Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en 389-ds-base (CVE-2022-1949)
Severidad: ALTA
Fecha de publicación: 02/06/2022
Fecha de última actualización: 13/12/2024
Una vulnerabilidad de omisión de control de acceso encontrada en 389-ds-base. Ese manejo inapropiado del filtro que daría resultados incorrectos, pero a medida que ha avanzado, puede determinarse que en realidad es una omisión de control de acceso. Esto puede permitir a cualquier usuario remoto no autenticado emitir un filtro que permita buscar elementos de la base de datos a los que no presenta acceso, incluyendo pero no limitándose a los hashes de userPassword y otros datos confidenciales
-
Vulnerabilidad en Energy Management Controller (CVE-2024-23788)
Severidad: ALTA
Fecha de publicación: 14/02/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de server-side request forgery en Energy Management Controller con servicios en la nube JH-RVB1 /JH-RV11 Ver.B0.1.9.1 y anteriores permite que un atacante no autenticado adyacente a la red envíe una solicitud HTTP (GET) arbitraria desde el producto afectado.
-
Vulnerabilidad en backupAgentCreated de ActivityManagerService.java (CVE-2023-40105)
Severidad: MEDIA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En backupAgentCreated de ActivityManagerService.java, existe una forma posible de filtrar datos confidenciales debido a una falta de verificación de permisos. Esto podría dar lugar a la divulgación de información local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en sanitizeSbn de NotificationManagerService.java (CVE-2023-40106)
Severidad: ALTA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En sanitizeSbn de NotificationManagerService.java, existe una forma posible de iniciar una actividad desde segundo plano debido a BAL Bypass. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en ARTPWriter de ARTPWriter.cpp (CVE-2023-40107)
Severidad: ALTA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En ARTPWriter de ARTPWriter.cpp, existe un posible use after free debido a datos no inicializados. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en MtpPacket.cpp (CVE-2023-40110)
Severidad: ALTA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En múltiples funciones de MtpPacket.cpp, existe una posible escritura fuera de los límites debido a un MtpPacket.cpp. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
-
Vulnerabilidad en setMediaButtonReceiver de MediaSessionRecord.java (CVE-2023-40111)
Severidad: ALTA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En setMediaButtonReceiver de MediaSessionRecord.java, existe una forma posible de enviar un intent pendiente en nombre de system_server debido a un diputado confundido. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
-
Vulnerabilidad en ippSetValueTag de ipp.c (CVE-2023-40112)
Severidad: MEDIA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En ippSetValueTag de ipp.c, existe una posible lectura fuera de los límites debido a una verificación de los límites faltantes. Esto podría dar lugar a la divulgación de información local de trabajos de impresión anteriores u otra información relacionada con la impresión, sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en Android (CVE-2023-40113)
Severidad: MEDIA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En varias ubicaciones, existe una forma posible para que las aplicaciones accedan a datos de mensajes entre usuarios debido a una falta de verificación de permiso. Esto podría dar lugar a la divulgación de información local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en MtpFfsHandle.cpp (CVE-2023-40114)
Severidad: ALTA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En múltiples funciones de MtpFfsHandle.cpp, existe una posible escritura fuera de los límites debido a un use after free. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
-
Vulnerabilidad en readLogs de StatsService.cpp (CVE-2023-40115)
Severidad: ALTA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En readLogs de StatsService.cpp, existe una posible corrupción de memoria debido a un use after free. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en Android (CVE-2023-40124)
Severidad: MEDIA
Fecha de publicación: 15/02/2024
Fecha de última actualización: 13/12/2024
En varias ubicaciones, existe una posible lectura entre usuarios debido a un agente confundido. Esto podría dar lugar a la divulgación de información local de fotografías u otras imágenes sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en startInstall de UpdateFetcher.java (CVE-2024-0014)
Severidad: ALTA
Fecha de publicación: 16/02/2024
Fecha de última actualización: 13/12/2024
En startInstall de UpdateFetcher.java, existe una forma posible de activar una actualización de configuración maliciosa debido a un error lógico. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
-
Vulnerabilidad en StorageGRID (CVE-2024-21983)
Severidad: MEDIA
Fecha de publicación: 16/02/2024
Fecha de última actualización: 13/12/2024
Las versiones de StorageGRID (anteriormente StorageGRID Webscale) anteriores a la 11.8 son susceptibles a una vulnerabilidad de denegación de servicio (DoS). La explotación exitosa por parte de un atacante autenticado podría provocar una condición de falta de memoria o el reinicio del nodo.
