Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en WordPress (CVE-2015-9324)
Severidad: CRÍTICA
Fecha de publicación: 16/08/2019
Fecha de última actualización: 07/02/2025
El plugin easy-digital-downloads versiones anteriores a 2.3.3 para WordPress, presenta una inyección SQL.
Vulnerabilidad en el parámetro add_query_arg en el componente principal de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9505)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
El componente principal de Easy Digital Downloads (EDD) versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7 para WordPress, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión de Amazon S3 de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9506)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión de Amazon S3 de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Attach Accounts to Orders de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9507)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Attach Accounts to Orders de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Commissions de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9508)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Commissions de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Content Restriction de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9509)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Content Restriction de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Cross-sell Upsell de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9510)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Cross-sell Upsell de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Conditional Success Redirects de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9511)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Conditional Success Redirects de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión CSV Manager de Easy Digital Downloads (EDD) (CVE-2015-9512)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión CSV Manager de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Favorites de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9513)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Favorites de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Free Downloads de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9514)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Free Downloads de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión htaccess Editor de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9515)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión htaccess Editor de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Invoices de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9516)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Invoices de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Manual Purchases de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9517)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Manual Purchases de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión PDF Invoices de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9518)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión PDF Invoices de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión PDF Stamper de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9519)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión PDF Stamper de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Per Product Emails de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9520)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Per Product Emails de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Pushover Notifications de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9521)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Pushover Notifications de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión QR Code de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9522)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión QR Code de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Recommended Products de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9523)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Recommended Products de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Recount Earnings de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9524)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Recount Earnings de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Recurring Payments de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9525)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Recurring Payments de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Reviews de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9526)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Reviews de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Simple Shipping de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9527)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Simple Shipping de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Software Licensing de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9528)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Software Licensing de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Stripe de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9529)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Stripe de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Upload File de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9530)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Upload File de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Wish Lists de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9531)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
La extensión Wish Lists de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Digital Store de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9532)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
El tema Digital Store de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Lattice de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9533)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
El tema Lattice de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Quota de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9534)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
El tema Quota de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Shoppette de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9535)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
El tema Shoppette de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD 1.8.x anteriores a 1.8.7, 1.9.x antes 1.9.10, 2.0.x antes 2.0.5, 2.1.x antes 2.1.11, 2.2. x anteriores a 2.2.9, y 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Twenty-Twelve de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9536)
Severidad: MEDIA
Fecha de publicación: 23/10/2019
Fecha de última actualización: 07/02/2025
El tema Twenty-Twelve de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en El plugin easy-digital-downloads (CVE-2019-15116)
Severidad: MEDIA
Fecha de publicación: 16/08/2019
Fecha de última actualización: 07/02/2025
El plugin easy-digital-downloads versiones anteriores a 2.9.16 para WordPress, presenta una vulnerabilidad de tipo XSS relacionada con el registro de direcciones IP.
Vulnerabilidad en El plugin Event Tickets (CVE-2019-16120)
Severidad: ALTA
Fecha de publicación: 08/09/2019
Fecha de última actualización: 07/02/2025
La inyección de CSV en el plugin de tickets de evento (Event TIckets) antes de 4.10.7.2 para WordPress existe a través de la función Exportar asistentes "Todas las publicaciones> Entradas con tickets> Asistentes".
Vulnerabilidad en el nombre del archivo descargable en los registros en el plugin Easy Digital Downloads de WordPress (CVE-2022-0706)
Severidad: MEDIA
Fecha de publicación: 18/04/2022
Fecha de última actualización: 07/02/2025
El plugin Easy Digital Downloads de WordPress versiones anteriores a 2.11.6 no sanea ni escapa del nombre del archivo descargable en los registros, lo que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting cuando la capacidad unfiltered_html no está permitida
Vulnerabilidad en el plugin Easy Digital Downloads de WordPress (CVE-2022-0707)
Severidad: MEDIA
Fecha de publicación: 18/04/2022
Fecha de última actualización: 07/02/2025
El plugin Easy Digital Downloads de WordPress versiones anteriores a 2.11.6, no presenta comprobación de tipo CSRF cuando son insertadas notas de pago, lo que podría permitir a atacantes hacer que un administrador registrado inserte notas arbitrarias por medio de un ataque de tipo CSRF
Vulnerabilidad en WordPress (CVE-2022-2387)
Severidad: MEDIA
Fecha de publicación: 07/11/2022
Fecha de última actualización: 07/02/2025
El complemento de WordPress Easy Digital Downloads anterior a 3.0 no cuenta con verificación CSRF al eliminar el historial de pagos y no garantiza que la publicación que se eliminará sea en realidad un historial de pagos. Como resultado, los atacantes podrían hacer que un administrador que haya iniciado sesión elimine una publicación arbitraria mediante un ataque CSRF.
