Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en macOS Sonoma, macOS Ventura, macOS Monterey, iOS y iPadOS (CVE-2024-27799)
Severidad: Pendiente de análisis
Fecha de publicación: 10/06/2024
Fecha de última actualización: 02/07/2024
Este problema se solucionó con comprobaciones de derechos adicionales. Este problema se solucionó en macOS Sonoma 14.5, macOS Ventura 13.6.7, macOS Monterey 12.7.5, iOS 16.7.8 y iPadOS 16.7.8. Una aplicación sin privilegios puede registrar pulsaciones de teclas en otras aplicaciones, incluidas aquellas que utilizan el modo de entrada segura.
Vulnerabilidad en macOS Ventura 13.6.7, macOS Monterey, iOS, iPadOS, tvOS, visionOS, watchOS y macOS Sonoma (CVE-2024-27800)
Severidad: Pendiente de análisis
Fecha de publicación: 10/06/2024
Fecha de última actualización: 02/07/2024
Este problema se solucionó eliminando el código vulnerable. Este problema se solucionó en macOS Ventura 13.6.7, macOS Monterey 12.7.5, iOS 16.7.8 y iPadOS 16.7.8, tvOS 17.5, visionOS 1.2, iOS 17.5 y iPadOS 17.5, watchOS 10.5, macOS Sonoma 14.5. Procesar un mensaje elaborado con fines malintencionados puede provocar una denegación de servicio.
Vulnerabilidad en tvOS, visionOS, iOS, iPadOS, watchOS y macOS Sonoma (CVE-2024-27801)
Severidad: Pendiente de análisis
Fecha de publicación: 10/06/2024
Fecha de última actualización: 02/07/2024
El problema se solucionó con controles mejorados. Este problema se solucionó en tvOS 17.5, visionOS 1.2, iOS 17.5 y iPadOS 17.5, watchOS 10.5, macOS Sonoma 14.5. Es posible que una aplicación pueda elevar los privilegios.
Vulnerabilidad en macOS Ventura, macOS Monterey, iOS, iPadOS, tvOS, visionOS y macOS Sonoma (CVE-2024-27802)
Severidad: Pendiente de análisis
Fecha de publicación: 10/06/2024
Fecha de última actualización: 02/07/2024
Se solucionó una lectura fuera de los límites con una validación de entrada mejorada. Este problema se solucionó en macOS Ventura 13.6.7, macOS Monterey 12.7.5, iOS 16.7.8 y iPadOS 16.7.8, tvOS 17.5, visionOS 1.2, iOS 17.5 y iPadOS 17.5, macOS Sonoma 14.5. El procesamiento de un archivo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Vulnerabilidad en iOS y iPadOS (CVE-2024-27807)
Severidad: Pendiente de análisis
Fecha de publicación: 10/06/2024
Fecha de última actualización: 02/07/2024
El problema se solucionó con controles mejorados. Este problema se solucionó en iOS 17.5 y iPadOS 17.5, iOS 16.7.8 y iPadOS 16.7.8. Es posible que una aplicación pueda eludir el registro del Informe de privacidad de la aplicación.
Vulnerabilidad en Microsoft Corporation (CVE-2024-29060)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de elevación de privilegios en Visual Studio
Vulnerabilidad en Microsoft Corporation (CVE-2024-30052)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de ejecución remota de código de Visual Studio
Vulnerabilidad en Microsoft Corporation (CVE-2024-30062)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de ejecución remota de código del servicio de administración de almacenamiento basado en estándares de Windows
Vulnerabilidad en Microsoft Corporation (CVE-2024-30063)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de ejecución remota de código del sistema de archivos distribuido (DFS) de Windows
Vulnerabilidad en Microsoft Corporation (CVE-2024-30064)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de elevación de privilegios del kernel de Windows
Vulnerabilidad en Microsoft Corporation (CVE-2024-30065)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de denegación de servicio en temas de Windows
Vulnerabilidad en Microsoft Corporation (CVE-2024-30066)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de elevación de privilegios de Winlogon
Vulnerabilidad en Microsoft Corporation (CVE-2024-30067)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 02/07/2024
Vulnerabilidad de elevación de privilegios de Winlogon
Vulnerabilidad en Themify Builder de WordPress (CVE-2024-3032)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento Themify Builder de WordPress anterior a 7.5.8 no valida un parámetro antes de redirigir al usuario a su valor, lo que genera un problema de Open Redirect
Vulnerabilidad en Web Directory Free de WordPress (CVE-2024-3552)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento Web Directory Free de WordPress anterior a 1.7.0 no sanitiza ni escapa un parámetro antes de usarlo en una declaración SQL a través de una acción AJAX disponible para usuarios no autenticados, lo que lleva a una inyección SQL con diferentes técnicas como UNION, basado en tiempo y basado en errores.