-
Vulnerabilidad en StorageGRID (CVE-2024-21984)
Severidad: MEDIA
Fecha de publicación: 16/02/2024
Fecha de última actualización: 13/12/2024
Las versiones de StorageGRID (anteriormente StorageGRID Webscale) anteriores a la 11.8 son susceptibles a una vulnerabilidad difícil de explotar de Cross-Site Scripting (XSS) Reflejado. Una explotación exitosa requiere que el atacante conozca información específica sobre la instancia de destino y engañe a un usuario privilegiado para que haga clic en un enlace especialmente manipulado. Esto podría permitir al atacante ver o modificar ajustes de configuración o agregar o modificar cuentas de usuario.
-
Vulnerabilidad en IBM Security Guardium Key Lifecycle Manager (CVE-2023-25922)
Severidad: MEDIA
Fecha de publicación: 28/02/2024
Fecha de última actualización: 13/12/2024
IBM Security Guardium Key Lifecycle Manager 3.0, 3.0.1, 4.0, 4.1 y 4.1.1 permite al atacante cargar o transferir archivos de tipos peligrosos que pueden procesarse automáticamente dentro del entorno del producto. ID de IBM X-Force: 247621.
-
Vulnerabilidad en IBM Security Guardium Key Lifecycle Manager (CVE-2023-25925)
Severidad: ALTA
Fecha de publicación: 28/02/2024
Fecha de última actualización: 13/12/2024
IBM Security Guardium Key Lifecycle Manager 3.0, 3.0.1, 4.0, 4.1 y 4.1.1 podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en el sistema enviando una solicitud especialmente manipulada. ID de IBM X-Force: 247632.
-
Vulnerabilidad en IBM Security Guardium Key Lifecycle Manager (CVE-2023-25921)
Severidad: ALTA
Fecha de publicación: 29/02/2024
Fecha de última actualización: 13/12/2024
IBM Security Guardium Key Lifecycle Manager 3.0, 3.0.1, 4.0, 4.1 y 4.1.1 permite al atacante cargar o transferir archivos de tipos peligrosos que pueden procesarse automáticamente dentro del entorno del producto. ID de IBM X-Force: 247620.
-
Vulnerabilidad en IBM Security Guardium Key Lifecycle Manager (CVE-2023-25926)
Severidad: MEDIA
Fecha de publicación: 29/02/2024
Fecha de última actualización: 13/12/2024
IBM Security Guardium Key Lifecycle Manager 3.0, 3.0.1, 4.0, 4.1 y 4.1.1 es vulnerable a un ataque de inyección de entidad externa XML (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. ID de IBM X-Force: 247599.
-
Vulnerabilidad en StorageGRID (CVE-2024-21988)
Severidad: MEDIA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 13/12/2024
Las versiones de StorageGRID (anteriormente StorageGRID Webscale) anteriores a 11.7.0.9 y 11.8.0.5 son susceptibles a la divulgación de información confidencial a través de ataques MiTM complejos debido a una vulnerabilidad en la implementación criptográfica SSH.
-
Vulnerabilidad en Lenovo Group Ltd. (CVE-2024-45103)
Severidad: MEDIA
Fecha de publicación: 13/09/2024
Fecha de última actualización: 13/12/2024
Es posible que un usuario LXCA válido y autenticado pueda cancelar la administración de un dispositivo administrado por LXCA a través de la interfaz web de LXCA sin privilegios suficientes.