Vulnerabilidad en WordPress (CVE-2022-3600)
Severidad: CRÍTICA
Fecha de publicación: 21/11/2022
Fecha de última actualización: 07/02/2025
El complemento de WordPress Easy Digital Downloads anterior a 3.1.0.2 no valida los datos cuando se generan en un archivo CSV, lo que podría provocar una inyección de CSV.
Vulnerabilidad en el plugin Easy Digital Downloads en WordPress (CVE-2022-33900)
Severidad: MEDIA
Fecha de publicación: 22/08/2022
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de inyección de objetos en PHP en el plugin Easy Digital Downloads versiones anteriores a 3.0.1 incluyéndola, en WordPress.
Vulnerabilidad en los parámetros $start_date y $end_date en el archivo ~/includes/admin/payments/class-payments-table.php en el plugin Easy Digital Downloads de WordPress (CVE-2021-39354)
Severidad: MEDIA
Fecha de publicación: 21/10/2021
Fecha de última actualización: 07/02/2025
El plugin Easy Digital Downloads de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Reflejado por medio de los parámetros $start_date y $end_date encontrados en el archivo ~/includes/admin/payments/class-payments-table.php que permite a atacantes inyectar scripts web arbitrarios, en versiones hasta la 2.11.2 incluyéndola
Vulnerabilidad en Easy Digital Downloads Easy Digital Downloads – Sell Digital Files (eCommerce Store & Payments Made Easy) (CVE-2023-51684)
Severidad: MEDIA
Fecha de publicación: 01/02/2024
Fecha de última actualización: 07/02/2025
La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('Cross-site Scripting') en Easy Digital Downloads Easy Digital Downloads – Sell Digital Files (eCommerce Store & Payments Made Easy) permite XSS almacenado. Este problema afecta a Easy Digital Downloads – Sell Digital Files (eCommerce Store & Payments Made Easy): desde n/a hasta 3.2.5.
Vulnerabilidad en Easy Digital Downloads – Sell Digital Files (eCommerce Store & Payments Made Easy) para WordPress (CVE-2024-0659)
Severidad: MEDIA
Fecha de publicación: 05/02/2024
Fecha de última actualización: 07/02/2025
El complemento Easy Digital Downloads – Sell Digital Files (eCommerce Store & Payments Made Easy) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del título de la opción de precio variable en todas las versiones hasta la 3.2.6 incluida, debido a una sanitización de entrada insuficiente y la salida se escapa. Esto hace posible que atacantes autenticados, con acceso a nivel de administrador de tienda, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en Themify Themify Builder (CVE-2024-24872)
Severidad: MEDIA
Fecha de publicación: 21/02/2024
Fecha de última actualización: 07/02/2025
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Themify Themify Builder. Este problema afecta a Themify Builder: desde n/a hasta 7.0.5.
Vulnerabilidad en PDF Invoices and Packing Slips For WooCommerce para WordPress (CVE-2024-1773)
Severidad: ALTA
Fecha de publicación: 07/03/2024
Fecha de última actualización: 07/02/2025
El complemento PDF Invoices and Packing Slips For WooCommerce para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 1.3.7 incluida a través de la deserialización de entradas que no son de confianza a través del parámetro order_id. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, inyecten un objeto PHP. No hay ninguna cadena POP conocida presente en el complemento vulnerable. Si hay una cadena POP presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.