Vulnerabilidad en Search & Replace de WordPress (CVE-2024-4145)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento Search & Replace de WordPress anterior a 3.2.2 no sanitiza ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL (como dentro de una red de múltiples sitios).
Vulnerabilidad en Floating Chat Widget: Contact Chat Icons, WhatsApp, Telegram Chat, Line Messenger, WeChat, Email, SMS, Call Button de WordPress (CVE-2024-4149)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento Floating Chat Widget: Contact Chat Icons, WhatsApp, Telegram Chat, Line Messenger, WeChat, Email, SMS, Call Button de WordPress anterior a 3.2.3 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador para realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
Vulnerabilidad en XenServer 8 y Citrix Hypervisor 8.2 CU1 LTSR (CVE-2024-5661)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
Se ha identificado un problema tanto en XenServer 8 como en Citrix Hypervisor 8.2 CU1 LTSR que puede permitir que un administrador malintencionado de una máquina virtual invitada haga que el host se vuelva lento o no responda.
Vulnerabilidad en Elementor Header & Footer Builder para WordPress (CVE-2024-5757)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento Elementor Header & Footer Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo url dentro del widget de título del sitio del complemento en todas las versiones hasta la 1.6.35 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en PowerPack Addons para Elementor para WordPress (CVE-2024-5787)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento PowerPack Addons para Elementor (widgets, extensiones y plantillas gratuitos) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo 'url' dentro del widget de efectos de enlace del complemento en todas las versiones hasta la 2.7.20 incluida debido a una sanitización insuficiente de los insumos y escape de los productos. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en TIBCO Software Inc. (CVE-2024-4576)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El componente enumerado anteriormente contiene una vulnerabilidad que permite a un atacante atravesar directorios y acceder a archivos confidenciales, lo que lleva a la divulgación no autorizada de la configuración del sistema e información potencialmente confidencial.
Vulnerabilidad en WPBakery Visual Composer para WordPress (CVE-2024-5265)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento WPBakery Visual Composer para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo de enlace dentro del código corto vc_single_image en todas las versiones hasta la 7.6 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en Elespare – Blog, Magazine and Newspaper Addons for Elementor with Templates, Widgets, Kits, and Header/Footer Builder. One Click Import: No Coding Required! para WordPress (CVE-2024-4615)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento Elespare – Blog, Magazine and Newspaper Addons for Elementor with Templates, Widgets, Kits, and Header/Footer Builder. One Click Import: No Coding Required! para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget 'Menú de navegación horizontal' en todas las versiones hasta la 3.1.2 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en Dashboard Widgets Suite para WordPress (CVE-2024-0979)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento Dashboard Widgets Suite para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'tab' en todas las versiones hasta la 3.4.3 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Vulnerabilidad en EmbedPress – Embed PDF, YouTube, Google Docs, Vimeo, Wistia Videos, Audios, Maps & Any Documents in Gutenberg & Elementor para WordPress (CVE-2024-1565)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 02/07/2024
El complemento EmbedPress – Embed PDF, YouTube, Google Docs, Vimeo, Wistia Videos, Audios, Maps & Any Documents in Gutenberg & Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la URL del widget PDF en todas las versiones hasta e incluida, 3.9.10 debido a una sanitización insuficiente de las entradas y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.