-
Vulnerabilidad en Lenovo Group Ltd. (CVE-2024-45104)
Severidad: MEDIA
Fecha de publicación: 13/09/2024
Fecha de última actualización: 13/12/2024
Un usuario LXCA válido y autenticado sin privilegios suficientes puede usar el identificador del dispositivo para modificar un dispositivo administrado por LXCA a través de una llamada API web especialmente manipulada.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-41644)
Severidad: CRÍTICA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
La vulnerabilidad de permisos inseguros en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble permite a un atacante ejecutar código arbitrario a través del componente dyn_param_handler_.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-41645)
Severidad: CRÍTICA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de permisos inseguros en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble permite a un atacante ejecutar código arbitrario a través de un script manipulado en nav2__amcl.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-41646)
Severidad: CRÍTICA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de permisos inseguros en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble permite a un atacante ejecutar código arbitrario a través de un script manipulado para nav2_dwb_controller.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-41647)
Severidad: CRÍTICA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de permisos inseguros en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble permite a un atacante ejecutar código arbitrario a través de un script manipulado para nav2_mppi_controller.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-41648)
Severidad: CRÍTICA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de permisos inseguros en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble permite a un atacante ejecutar código arbitrario a través de un script manipulado para nav2_regulated_pure_pursuit_controller.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-41649)
Severidad: CRÍTICA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de permisos inseguros en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble permite a un atacante ejecutar código arbitrario a través de un script manipulado específicamente para executor_thread_.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-41650)
Severidad: CRÍTICA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de permisos inseguros en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble permite a un atacante ejecutar código arbitrario a través de un script manipulado en nav2_costmap_2d.
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-44853)
Severidad: ALTA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Se descubrió que Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble contenía una desreferencia de puntero NULL a través del componente calculateControl().
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-44854)
Severidad: ALTA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Se descubrió que Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble contenía una desreferencia de puntero NULL a través del componente smoothPlan().
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-44855)
Severidad: ALTA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Se descubrió que Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble contenía una desreferencia de puntero NULL a través del componente nav2_navfn_planner().
-
Vulnerabilidad en Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble (CVE-2024-44856)
Severidad: ALTA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 13/12/2024
Se descubrió que Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble contenía una desreferencia de puntero NULL a través del componente nav2_smac_planner().
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52830)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52831)
Severidad: BAJA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de validación de entrada incorrecta que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52832)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52834)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52842)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52843)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52845)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52846)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52847)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52848)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52849)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52850)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52851)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52852)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52855)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52857)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52858)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52859)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52860)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Para la explotación se requiere la interacción del usuario, ya que la víctima debe visitar un enlace malicioso o ingresar datos en una aplicación web vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52861)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52862)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52864)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52865)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52991)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52992)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-52993)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Substance3D - Modeler (CVE-2024-53006)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 1.14.1 y anteriores de Substance3D - Modeler se ven afectadas por una vulnerabilidad de desreferencia de puntero nulo que podría provocar una denegación de servicio de la aplicación. Un atacante podría aprovechar esta vulnerabilidad para bloquear la aplicación, lo que provocaría una condición de denegación de servicio. Para aprovechar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Bridge (CVE-2024-53955)
Severidad: ALTA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 14.1.3, 15.0 y anteriores de Bridge se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Premiere Pro (CVE-2024-53956)
Severidad: ALTA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 25.0, 24.6.3 y anteriores de Premiere Pro se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Substance3D - Painter (CVE-2024-53957)
Severidad: ALTA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 10.1.1 y anteriores de Substance3D - Painter se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en el montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Substance3D - Painter (CVE-2024-53958)
Severidad: ALTA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 10.1.1 y anteriores de Substance3D - Painter se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Adobe Framemaker (CVE-2024-53959)
Severidad: ALTA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 2020.7, 2022.5 y anteriores de Adobe Framemaker se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en pila que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en Adobe Experience Manager (CVE-2024-53960)
Severidad: MEDIA
Fecha de publicación: 10/12/2024
Fecha de última actualización: 13/12/2024
Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
-
Vulnerabilidad en Ivanti Security Controls (CVE-2024-10251)
Severidad: ALTA
Fecha de publicación: 11/12/2024
Fecha de última actualización: 13/12/2024
En circunstancias específicas, los permisos inseguros en Ivanti Security Controls anteriores a la versión 2024.4.1 permiten que un atacante autenticado local logre una escalada de privilegios locales.
