Vulnerabilidades

La tunelización IPv6 en IPv4 (RFC 4213) permite a un atacante falsificar y enrutar el tráfico a través de una interfaz de red expuesta.

Las versiones 14.0 y anteriores de Substance3D - Designer se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.

Las versiones 14.0 y anteriores de Substance3D - Designer se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.

Las versiones 14.0 y anteriores de Substance3D - Designer se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.

Las versiones 14.0 y anteriores de Substance3D - Designer se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.

TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que involucra enlaces profundos. Específicamente, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes descendentes aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP apropiado. La explotación exitosa de esta vulnerabilidad requiere que la víctima tenga una sesión activa en la interfaz de usuario del backend y sea engañada para interactuar con una URL maliciosa dirigida al backend, lo que puede ocurrir bajo las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en lax o none La vulnerabilidad en el componente descendente afectado "FormFrameworkk Module" permite a los atacantes manipular o eliminar definiciones de formularios persistentes. Se recomienda a los usuarios que actualicen a las versiones 11.5.42 ELTS, 12.4.25 LTS y 13.4.3 LTS de TYPO3, que solucionan el problema descrito. No se conocen Workarounds para esta vulnerabilidad.

TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que implica enlaces profundos. En concreto, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP adecuado. Para explotar con éxito esta vulnerabilidad, la víctima debe tener una sesión activa en la interfaz de usuario del backend y ser engañada para que interactúe con una URL maliciosa dirigida al backend, lo que puede ocurrir en las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en lax o ninguna. La vulnerabilidad en el componente posterior afectado "Módulo de búsqueda indexada" permite a los atacantes eliminar elementos del componente. Se recomienda a los usuarios que actualicen a las versiones 11.5.42 ELTS, 12.4.25 LTS y 13.4.3 LTS de TYPO3, que solucionan el problema descrito. No se conocen Workarounds para este problema.

TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que involucra enlaces profundos. Específicamente, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP apropiado. La explotación exitosa de esta vulnerabilidad requiere que la víctima tenga una sesión activa en la interfaz de usuario del backend y sea engañada para interactuar con una URL maliciosa dirigida al backend, lo que puede ocurrir bajo las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en lax o ninguna. La vulnerabilidad en el componente afectado “Scheduler Module” permite a los atacantes activar clases de comandos predefinidos, lo que puede provocar la importación o exportación no autorizada de datos en el peor de los casos. Se recomienda a los usuarios que actualicen a la versión 11.5.42 ELTS de TYPO3, que soluciona el problema descrito. No se conocen Workarounds para esta vulnerabilidad.

TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que implica enlaces profundos. En concreto, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP adecuado. Para explotar con éxito esta vulnerabilidad, la víctima debe tener una sesión activa en la interfaz de usuario del backend y ser engañada para que interactúe con una URL maliciosa dirigida al backend, lo que puede ocurrir en las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en `lax` o `none`. La vulnerabilidad en el componente posterior afectado "DB Check Module" permite a los atacantes manipular datos a través de acciones no autorizadas. Se recomienda a los usuarios que actualicen a la versión 11.5.42 ELTS de TYPO3, que soluciona el problema descrito. No se conocen Workarounds para este problema.

Motivo del rechazo: esta autoridad de numeración CVE ha rechazado o retirado esta ID CVE.

Las versiones 24.0.6, 23.0.9 y anteriores de Animate se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.

TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que involucra enlaces profundos. Específicamente, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP apropiado. La explotación exitosa de esta vulnerabilidad requiere que la víctima tenga una sesión activa en la interfaz de usuario del backend y sea engañada para interactuar con una URL maliciosa dirigida al backend, lo que puede ocurrir bajo las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en lax o ninguna. La vulnerabilidad en el componente posterior afectado "Módulo de registro" permite a los atacantes eliminar entradas de registro. Se recomienda a los usuarios que actualicen a las versiones 11.5.42 ELTS, 12.4.25 LTS y 13.4.3 LTS de TYPO3, que solucionan el problema descrito. No se conocen Workarounds para esta vulnerabilidad.