Vulnerabilidades

La lectura fuera de los límites en Microsoft Edge (basado en Chromium) permite que un atacante no autorizado ejecute código a través de una red.

El control de acceso inadecuado en Visual Studio Code permite que un atacante autorizado eleve privilegios localmente.

El elemento de ruta de búsqueda no controlada en Visual Studio Tools para aplicaciones y SQL Server Management Studio permite que un atacante autorizado eleve privilegios localmente.

El complemento Photo Gallery by 10Web – Mobile-Friendly Image Gallery para WordPress es vulnerable a ataques Cross-Site Scripting Reflejado a través del parámetro 'image_id' en todas las versiones hasta la 1.8.34 incluida, debido a una depuración de entrada y un escape de salida insuficiente. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario administrador para que realice una acción como hacer clic en un enlace.

Prisma Access Browser: Comportamiento de control inapropiado en Prisma Access Browser

Se informó de una debilidad de validación de entrada en el módulo TpmSetup para algunos productos de servidor System x heredados que podría permitir que un atacante local con privilegios elevados lea el contenido de la memoria.

Una vulnerabilidad de inyección de comandos en Palo Alto Networks Cortex XDR® Broker VM permite que un usuario autenticado ejecute comandos de SO arbitrarios con privilegios de root en el sistema operativo host que ejecuta Broker VM.

Una vulnerabilidad en el software PAN-OS® de Palo Alto Networks permite a administradores sin licencia ver datos de texto sin cifrar capturados mediante la función de captura de paquetes (https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/monitoring/take-packet-captures/take-a-custom-packet-capture) en flujos de datos HTTP/2 descifrados que atraviesan las interfaces de red del firewall. Los flujos de datos HTTP/1.1 no se ven afectados. Normalmente, los administradores del firewall pueden acceder a las capturas de paquetes descifradas tras obtener e instalar una licencia gratuita de Decryption Port Mirror. El requisito de la licencia garantiza que esta función solo se pueda utilizar después de que personal autorizado la active intencionadamente. Para obtener más información, consulte cómo configurar la duplicación de puertos de descifrado (https://docs.paloaltonetworks.com/network-security/decryption/administration/monitoring-decryption/configure-decryption-port-mirroring). El administrador debe obtener acceso de red a la interfaz de administración (web, SSH, consola o Telnet) y autenticarse correctamente para explotar este problema. El riesgo de este problema se puede reducir considerablemente restringiendo el acceso a la interfaz de administración únicamente a administradores de confianza y solo desde direcciones IP internas, según nuestras directrices de implementación crítica recomendadas (https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431). Los administradores de firewall del cliente no tienen acceso a la función de captura de paquetes en Cloud NGFW. Esta función solo está disponible para el personal autorizado de Palo Alto Networks con permiso para realizar la resolución de problemas. Prisma® Access no se ve afectado por esta vulnerabilidad.

La aplicación de reconocimiento facial Oz Forensics, anterior a la versión 4.0.8 de finales de 2023, permite la recuperación de información personal identificable (PII) mediante la referencia directa a objetos inseguros de /statistic/list. NOTA: El número 4.0.8 se utilizó tanto para la versión sin parchear como para la versión con parches.

Vulnerabilidad de codificación incorrecta o escape de salida en The Wikimedia Foundation Mediawiki - Confirm Account Extension permite Cross-Site Scripting (XSS). Este problema afecta a Mediawiki - Confirm Account Extension: desde la versión 1.39 hasta la 1.43.

La vulnerabilidad de validación de entrada incorrecta en The Wikimedia Foundation Mediawiki - Tabs Extension permite la inyección de código. Este problema afecta a Mediawiki - Tabs Extension: desde la versión 1.39 hasta la 1.43.

Vulnerabilidad de validación de entrada incorrecta en The Wikimedia Foundation Mediawiki - Visual Data Extension permite HTTP DoS. Este problema afecta a Mediawiki - Visual Data Extension: desde la versión 1.39 hasta la 1.43.