-
Vulnerabilidad en Ivanti Workspace Control (CVE-2024-8496)
Severidad: ALTA
Fecha de publicación: 11/12/2024
Fecha de última actualización: 13/12/2024
En circunstancias específicas, los permisos inseguros en Ivanti Workspace Control anterior a la versión 10.18.40.0 permiten que un atacante autenticado local logre una escalada de privilegios locales.
-
Vulnerabilidad en Ivanti Automation (CVE-2024-9845)
Severidad: ALTA
Fecha de publicación: 11/12/2024
Fecha de última actualización: 13/12/2024
En circunstancias específicas, los permisos inseguros en Ivanti Automation anteriores a la versión 2024.4.0.1 permiten que un atacante autenticado local logre una escalada de privilegios locales.
-
Vulnerabilidad en GFI Archiver (CVE-2024-11947)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de ejecución remota de código en el servicio principal de GFI Archiver que deserializa datos no confiables. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de GFI Archiver. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del servicio principal, que escucha en el puerto TCP 8017 de manera predeterminada. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-24029.
-
Vulnerabilidad en GFI Archiver (CVE-2024-11948)
Severidad: CRÍTICA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de ejecución remota de código en la interfaz web de Telerik de GFI Archiver. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de GFI Archiver. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del instalador del producto. El problema es el resultado del uso de una versión vulnerable de la interfaz web de Telerik. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de NETWORK SERVICE. Era ZDI-CAN-24041.
-
Vulnerabilidad en GFI Archiver (CVE-2024-11949)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de ejecución remota de código en el servicio de almacenamiento de GFI Archiver por deserialización de datos no confiables. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de GFI Archiver. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del servicio de almacenamiento, que escucha en el puerto TCP 8018 de manera predeterminada. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-24331.
-
Vulnerabilidad en Google Chrome (CVE-2024-12381)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
La confusión de tipos en la versión 8 de Google Chrome anterior a la 131.0.6778.139 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: alta)
-
Vulnerabilidad en Google Chrome (CVE-2024-12382)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Use after free en Translate en Google Chrome anterior a la versión 131.0.6778.139 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
-
Vulnerabilidad en GStreamer (CVE-2024-47541)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha identificado una vulnerabilidad de escritura OOB en la función gst_ssa_parse_remove_override_codes del archivo gstssaparse.c. Esta función es responsable de analizar y eliminar los códigos de anulación de estilo SSA (SubStation Alpha), que están encerrados entre llaves ({}). El problema surge cuando aparece una llave de cierre "}" antes de una llave de apertura "{" en la cadena de entrada. En este caso, memmove() duplica incorrectamente una subcadena. Con cada iteración sucesiva del bucle, el tamaño pasado a memmove() se vuelve progresivamente más grande (strlen(end+1)), lo que lleva a una escritura más allá de los límites de memoria asignados. Esta vulnerabilidad se corrigió en 1.24.10.
-
Vulnerabilidad en GStreamer (CVE-2024-47542)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
GStreamer es una librería para construir gráficos de componentes de manejo de medios. Se ha descubierto una desreferencia de puntero nulo en la función id3v2_read_synch_uint, ubicada en id3v2.c. Si se llama a id3v2_read_synch_uint con un work->hdr.frame_data nulo, se accede al puntero guint8 *data sin validación, lo que da como resultado una desreferencia de puntero nulo. Esta vulnerabilidad puede resultar en una denegación de servicio (DoS) al activar un error de segmentación (SEGV). Esta vulnerabilidad se corrigió en 1.24.10.