Vulnerabilidad en User Shortcodes Plus para WordPress (CVE-2023-6969)
Severidad: MEDIA
Fecha de publicación: 13/03/2024
Fecha de última actualización: 07/02/2025
El complemento User Shortcodes Plus para WordPress es vulnerable a Insecure Direct Object Reference en todas las versiones hasta la 2.0.2 incluida a través del shortcode user_meta debido a la falta de validación en una clave controlada por el usuario. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, recuperen metadatos de usuario potencialmente confidenciales.
Vulnerabilidad en Duitku Payment Gateway para WordPress (CVE-2024-0631)
Severidad: MEDIA
Fecha de publicación: 13/03/2024
Fecha de última actualización: 07/02/2025
El complemento Duitku Payment Gateway para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función check_duitku_response en todas las versiones hasta la 2.11.4 incluida. Esto hace posible que atacantes no autenticados cambien el estado de pago de los pedidos a fallido.
Vulnerabilidad en WisdmLabs Edwiser Bridgede WordPress (CVE-2024-31260)
Severidad: ALTA
Fecha de publicación: 07/04/2024
Fecha de última actualización: 07/02/2025
Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en WisdmLabs Edwiser Bridge. Este problema afecta a Edwiser Bridge: desde n/a hasta 3.0.2.
Vulnerabilidad en Bitdefender (CVE-2024-2223)
Severidad: ALTA
Fecha de publicación: 09/04/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de expresión regular incorrecta en Bitdefender GravityZone Update Server permite a un atacante provocar Server Side Request Forgery y reconfigurar el relé. Este problema afecta a los siguientes productos que incluyen el componente vulnerable: Bitdefender Endpoint Security para Linux versión 7.0.5.200089 Bitdefender Endpoint Security para Windows versión 7.9.9.380 GravityZone Control Center (On Premises) versión 6.36.1
Vulnerabilidad en Bitdefender (CVE-2024-2224)
Severidad: ALTA
Fecha de publicación: 09/04/2024
Fecha de última actualización: 07/02/2025
La vulnerabilidad de limitación inadecuada de un nombre de ruta a un directorio restringido ("Path Traversal") en el componente UpdateServer de Bitdefender GravityZone permite a un atacante ejecutar código arbitrario en instancias vulnerables. Este problema afecta a los siguientes productos que incluyen el componente vulnerable: Bitdefender Endpoint Security para Linux versión 7.0.5.200089 Bitdefender Endpoint Security para Windows versión 7.9.9.380 GravityZone Control Center (On Premises) versión 6.36.1
Vulnerabilidad en Media Library Assistant para WordPress (CVE-2024-2871)
Severidad: MEDIA
Fecha de publicación: 09/04/2024
Fecha de última actualización: 07/02/2025
El complemento Media Library Assistant para WordPress es vulnerable a la inyección SQL a través de los códigos cortos del complemento en todas las versiones hasta la 3.13 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2024-30380)
Severidad: ALTA
Fecha de publicación: 16/04/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de manejo inadecuado de condiciones excepcionales en Juniper Networks Junos OS y Junos OS Evolved permite que un atacante adyacente no autenticado provoque una denegación de servicio (DoS), lo que provoca que el proceso l2cpd se bloquee al enviar un TLV específico. El proceso l2cpd es responsable de los protocolos de control de capa 2, como STP, RSTP, MSTP, VSTP, ERP y LLDP. El impacto del fallo de l2cpd es la reinicialización de los protocolos STP (RSTP, MSTP o VSTP) y MVRP y ERP, lo que lleva a una denegación de servicio. La recepción y procesamiento continuo de este TLV específico creará una condición sostenida de Denegación de Servicio (DoS). Este problema afecta a: Junos OS: todas las versiones anteriores a 20.4R3-S9, desde 21.2 anteriores a 21.2R3-S7, desde 21.3 anteriores a 21.3R3-S5, desde 21.4 anteriores a 21.4R3-S4, desde 22.1 anteriores a 22.1R3-S4, desde 22.2 anteriores 22.2R3-S2, de 22.3 antes de 22.3R2-S2, 22.3R3-S1, de 22.4 antes de 22.4R2-S2, 22.4R3, de 23.2 antes de 23.2R1-S1, 23.2R2; Junos OS Evolved: todas las versiones anteriores a 21.2R3-S7, desde 21.3 anteriores a 21.3R3-S5-EVO, desde 21.4 anteriores a 21.4R3-S5-EVO, desde 22.1 anteriores a 22.1R3-S4-EVO, desde 22.2 anteriores a 22.2R3-S2- EVO, del 22.3 anterior a 22.3R2-S2-EVO, 22.3R3-S1-EVO, del 22.4 anterior a 22.4R2-S2-EVO, 22.4R3-EVO, del 23.2 anterior a 23.2R1-S1-EVO, 23.2R2-EVO.
