actualizaciones de mensajes. (El trabajo en una versión fija comenzó en PR 3363.)
Vulnerabilidad en LibreChat (CVE-2024-41704)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
LibreChat hasta 0.7.4-rc1 no valida las rutas de acceso normalizadas de las imágenes. (El trabajo en una versión fija comenzó en PR 3363.)
Vulnerabilidad en Backdrop CMS (CVE-2024-41709)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Backdrop CMS anterior a 1.27.3 y 1.28.x anterior a 1.28.2 no sanitiza suficientemente las etiquetas de campo antes de que se muestren en ciertos lugares. Esta vulnerabilidad se ve mitigada por el hecho de que un atacante debe tener un rol con permiso de "administer fields".
CVE-2024-5004
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
El CM Popup Plugin complemento de WordPress anterior a 1.6.6 no sanitiza ni escapa a algunas de las configuraciones de la campaña, lo que podría permitir a usuarios con altos privilegios, como los contribuyentes, realizar ataques de Cross Site Scripting almacenado.
Vulnerabilidad en complemento WP QuickLaTeX de WordPress (CVE-2024-5529)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
El complemento WP QuickLaTeX de WordPress anterior a 3.8.8 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en complemento de WordPress MasterStudy LMS WordPress Plugin (CVE-2024-5973)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
El complemento de WordPress MasterStudy LMS WordPress Plugin anterior a 3.3.24 no impide que los estudiantes creen cuentas de instructor, que podrían usarse para obtener acceso a funcionalidades que no deberían tener.
Vulnerabilidad en complemento de WordPress HTML Forms (CVE-2024-6243)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
El complemento de WordPress HTML Forms anterior a 1.3.33 no sanitiza ni escapa las entradas de mensajes del formulario, lo que permite a usuarios con altos privilegios, como administradores, realizar ataques de Cross Site Scripting almacenado (XSS) incluso cuando la capacidad unfiltered_html está deshabilitada.
Vulnerabilidad en complemento de WordPress PZ Frontend Manager (CVE-2024-6244)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
El complemento de WordPress PZ Frontend Manager anterior a 1.0.6 no tiene comprobaciones CSRF en algunos lugares, lo que podría permitir a los atacantes hacer que los usuarios que han iniciado sesión realicen acciones no deseadas a través de ataques CSRF.
Vulnerabilidad en WordPress Community Events (CVE-2024-6271)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
El complemento de WordPress Community Events anterior a la versión 1.5 no tiene activada la verificación CSRF al eliminar eventos, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión elimine eventos arbitrarios mediante un ataque CSRF.
Vulnerabilidad en ProtonVPN (CVE-2024-37391)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
ProtonVPN anterior a 3.2.10 en Windows maneja mal la ruta del instalador de la unidad, que debería usar esto: '"' + ExpandConstant('{autopf}\Proton\Drive') + '"' en Setup/setup.iss.
Vulnerabilidad en SFTPGO 2.6.2 (CVE-2024-40430)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
En SFTPGO 2.6.2, la implementación de JWT carece de ciertas medidas de seguridad, como el uso de reclamos de JWT ID (JTI), nonces y mecanismos adecuados de caducidad e invalidación.
Vulnerabilidad en All In One Redirection (CVE-2024-37245)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Vsourz Digital All In One Redirection permite el XSS reflejado. Este problema afecta a All In One Redirection: desde n/a hasta 2.2.0.
Vulnerabilidad en Gallery Slideshow (CVE-2024-37246)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Jethin Gallery Slideshow permite XSS almacenado. Este problema afecta a Gallery Slideshow: desde n/a hasta 1.4.1.
Vulnerabilidad en Permalink Manager Lite (CVE-2024-37257)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Maciej Bis Permalink Manager Lite permite el XSS reflejado. Este problema afecta a Permalink Manager Lite: desde n/a hasta 2.4.3.3.
Vulnerabilidad en Social Rocket (CVE-2024-37258)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Social Rocket permite el XSS reflejado. Este problema afecta a Social Rocket: desde n/a hasta 1.3.3.
Vulnerabilidad en The Ultimate WordPress Toolkit – WP Extended (CVE-2024-37259)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en WP Extended The Ultimate WordPress Toolkit – WP Extended permite XSS reflejado. Este problema afecta a The Ultimate WordPress Toolkit – WP Extended: desde n/a hasta 2.4 .7.
Vulnerabilidad en WP-Lister Lite para Amazon (CVE-2024-37261)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en WP Lab WP-Lister Lite para Amazon permite el XSS reflejado. Este problema afecta a WP-Lister Lite para Amazon: desde n/a hasta 2.6.16 .