-
Vulnerabilidad en Windows Common Log File System Driver (CVE-2024-49138)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Vulnerabilidad de elevación de privilegios en Windows Common Log File System Driver
-
Vulnerabilidad en Apple OS (CVE-2024-44200)
Severidad: BAJA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Este problema se solucionó con una mejor redacción de información confidencial. Este problema se solucionó en iOS 18.1 y iPadOS 18.1. Es posible que una aplicación pueda leer información confidencial de ubicación.
-
Vulnerabilidad en Apple OS (CVE-2024-44201)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en iPadOS 17.7.3, macOS Ventura 13.7.2, iOS 18.1 y iPadOS 18.1, macOS Sonoma 14.7.2. El procesamiento de un archivo manipulado con fines malintencionados puede provocar una denegación de servicio.
-
Vulnerabilidad en Apple OS (CVE-2024-44212)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de administración de cookies mejorando la administración del estado. Este problema se solucionó en Safari 18.1, visionOS 2.1, tvOS 18.1, iOS 18.1 y iPadOS 18.1, watchOS 11.1. Las cookies que pertenecen a un origen pueden enviarse a otro origen.
-
Vulnerabilidad en Apple OS (CVE-2024-44248)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Este problema se solucionó mediante una mejor gestión de estados. Este problema se solucionó en macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Un usuario con acceso para compartir pantalla puede ver la pantalla de otro usuario.
-
Vulnerabilidad en Apple OS (CVE-2024-44290)
Severidad: BAJA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Este problema se solucionó con una redacción mejorada de información confidencial. Este problema se solucionó en iOS 18.1 y iPadOS 18.1, watchOS 11.1. Es posible que una aplicación pueda determinar la ubicación actual de un usuario.
-
Vulnerabilidad en Apple OS (CVE-2024-44291)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de lógica mejorando el manejo de archivos. Este problema se solucionó en macOS Sequoia 15.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Una aplicación maliciosa podría obtener privilegios de root.
-
Vulnerabilidad en Apple OS (CVE-2024-44299)
Severidad: CRÍTICA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó con comprobaciones de los límites mejoradas. Este problema se solucionó en iOS 18.1 y iPadOS 18.1. Un atacante podría provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el firmware DCP.
-
Vulnerabilidad en Apple OS (CVE-2024-44300)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de lógica mejorando el manejo de archivos. Este problema se solucionó en macOS Sequoia 15.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Es posible que una aplicación pueda acceder a datos de usuario protegidos.
-
Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54465)
Severidad: CRÍTICA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de lógica mejorando la gestión de estados. Este problema se solucionó en macOS Sequoia 15.2. Es posible que una aplicación pueda elevar privilegios.
-
Vulnerabilidad en Apple OS (CVE-2024-54474)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en macOS Sequoia 15.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
-
Vulnerabilidad en Apple OS (CVE-2024-54477)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en macOS Sequoia 15.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
-
Vulnerabilidad en Apple OS (CVE-2024-54479)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en iPadOS 17.7.3, watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2. El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado del proceso.
-
Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54484)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se resolvió al depurar el registro. Este problema se solucionó en macOS Sequoia 15.2. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
-
Vulnerabilidad en Apple OS (CVE-2024-54485)
Severidad: BAJA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó agregando lógica adicional. Este problema se solucionó en iPadOS 17.7.3, iOS 18.2 y iPadOS 18.2. Un atacante con acceso físico a un dispositivo iOS podría ver el contenido de las notificaciones desde la pantalla de bloqueo.
-
Vulnerabilidad en Apple OS (CVE-2024-54486)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en iPadOS 17.7.3, watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2. El procesamiento de una fuente manipulada con fines malintencionados puede provocar la divulgación de la memoria del proceso.
