Vulnerabilidades

La vulnerabilidad de autorización faltante en Brizy Brizy Pro permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Brizy Pro: desde n/a hasta 2.6.1.

Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Brizy Brizy Pro permite Cross-Site Request Forgery. Este problema afecta a Brizy Pro: desde n/d hasta 2.6.1.

La vulnerabilidad de autorización faltante en OnTheGoSystems WooCommerce Multilingual & Multicurrency permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WooCommerce Multilingual & Multicurrency: desde n/d hasta 5.3.8.

Una vulnerabilidad de falta de liberación de memoria tras el tiempo de vida útil efectivo en el motor de reenvío de paquetes (PFE) de Juniper Networks Junos OS y Junos OS Evolved permite que un atacante adyacente no autenticado provoque el bloqueo de un FPC, lo que provoca una denegación de servicio (DoS). En todas las plataformas Junos OS y Junos OS Evolved, en un escenario EVPN-VXLAN, al recibir paquetes ARP específicos en una red IPv4 o paquetes NDP específicos en una red IPv6, se producen fugas de memoria en el montón del kernel, lo que finalmente provoca el bloqueo y reinicio del FPC. Este problema no afecta a las plataformas de la serie MX. El crecimiento del tamaño del montón en FPC se puede observar con el siguiente comando. user@host> show chassis fpc Temp CPU Utilization (%) CPU Utilization (%) Memory Utilization (%) Slot State (C) Total Interrupt 1min 5min 15min DRAM (MB) Heap Buffer 0 Online 45 3 0 2 2 2 32768 19 0?<<<<<<< Heap increase in all fPCs Este problema afecta a Junos OS: * Todas las versiones anteriores a 21.2R3-S7, * Versiones 21.4 anteriores a 21.4R3-S4, * Versiones 22.2 anteriores a 22.2R3-S1, * Versiones 22.3 anteriores a 22.3R3-S1, * Versiones 22.4 anteriores a 22.4R2-S2, 22.4R3. y Junos OS Evolved: * Todas las versiones anteriores a 21.2R3-S7-EVO, * Versiones 21.4-EVO anteriores a 21.4R3-S4-EVO, * Versiones 22.2-EVO anteriores a 22.2R3-S1-EVO, * Versiones 22.3-EVO anteriores a 22.3R3-S1-EVO, * Versiones 22.4-EVO anteriores a 22.4R3-EVO.

Una vulnerabilidad de Comprobación Incorrecta de Condiciones Inusuales o Excepcionales en el motor de reenvío de paquetes (pfe) de Juniper Networks Junos OS en la serie MX provoca el bloqueo de un puerto dentro de un pool, lo que provoca una denegación de servicio (DoS). En un escenario de DS-Lite (Dual-Stack Lite) y NAT (Traducción de Direcciones de Red), al recibir tráfico IPv6 manipulado y con una longitud de prefijo de 56, los puertos asignados al usuario no se liberan. Finalmente, los usuarios no pueden establecer nuevas conexiones. El FPC/PIC afectado debe reiniciarse manualmente para recuperarse. A continuación se muestra el comando para identificar el problema: user@host> show services nat source port-block ????Host_IP External_IP Port_Block Ports_Used/ Block_State/ Range Ports_Total Left_Time(s) ????2001:: x.x.x.x 58880-59391 256/256*1 Active/- >>>>>>>>port still used Este problema afecta a Junos OS en la serie MX: * desde 21.2 antes de 21.2R3-S8, * desde 21.4 antes de 21.4R3-S7, * desde 22.1 antes de 22.1R3-S6, * desde 22.2 antes de 22.2R3-S4, * desde 22.3 antes de 22.3R3-S3, * desde 22.4 antes de 22.4R3-S2, * desde 23.2 antes de 23.2R2-S1, * desde 23.4 anteriores a 23.4R1-S2 y 23.4R2. Este problema no afecta a las versiones anteriores a 20.2R1.

Una vulnerabilidad de acceso al búfer con valor de longitud incorrecto en el demonio jdhcpd de Juniper Networks Junos OS, cuando la vigilancia DHCP está habilitada, permite que un atacante adyacente no autenticado envíe un paquete DHCP con una opción DHCP mal formada para provocar el bloqueo de jdhcp, creando una condición de denegación de servicio (DoS). La recepción continua de estos paquetes DHCP mediante la opción DHCP mal formada creará una condición de denegación de servicio (DoS) sostenida. Este problema afecta a Junos OS: * de 23.1R1 a 23.2R2-S3, * de 23.4 a 23.4R2-S3, * de 24.2 a 24.2R2. Este problema no afecta a ninguna versión de Junos OS anterior a 23.1R1. Este problema no afecta a la serie vSRX, que no admite la vigilancia DHCP. Este problema no afecta a Junos OS Evolved. No hay indicadores de compromiso para este problema.

Un problema en TOTVS Framework (Linha Protheus) 12.1.2310 permite a los atacantes eludir la autenticación multifactor (MFA) a través de un mensaje websocket manipulado.

Existe una vulnerabilidad de secuestro de DLL debido a una ruta de búsqueda no controlada en NI LabVIEW al cargar NI Error Reporting. Esta vulnerabilidad puede provocar la ejecución de código arbitrario. Para explotarla correctamente, un atacante debe insertar una DLL maliciosa en la ruta de búsqueda no controlada. Esta vulnerabilidad afecta a NI LabVIEW 2025 Q1 y versiones anteriores.

Existe una vulnerabilidad de secuestro de DLL debido a una ruta de búsqueda no controlada en NI LabVIEW. Esta vulnerabilidad puede provocar la ejecución de código arbitrario. Para explotarla correctamente, un atacante debe insertar una DLL maliciosa en la ruta de búsqueda no controlada. Esta vulnerabilidad afecta a NI LabVIEW 2025 Q1 y versiones anteriores.

La vulnerabilidad de falta de autenticación para funciones críticas en Drupal Panels permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a los paneles: desde la versión 0.0.0 hasta la 4.9.0.

Asignación de recursos sin límites ni limitación, vulnerabilidad de autorización incorrecta en Drupal WEB-T permite asignación excesiva y suplantación de contenido. Este problema afecta a WEB-T: desde 0.0.0 antes de 1.1.0.

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Drupal ECA: Event - Condition - Action permite Cross-Site Request Forgery. Este problema afecta a ECA: Evento - Condición - Acción: desde 0.0.0 antes de 1.1.12, desde 2.0.0 antes de 2.0.16, desde 2.1.0 antes de 2.1.7, desde 0.0.0 antes de 1.2.*.