Vulnerabilidad en Online Booking & Scheduling Calendar para WordPress de vcita (CVE-2024-37262)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en vCita.Com Online Booking & Scheduling Calendar para WordPress de vcita permite el XSS reflejado. Este problema afecta el Online Booking & Scheduling Calendar para WordPress de vcita: de n/a hasta 4.4.2.
Vulnerabilidad en Enter Addons (CVE-2024-37263)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en ThemeLooks Enter Addons enteraddons permite XSS almacenado. Este problema afecta a Enter Addons: desde n/a hasta 2.1.6.
Vulnerabilidad en Groundhogg (CVE-2024-37264)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Groundhogg Inc. Groundhogg permite XSS reflejado. Este problema afecta a Groundhogg: desde n/a hasta 3.4.2.3.
Vulnerabilidad en IdeaPush (CVE-2024-37265)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Martin Gibson IdeaPush permite XSS almacenado. Este problema afecta a IdeaPush: desde n/a hasta 8.60.
Vulnerabilidad en Striking (CVE-2024-37267)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en kaptinlin Striking permite el XSS reflejado. Este problema afecta a Striking: desde n/a hasta 2.3.4.
Vulnerabilidad en Print My Blog (CVE-2024-37271)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Michael Nelson Print My Blog permite XSS almacenado. Este problema afecta a Print My Blog: desde n/a hasta 3.27.0.
Vulnerabilidad en My Favorites (CVE-2024-37114)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Takashi Matsuyama My Favorites permite XSS almacenado. Este problema afecta a My Favorites: desde n/a hasta 1.4.1.
Vulnerabilidad en Sinatra (CVE-2024-37116)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en sinatrateam Sinatra permite XSS almacenado. Este problema afecta a Sinatra: desde n/a hasta 1.3.
Vulnerabilidad en Uncanny Automator Pro (CVE-2024-37117)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Uncanny Owl Uncanny Automator Pro permite el XSS reflejado. Este problema afecta a Uncanny Automator Pro: desde n/a hasta 5.3.
Vulnerabilidad en Tabs (CVE-2024-37120)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Biplob Adhikari Tabs permite XSS almacenado. Este problema afecta a Tabs: desde n/a hasta 4.0.6.
Vulnerabilidad en Shortcode Addons (CVE-2024-37121)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en biplob018 Shortcode Addons permiten XSS almacenado. Este problema afecta a los complementos de Shortcode Addons: desde n/a hasta 3.2.5.
Vulnerabilidad en Accordions (CVE-2024-37122)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Biplob Adhikari Accordions permite XSS almacenado. Este problema afecta a Accordions: desde n/a hasta 2.3.5.
Vulnerabilidad en Enfold (CVE-2024-37199)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Kriesi.At Enfold permite XSS reflejado. Este problema afecta a Enfold: desde n/a hasta 5.6.9.
Vulnerabilidad en Demo Awesome (CVE-2024-37206)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Theme4Press Demo Awesome permite el XSS reflejado. Este problema afecta a Demo Awesome: desde n/a hasta 1.0.1.
Vulnerabilidad en Ali2Woo Lite (CVE-2024-37211)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Ali2Woo Team Ali2Woo Lite permite el XSS reflejado. Este problema afecta a Ali2Woo Lite: desde n/a hasta 3.3.5.
Vulnerabilidad en Transition Slider – Responsive Image Slider and Gallery (CVE-2024-37215)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en creativeinteractivemedia Transition Slider – Responsive Image Slider and Gallery permite XSS almacenado. Este problema afecta a Transition Slider – Responsive Image Slider and Gallery: desde n/a hasta 2.20.3.
Vulnerabilidad en Ninja Beaver Add-ons para Beaver Builder (CVE-2024-37244)
Severidad: Pendiente de análisis
Fecha de publicación: 22/07/2024
Fecha de última actualización: 25/07/2024
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Ninja Team Ninja Beaver Add-ons para Beaver Builder permite XSS almacenado. Este problema afecta a Ninja Beaver Add-ons para Beaver Builder: de n/a hasta 2.4.5.
Vulnerabilidad en go-chart v2.1.1 (CVE-2024-40060)
Severidad: Pendiente de análisis
Fecha de publicación: 23/07/2024
Fecha de última actualización: 25/07/2024
Se descubrió que go-chart v2.1.1 contiene un bucle infinito a través de la función drawCanvas().
Vulnerabilidad en TOTOLINK A6000R V1.0.1-B20201211.2000 (CVE-2024-41319)
Severidad: Pendiente de análisis
Fecha de publicación: 23/07/2024
Fecha de última actualización: 25/07/2024
Se descubrió que TOTOLINK A6000R V1.0.1-B20201211.2000 contiene una vulnerabilidad de inyección de comandos a través del parámetro cmd en la función webcmd.