Vulnerabilidades

Se ha identificado una vulnerabilidad en RUGGEDCOM ROX MX5000 (Todas las versiones < V2.16.0), RUGGEDCOM ROX MX5000RE (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1400 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1500 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1501 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1510 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1511 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1512 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1524 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1536 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1536 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1540 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1550 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1560 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1570 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1580 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1600 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1610 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX1620 (Todas las versiones < V2.16.0), RUGGEDCOM ROX RX16 V2.16.0), RUGGEDCOM ROX RX5000 (todas las versiones anteriores a V2.16.0). La función CLI en la interfaz web de los dispositivos afectados es vulnerable a cross-site request forgery (CSRF). Esto podría permitir que un atacante lea o modifique la configuración del dispositivo engañando a un usuario legítimo autenticado para que acceda a un enlace malicioso.

El complemento LearnPress – WordPress LMS Plugin para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 4.2.7.3 incluida a través de class-lp-rest-material-controller.php. Esto permite que atacantes no autenticados extraigan material de cursos pagos potencialmente confidencial.

Dell Avamar, versión 19.9, contiene una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ("inyección SQL"). Un atacante no autenticado con acceso remoto podría aprovechar esta vulnerabilidad, lo que provocaría la ejecución del comando.

Dell Avamar, versión 19.9, contiene una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ("inyección SQL"). Un atacante con privilegios reducidos y acceso remoto podría aprovechar esta vulnerabilidad y provocar la ejecución del comando.

Dell Avamar, versión 19.9, contiene una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ("inyección SQL"). Un atacante con privilegios reducidos y acceso remoto podría aprovechar esta vulnerabilidad, lo que provocaría una inyección de script.

El complemento Simple Restrict para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.2.7 incluida a través de la función de búsqueda principal de WordPress. Esto permite que atacantes no autenticados extraigan datos confidenciales de publicaciones que se han restringido a roles de nivel superior, como el de administrador.

El complemento iChart – Easy Charts and Graphs para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'width' en todas las versiones hasta la 2.1.0 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El complemento Active Products Tables para WooCommerce. Use el constructor para crear tablas para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios a través de la acción AJAX woot_get_smth en todas las versiones hasta la 1.0.6.5 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios.

El complemento Quran multilanguage Text & Audio para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de los parámetros 'sourate' y 'lang' en todas las versiones hasta la 2.3.21 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.

El complemento Email Reminders para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'id' en todas las versiones hasta la 2.0.4 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

En los dispositivos RUTOS de Teltonika Networks que se ejecutan en las versiones 7.0 a 7.8 (excluidas) y en los dispositivos TSWOS que se ejecutan en las versiones 1.0 a 1.3 (excluidas), debido al manejo incorrecto de permisos existe una vulnerabilidad que permite que un usuario con menos privilegios y permisos predeterminados acceda a recursos críticos del dispositivo a través de la API.

SolarWinds Web Help Desk era susceptible a una vulnerabilidad de lectura de archivos locales. Esta vulnerabilidad requiere que el software esté instalado en Linux y configurado para utilizar un modo de desarrollo/prueba no predeterminado, lo que hace que la exposición a la vulnerabilidad sea muy limitada.