-
Vulnerabilidad en Apple OS (CVE-2024-54489)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de manejo de rutas con una validación mejorada. Este problema se solucionó en macOS Sequoia 15.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. La ejecución de un comando mount puede ejecutar código arbitrario de forma inesperada.
-
Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54493)
Severidad: BAJA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Este problema se solucionó mediante una mejor gestión de estados. Este problema se solucionó en macOS Sequoia 15.2. Los indicadores de privacidad para el acceso al micrófono pueden atribuirse de forma incorrecta.
-
Vulnerabilidad en Apple OS (CVE-2024-54494)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó una condición de ejecución con una validación adicional. Este problema se solucionó en iPadOS 17.7.3, watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2. Un atacante podría crear una asignación de memoria de solo lectura en la que se pueda escribir.
-
Vulnerabilidad en Apple OS (CVE-2024-54498)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de manejo de rutas con una validación mejorada. Este problema se solucionó en macOS Sequoia 15.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Es posible que una aplicación pueda salir de su entorno limitado.
-
Vulnerabilidad en Apple OS (CVE-2024-54500)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en iPadOS 17.7.3, watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2. El procesamiento de una imagen manipulada con fines malintencionados puede provocar la divulgación de la memoria del proceso.
-
Vulnerabilidad en Apple OS (CVE-2024-54503)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de interfaz de usuario inconsistente con una mejor gestión de estados. Este problema se solucionó en iOS 18.2 y iPadOS 18.2. Silenciar una llamada mientras suena puede no resultar en la habilitación del silencio.
-
Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54504)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro. Este problema se solucionó en macOS Sequoia 15.2. Una aplicación puede tener acceso a datos confidenciales del usuario.
-
Vulnerabilidad en Apple OS (CVE-2024-54505)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de confusión de tipos mejorando el manejo de la memoria. Este problema se solucionó en iPadOS 17.7.3, watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2. El procesamiento de contenido web manipulado con fines malintencionados puede provocar daños en la memoria.
-
Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54506)
Severidad: CRÍTICA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de acceso fuera de los límites con una comprobación de límites mejorada. Este problema se solucionó en macOS Sequoia 15.2. Un atacante podría provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el firmware DCP.
-
Vulnerabilidad en Apple OS (CVE-2024-54508)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2. El procesamiento de contenido web creado con fines malintencionados puede provocar un bloqueo inesperado del proceso.
-
Vulnerabilidad en Apple OS (CVE-2024-54510)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó una condición de ejecución mejorando el bloqueo. Este problema se solucionó en iPadOS 17.7.3, watchOS 11.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2. Es posible que una aplicación filtre información confidencial sobre el estado del kernel.
-
Vulnerabilidad en Apple OS (CVE-2024-54513)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
-
Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54515)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de lógica con restricciones mejoradas. Este problema se solucionó en macOS Sequoia 15.2. Una aplicación maliciosa podría obtener privilegios de root.
-
Vulnerabilidad en Apple OS (CVE-2024-54526)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en watchOS 11.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Una aplicación maliciosa podría tener acceso a información privada.
-
Vulnerabilidad en Apple OS (CVE-2024-54527)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Este problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en watchOS 11.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
-
Vulnerabilidad en Apple OS (CVE-2024-54528)
Severidad: ALTA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
Se solucionó un problema de lógica con restricciones mejoradas. Este problema se solucionó en macOS Sequoia 15.2, macOS Ventura 13.7.2 y macOS Sonoma 14.7.2. Es posible que una aplicación pueda sobrescribir archivos arbitrarios.
-
Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54531)
Severidad: MEDIA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en macOS Sequoia 15.2. Es posible que una aplicación pueda omitir kASLR.
-
Vulnerabilidad en Apple OS (CVE-2024-54534)
Severidad: CRÍTICA
Fecha de publicación: 12/12/2024
Fecha de última actualización: 13/12/2024
El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2. El procesamiento de contenido web creado con fines malintencionados puede provocar daños en la memoria.