Vulnerabilidad en Samsung Mobile (CVE-2024-20855)
Severidad: BAJA
Fecha de publicación: 07/05/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de control de acceso inadecuado en el framework multitarea anterior a SMR, versión 1 de mayo de 2024, permite a atacantes físicos acceder a la pantalla desbloqueada por un tiempo.
Vulnerabilidad en Samsung (CVE-2024-20856)
Severidad: MEDIA
Fecha de publicación: 07/05/2024
Fecha de última actualización: 07/02/2025
Vulnerabilidad de autenticación incorrecta en Secure Folder anterior a SMR, versión 1 de mayo de 2024, permite a atacantes físicos acceder a Secure Folder sin la autenticación adecuada en un escenario específico.
Vulnerabilidad en Samsung (CVE-2024-20860)
Severidad: MEDIA
Fecha de publicación: 07/05/2024
Fecha de última actualización: 07/02/2025
La exportación incorrecta de la vulnerabilidad de los componentes de la aplicación de Android en TelephonyUI antes de la versión 1 de mayo de 2024 de SMR permite a los atacantes locales reiniciar el dispositivo sin el permiso adecuado.
Vulnerabilidad en Samsung (CVE-2024-20864)
Severidad: MEDIA
Fecha de publicación: 07/05/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de control de acceso inadecuado en DarManagerService anterior a SMR de mayo de 2024, versión 1, permite a atacantes locales monitorear los recursos del sistema.
Vulnerabilidad en The YouTube Video Gallery by YouTube Showcase – Video Gallery complemento para WordPress (CVE-2024-3268)
Severidad: MEDIA
Fecha de publicación: 21/05/2024
Fecha de última actualización: 07/02/2025
The YouTube Video Gallery by YouTube Showcase – Video Gallery complemento para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función emd_form_builder_lite_submit_form en todas las versiones hasta la 3.3.6 incluida. Esto hace posible que atacantes no autenticados creen publicaciones o páginas arbitrarias.
Vulnerabilidad en Media Library Assistant para WordPress (CVE-2024-3518)
Severidad: ALTA
Fecha de publicación: 22/05/2024
Fecha de última actualización: 07/02/2025
El complemento Media Library Assistant para WordPress es vulnerable a la inyección SQL a través de los códigos cortos del complemento en todas las versiones hasta la 3.15 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Vulnerabilidad en JetBrains TeamCity (CVE-2024-36371)
Severidad: MEDIA
Fecha de publicación: 29/05/2024
Fecha de última actualización: 07/02/2025
En JetBrains TeamCity antes de 2023.05.5, era posible XSS almacenado en 2023.11.5 en el estado de confirmación del editor
Vulnerabilidad en JetBrains TeamCity (CVE-2024-36470)
Severidad: ALTA
Fecha de publicación: 29/05/2024
Fecha de última actualización: 07/02/2025
En JetBrains TeamCity antes de 2022.04.6, 2022.10.5, 2023.05.5, 2023.11.5 la omisión de autenticación era posible en casos extremos específicos
Vulnerabilidad en wpForo Forum para WordPress (CVE-2024-3200)
Severidad: CRÍTICA
Fecha de publicación: 01/06/2024
Fecha de última actualización: 07/02/2025
El complemento wpForo Forum para WordPress es vulnerable a la inyección SQL a través del atributo 'slug' del shortcode 'wpforo' en todas las versiones hasta la 2.3.3 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Vulnerabilidad en WooCommerce - Social Login para WordPress (CVE-2024-5868)
Severidad: MEDIA
Fecha de publicación: 15/06/2024
Fecha de última actualización: 07/02/2025
El complemento WooCommerce - Social Login para WordPress es vulnerable a la verificación de correo electrónico en todas las versiones hasta la 2.6.2 incluida mediante el uso de un código de activación insuficientemente aleatorio. Esto hace posible que atacantes no autenticados omitan la verificación por correo electrónico.
