Vulnerabilidades

Se informó de una debilidad de validación de entrada en el módulo TpmSetup para algunos productos de servidor System x heredados que podría permitir que un atacante local con privilegios elevados lea el contenido de la memoria.

Una vulnerabilidad de inyección de comandos en Palo Alto Networks Cortex XDR® Broker VM permite que un usuario autenticado ejecute comandos de SO arbitrarios con privilegios de root en el sistema operativo host que ejecuta Broker VM.

Una vulnerabilidad en el software PAN-OS® de Palo Alto Networks permite a administradores sin licencia ver datos de texto sin cifrar capturados mediante la función de captura de paquetes (https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/monitoring/take-packet-captures/take-a-custom-packet-capture) en flujos de datos HTTP/2 descifrados que atraviesan las interfaces de red del firewall. Los flujos de datos HTTP/1.1 no se ven afectados. Normalmente, los administradores del firewall pueden acceder a las capturas de paquetes descifradas tras obtener e instalar una licencia gratuita de Decryption Port Mirror. El requisito de la licencia garantiza que esta función solo se pueda utilizar después de que personal autorizado la active intencionadamente. Para obtener más información, consulte cómo configurar la duplicación de puertos de descifrado (https://docs.paloaltonetworks.com/network-security/decryption/administration/monitoring-decryption/configure-decryption-port-mirroring). El administrador debe obtener acceso de red a la interfaz de administración (web, SSH, consola o Telnet) y autenticarse correctamente para explotar este problema. El riesgo de este problema se puede reducir considerablemente restringiendo el acceso a la interfaz de administración únicamente a administradores de confianza y solo desde direcciones IP internas, según nuestras directrices de implementación crítica recomendadas (https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431). Los administradores de firewall del cliente no tienen acceso a la función de captura de paquetes en Cloud NGFW. Esta función solo está disponible para el personal autorizado de Palo Alto Networks con permiso para realizar la resolución de problemas. Prisma® Access no se ve afectado por esta vulnerabilidad.

La aplicación de reconocimiento facial Oz Forensics, anterior a la versión 4.0.8 de finales de 2023, permite la recuperación de información personal identificable (PII) mediante la referencia directa a objetos inseguros de /statistic/list. NOTA: El número 4.0.8 se utilizó tanto para la versión sin parchear como para la versión con parches.

Vulnerabilidad de codificación incorrecta o escape de salida en The Wikimedia Foundation Mediawiki - Confirm Account Extension permite Cross-Site Scripting (XSS). Este problema afecta a Mediawiki - Confirm Account Extension: desde la versión 1.39 hasta la 1.43.

La vulnerabilidad de validación de entrada incorrecta en The Wikimedia Foundation Mediawiki - Tabs Extension permite la inyección de código. Este problema afecta a Mediawiki - Tabs Extension: desde la versión 1.39 hasta la 1.43.

Vulnerabilidad de validación de entrada incorrecta en The Wikimedia Foundation Mediawiki - Visual Data Extension permite HTTP DoS. Este problema afecta a Mediawiki - Visual Data Extension: desde la versión 1.39 hasta la 1.43.

La vulnerabilidad de validación de entrada incorrecta en The Wikimedia Foundation Mediawiki - Extension:SimpleCalendar permite Cross-Site Scripting (XSS). Este problema afecta a Mediawiki - Extensión:SimpleCalendar: desde la versión 1.39 hasta la 1.43.

Vulnerabilidad de codificación incorrecta o escape de salida en The Wikimedia Foundation Mediawiki - Version Compare Extension permite Cross-Site Scripting (XSS). Este problema afecta a Mediawiki - Version Compare Extension: desde la versión 1.39 hasta la 1.43.

Vulnerabilidad de validación de entrada incorrecta en The Wikimedia Foundation Mediawiki - GrowthExperiments permite HTTP DoS. Este problema afecta a Mediawiki - GrowthExperiments: desde la versión 1.39 hasta la 1.43.

La vulnerabilidad de exposición de información confidencial a un actor no autorizado en The Wikimedia Foundation Mediawiki - Mobile Frontend Extension permite la manipulación de recursos compartidos. Este problema afecta a la extensión de interfaz móvil de Mediawiki: desde la versión 1.39 hasta la 1.43.

La vulnerabilidad de validación de entrada incorrecta en The Wikimedia Foundation Mediawiki - Growth Experiments Extension permite Cross-Site Scripting (XSS). Este problema afecta a Mediawiki - Growth Experiments Extension: desde la versión 1.39 hasta la 1.43.