Vulnerabilidades

*** Pendiente de traducción *** Rejected reason: Not used

*** Pendiente de traducción *** Rejected reason: Not used

*** Pendiente de traducción *** Rejected reason: Not used

*** Pendiente de traducción *** Rejected reason: Not used

*** Pendiente de traducción *** Rejected reason: Not used

Vulnerabilidades de cross-site scripting (XSS) almacenadas en la traducción de Contenido Web en Liferay Portal 7.4.0 hasta 7.4.3.112, y versiones anteriores no compatibles, y Liferay DXP 2023.Q4.0 hasta 2023.Q4.8, 2023.Q3.1 hasta 2023.Q3.10, 7.4 GA hasta la actualización 92, y versiones anteriores no compatibles, permiten a atacantes remotos inyectar scripts web o HTML arbitrarios a través de cualquier campo de texto enriquecido en un artículo de contenido web.

Argo CD es una herramienta de entrega continua declarativa, GitOps para Kubernetes. Las versiones entre 2.1.0 y 2.14.19, 3.2.0-rc1, 3.1.0-rc1 hasta 3.1.7, y 3.0.0-rc1 hasta 3.0.18 contienen una condición de carrera en el manejador de credenciales del repositorio que puede causar que el servidor Argo CD entre en pánico y falle cuando se realizan operaciones concurrentes en la misma URL del repositorio. La vulnerabilidad se encuentra en numerosos manejadores relacionados con el repositorio en el archivo util/db/repository_secrets.go. Se requiere un token de API válido con permisos de recurso de repositorios (acciones de creación, actualización o eliminación) para activar la condición de carrera. Esta vulnerabilidad causa que todo el servidor Argo CD falle y quede no disponible. Los atacantes pueden activar repetida y continuamente la condición de carrera para mantener un estado de denegación de servicio, interrumpiendo todas las operaciones GitOps. Este problema se soluciona en las versiones 2.14.20, 3.2.0-rc2, 3.1.8 y 3.0.19.

Los dispositivos Quadient DS-700 iQ hasta el 30-09-2025 podrían tener una condición de carrera durante el clic rápido (en orden) del botón de signo de interrogación, el botón de Ayuda, el botón de Acerca de, y el botón de Ayuda, lo que lleva a una transición del modo quiosco a un acceso administrativo local. NOTA: el informante indica que el 'comportamiento fue observado esporádicamente' durante 'tiempo limitado en el sitio del cliente,' lo que hace que no sea 'posible obtener más información sobre el problema específico de bloqueo del modo quiosco,' y la única conclusión fue 'parece haber alguna forma de condición de carrera.' En consecuencia, puede haber dudas de que se haya identificado una vulnerabilidad de ciberseguridad reproducible; los bloqueos esporádicos del software también pueden ser causados por una falla de hardware en un solo dispositivo (por ejemplo, errores transitorios de RAM). El informante también describe una variedad de otros problemas, incluido el acceso inicial a través de USB debido a la ausencia de una 'solución de bloqueo resistente a la ganzúa para el gabinete de la PC del controlador externo,' lo cual no es una vulnerabilidad de ciberseguridad (sección 4.1.5 de las Reglas Operativas de la CNA). Finalmente, no está claro si la configuración del dispositivo o del sistema operativo fue inapropiada, dado que los riesgos suelen limitarse a amenazas internas dentro de la sala de operaciones de correo de una gran empresa.

Keysight Ixia Vision tiene un problema con material criptográfico codificado de forma rígida que podría permitir a un atacante interceptar o descifrar cargas útiles enviadas al dispositivo a través de llamadas a la API o la autenticación de usuario si el usuario final no reemplaza el certificado TLS que se envió con el dispositivo. La remediación está disponible en la versión 6.9.1, lanzada el 23 de septiembre de 2025.

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CVE RECORD. ConsultIDs: CVE-2024-13967. Reason: This record is a reservation duplicate of CVE-2024-13967. Notes: All CVE users should reference CVE-2024-13967 instead of this record. All references and descriptions in this record have been removed to prevent accidental usage.

Una Referencia Directa Insegura a Objeto (IDOR) en el endpoint /dashboard/notes de Syaqui Collegetivity v1.0.0 permite a los atacantes suplantar a otros usuarios y realizar operaciones arbitrarias mediante una solicitud POST manipulada.

IBM Planning Analytics Local 2.0.0 hasta 2.0.106 y 2.1.0 hasta 2.1.13 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y potencialmente llevando a la divulgación de credenciales dentro de una sesión de confianza.