Vulnerabilidad en WooCommerce - Social Login para WordPress (CVE-2024-5871)
Severidad: CRÍTICA
Fecha de publicación: 15/06/2024
Fecha de última actualización: 07/02/2025
El complemento WooCommerce - Social Login para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 2.6.2 incluida a través de la deserialización de entradas no confiables del parámetro vulnerable 'woo_slg_verify'. Esto hace posible que atacantes no autenticados inyecten un objeto PHP. No hay ninguna cadena POP conocida presente en el software vulnerable. Si hay una cadena POP presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.
Vulnerabilidad en Juniper Networks Junos OS (CVE-2024-39511)
Severidad: MEDIA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de validación de entrada incorrecta en el demonio de autenticación 802.1X (dot1x) de Juniper Networks Junos OS permite que un atacante local con pocos privilegios y acceso a la CLI provoque una denegación de servicio (DoS). Al ejecutar un comando operativo dot1x específico, el demonio dot1x falla. Un atacante puede provocar una condición DoS sostenida ejecutando este comando repetidamente. Cuando se produce el fallo, el estado de autenticación de cualquier cliente 802.1x se borra y cualquier puerto dot1x autorizado queda no autorizado. El cliente no puede volver a autenticarse hasta que se reinicie el demonio dot1x. Este problema afecta a Junos OS: * Todas las versiones anteriores a 20.4R3-S10; * Versiones 21.2 anteriores a 21.2R3-S7; * Versiones 21.4 anteriores a 21.4R3-S6; * Versiones 22.1 anteriores a 22.1R3-S5; * Versiones 22.2 anteriores a 22.2R3-S3; * Versiones 22.3 anteriores a 22.3R3-S2; * Versiones 22.4 anteriores a 22.4R3-S1; * Versiones 23.2 anteriores a 23.2R2.
Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-39512)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de control de acceso físico inadecuado en el control del puerto de consola de Juniper Networks Junos OS Evolved permite que un atacante con acceso físico al dispositivo obtenga acceso a una cuenta de usuario. Cuando se desconecta el cable de la consola, el usuario que inició sesión no cierra la sesión. Esto permite que un atacante malintencionado con acceso físico a la consola reanude una sesión anterior y posiblemente obtenga privilegios administrativos. Este problema afecta a Junos OS Evolved: * desde 23.2R2-EVO antes de 23.2R2-S1-EVO, * desde 23.4R1-EVO antes de 23.4R2-EVO.
Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-39513)
Severidad: MEDIA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de validación de entrada incorrecta en el Packet Forwarding Engine (PFE) de Juniper Networks Junos OS Evolved permite que un atacante local con pocos privilegios provoque una denegación de servicio (DoS). Cuando se ejecuta un comando "clear" específico, el administrador del kit de herramientas de reenvío avanzado (evo-aftmand-bt o evo-aftmand-zx) falla y se reinicia. El bloqueo afecta a todo el tráfico que pasa por los FPC y provoca un DoS. La ejecución repetida del comando conduce a una condición DoS sostenida. Este problema afecta a Junos OS Evolved: * Todas las versiones anteriores a 20.4R3-S9-EVO, * desde 21.2-EVO anteriores a 21.2R3-S7-EVO, * desde 21.3-EVO anteriores a 21.3R3-S5-EVO, * desde 21.4-EVO anteriores 21.4R3-S6-EVO, * de 22.1-EVO antes de 22.1R3-S4-EVO, * de 22.2-EVO antes de 22.2R3-S3-EVO, * de 22.3-EVO antes de 22.3R3-S3-EVO, * de 22.4- EVO anterior a 22.4R3-EVO, * desde 23.2-EVO anterior a 23.2R2-EVO.
Vulnerabilidad en Juniper Networks Junos y Junos OS Evolved (CVE-2024-39514)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de verificación o manejo inadecuado de condiciones excepcionales en el demonio de protocolo de enrutamiento (rpd) de Juniper Networks Junos y Junos OS Evolved permite que un atacante adyacente no autenticado provoque una denegación de servicio (DoS). Un atacante puede enviar tráfico específico al dispositivo, lo que provoca que el rpd falle y se reinicie. La recepción continua de este tráfico dará como resultado una condición DoS sostenida. Este problema solo afecta a los dispositivos con una instancia EVPN-VPWS con IGMP-snooping habilitado. Este problema afecta a Junos OS: * Todas las versiones anteriores a 20.4R3-S10, * desde 21.4 anterior a 21.4R3-S6, * desde 22.1 anterior a 22.1R3-S5, * desde 22.2 anterior a 22.2R3-S3, * desde 22.3 anterior a 22.3R3-S2 , * de 22.4 antes de 22.4R3, * de 23.2 antes de 23.2R2; Junos OS Evolved: * Todas las versiones anteriores a 20.4R3-S10-EVO, * desde 21.4-EVO antes de 21.4R3-S6-EVO, * desde 22.1-EVO antes de 22.1R3-S5-EVO, * desde 22.2-EVO antes de 22.2R3- S3-EVO, * desde 22.3-EVO antes de 22.3R3-S2-EVO, * desde 22.4-EVO antes de 22.4R3-EVO, * desde 23.2-EVO antes de 23.2R2-EVO.
Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2024-39517)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de comprobación inadecuada de las condiciones inusuales o excepcionales en el daemon de aprendizaje de direcciones de capa 2 (l2ald) en Juniper Networks Junos OS y Junos OS Evolved permite que un atacante adyacente no autenticado provoque una denegación de servicio (DoS). En un escenario EVPN/VXLAN, cuando el dispositivo procesa una gran cantidad de paquetes específicos de Capa 2, puede provocar que el daemon de protocolo de enrutamiento (rpd) utilice todos los recursos de la CPU, lo que provoca que el dispositivo se cuelgue. Es necesario reiniciar manualmente el rpd para restaurar los servicios. Este problema afecta tanto a las implementaciones de IPv4 como a las de IPv6. Este problema afecta a Junos OS: todas las versiones anteriores a 21.4R3-S7; Versiones 22.1 anteriores a 22.1R3-S5; Versiones 22.2 anteriores a 22.2R3-S3; Versiones 22.3 anteriores a 22.3R3-S3; Versiones 22.4 anteriores a 22.4R3-S2; Versiones 23.2 anteriores a 23.2R2; Versiones 23.4 anteriores a 23.4R1-S1. Junos OS Evolved: todas las versiones anteriores a 21.4R3-S7-EVO; Versiones 22.1-EVO anteriores a 22.1R3-S5-EVO; Versiones 22.2-EVO anteriores a 22.2R3-S3-EVO; Versiones 22.3-EVO anteriores a 22.3R3-S3-EVO; Versiones 22.4-EVO anteriores a 22.4R3-S2-EVO; Versiones 23.2-EVO anteriores a 23.2R2-EVO; Versiones 23.4-EVO anteriores a 23.4R1-S1-EVO, 23.4R2-EVO.
Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2024-39555)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de manejo inadecuado de condiciones excepcionales en el daemon de protocolo de enrutamiento (RPD) de Juniper Networks Junos OS y Junos OS Evolved permite que un atacante envíe un mensaje específico de actualización de BGP con formato incorrecto para provocar que la sesión se reinicie, lo que resulta en una denegación de servicio (DoS). La recepción y el procesamiento continuos de estos mensajes de actualización de BGP con formato incorrecto crearán una condición sostenida de denegación de servicio (DoS). Al recibir un mensaje de actualización de BGP a través de una sesión BGP establecida que contiene un atributo de encapsulación de túnel específicamente mal formado, cuando el enrutamiento de segmento está habilitado, el procesamiento interno de los atributos mal formados dentro de la actualización da como resultado un análisis inadecuado de los atributos restantes, lo que lleva al restablecimiento de la sesión: BGP SEND Código de notificación 3 (Error de mensaje de actualización) subcódigo 1 (lista de atributos no válidos) Solo los sistemas con enrutamiento de segmentos habilitado son vulnerables a este problema. Este problema afecta a eBGP e iBGP, tanto en implementaciones IPv4 como IPv6, y requiere que un atacante remoto tenga al menos una sesión BGP establecida. Este problema afecta a: Junos OS: * Todas las versiones anteriores a 21.4R3-8, * desde 22.2 anterior a 22.2R3-S4, * desde 22.3 anterior a 22.3R3-S3, * desde 22.4 anterior a 22.4R3-S3, * desde 23.2 anterior a 23.2R2- S1, * de 23.4 antes de 23.4R1-S2, 23.4R2. Junos OS Evolved: * Todas las versiones anteriores a 21.4R3-S8-EVO, * desde 22.2-EVO antes de 22.2R3-S4-EVO, * desde 22.3-EVO antes de 22.3R3-S3-EVO, * desde 22.4-EVO antes de 22.4R3- S3-EVO, *de 23.2-EVO antes de 23.2R2-S1-EVO, *de 23.4-EVO antes de 23.4R1-S2-EVO, 23.4R2-EVO.
Vulnerabilidad en Juniper Networks Junos OS y Juniper Networks Junos OS Evolved (CVE-2024-39556)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de desbordamiento de búfer basado en pila en Juniper Networks Junos OS y Juniper Networks Junos OS Evolved puede permitir que un atacante local con pocos privilegios y acceso a la CLI tenga la capacidad de cargar un archivo de certificado malicioso, lo que lleva a una denegación de servicio (DoS) limitada. ) o ejecución de código privilegiado. Al explotar el comando 'set security certificates' con un archivo de certificado manipulado, un atacante malintencionado con acceso a la CLI podría provocar un fallo del daemon de administración de comandos (mgd), limitado al intérprete de comandos del usuario local, o potencialmente desencadenar un desbordamiento de búfer en la región stack de la memoria. Este problema afecta a: Junos OS: * Todas las versiones anteriores a 21.4R3-S7, * desde 22.1 anterior a 22.1R3-S6, * desde 22.2 anterior a 22.2R3-S4, * desde 22.3 anterior a 22.3R3-S3, * desde 22.4 anterior a 22.4R3- S2, * de 23.2 antes de 23.2R2, * de 23.4 antes de 23.4R1-S1, 23.4R2; Junos OS Evolved: * Todas las versiones anteriores a 21.4R3-S7-EVO, * desde 22.1-EVO antes de 22.1R3-S6-EVO, * desde 22.2-EVO antes de 22.2R3-S4-EVO, * desde 22.3-EVO antes de 22.3R3- S3-EVO, * desde 22.4-EVO antes de 22.4R3-S2-EVO, * desde 23.2-EVO antes de 23.2R2-EVO, * desde 23.4-EVO antes de 23.4R1-S1-EVO, 23.4R2-EVO.
Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-39557)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de consumo de recursos no controlado en el daemon de aprendizaje de direcciones de capa 2 (l2ald) de Juniper Networks Junos OS Evolved permite que un atacante adyacente no autenticado provoque una pérdida de memoria, lo que eventualmente agota toda la memoria del sistema, lo que provoca un fallo del sistema y denegación de servicio (DoS). ). Ciertas actualizaciones de la tabla MAC provocan la pérdida de una pequeña cantidad de memoria. Una vez que la utilización de la memoria alcance su límite, el problema provocará un bloqueo del sistema y un reinicio. Para identificar el problema, ejecute el comando CLI: usuario@dispositivo> show platform application-info asignaciones app l2ald-agent EVL Estadísticas de asignación de objetos: Nodo Aplicación Contexto Nombre Live Allocs falla Guías re0 l2ald-agent net::juniper::rtnh:: L2Rtinfo 1069096 1069302 0 1069302 re0 l2ald-agent net::juniper::rtnh::NHOpaqueTlv 114 195 0 195 Este problema afecta a Junos OS Evolved: * Todas las versiones anteriores a 21.4R3-S8-EVO, * desde 22.2-EVO anteriores a 22.2R3- S4-EVO, * desde 22.3-EVO antes de 22.3R3-S3-EVO, * desde 22.4-EVO antes de 22.4R3-EVO, * desde 23.2-EVO antes de 23.2R2-EVO.
Vulnerabilidad en Juniper Networks Junos OS y Juniper Networks Junos OS Evolved (CVE-2024-39558)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de valor de retorno no verificado en el daemon de protocolo de enrutamiento (rpd) en Juniper Networks Junos OS y Juniper Networks Junos OS Evolved permite que un atacante lógicamente adyacente y no autenticado envíe un paquete PIM específico para provocar que rpd se bloquee y se reinicie, lo que resulta en una denegación de servicio. (DoS), cuando PIM está configurado con Fast Reroute de solo multidifusión (MoFRR). La recepción y procesamiento continuo de este paquete puede crear una condición sostenida de Denegación de Servicio (DoS). Este problema se observa en las plataformas Junos y Junos Evolved donde PIM está configurado junto con MoFRR. MoFRR intenta seleccionar la ruta activa, pero debido a un problema de sincronización interna, rpd no puede seleccionar el siguiente salto de reenvío hacia la fuente, lo que provoca un fallo de rpd. Este problema afecta a: Junos OS: * Todas las versiones anteriores a 20.4R3-S10, * desde 21.2 anterior a 21.2R3-S7, * desde 21.4 anterior a 21.4R3-S6, * desde 22.1 anterior a 22.1R3-S5, * desde 22.2 anterior a 22.2R3- S3, * de 22.3 antes de 22.3R3, * de 22.4 antes de 22.4R2; Junos OS Evolved: *Todas las versiones anteriores a 20.4R3-S10 -EVO, *desde 21.2-EVO anteriores a 21.2R3-S7 -EVO, *desde 21.4-EVO anteriores a 21.4R3-S6 -EVO, *desde 22.1-EVO anteriores a 22.1R3- S5 -EVO, * desde 22.2-EVO antes de 22.2R3-S3-EVO, * desde 22.3-EVO antes de 22.3R3-EVO, * desde 22.4-EVO antes de 22.4R2-EVO.
Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-39559)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de verificación inadecuada de condiciones inusuales o excepcionales en el procesamiento de paquetes de Juniper Networks Junos OS Evolved puede permitir que un atacante no autenticado basado en red bloquee el dispositivo (vmcore) enviando un paquete TCP específico a través de una sesión TCP establecida con la autenticación MD5 habilitada, destinada a un puerto accesible en el dispositivo, lo que resulta en una Denegación de Servicio (DoS). La recepción de este paquete debe ocurrir dentro de una ventana de tiempo específica fuera del control del atacante (es decir, condición de ejecución). La recepción y procesamiento continuo de este paquete creará una condición sostenida de Denegación de Servicio (DoS). Este problema solo afecta a los sistemas RE duales con el enrutamiento activo ininterrumpido (NSR) habilitado. La explotación sólo puede ocurrir a través de sesiones TCP con autenticación MD5 habilitada (por ejemplo, BGP con autenticación MD5). Este problema afecta a Junos OS Evolved: * Todas las versiones anteriores a 21.2R3-S8-EVO, * desde 21.4-EVO anteriores a 21.4R3-S6-EVO, * desde 22.1-EVO anteriores a 22.1R3-S4-EVO, * desde 22.2-EVO anteriores 22.2R3-S4-EVO, * de 22.3-EVO antes de 22.3R3-S3-EVO, * de 22.4-EVO antes de 22.4R2-S2-EVO, 22.4R3-EVO.
Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-39562)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una versión faltante de recurso después de una vulnerabilidad de duración efectiva El proceso xinetd, responsable de generar instancias de demonio SSH (sshd), de Juniper Networks Junos OS Evolved permite que un atacante basado en red no autenticado provoque una denegación de servicio (DoS) al bloquear el acceso SSH para usuarios legítimos. La recepción continua de estas conexiones creará una condición sostenida de Denegación de Servicio (DoS). El problema se desencadena cuando se recibe y finaliza de una manera específica una alta tasa de solicitudes SSH simultáneas, lo que provoca que xinetd falle y deje procesos sshd inactivos. La explotación exitosa de esta vulnerabilidad bloquea tanto el acceso SSH como los servicios que dependen de SSH, como SFTP y Netconf sobre SSH. Una vez que el sistema esté en este estado, los usuarios legítimos no podrán conectarse mediante SSH al dispositivo hasta que el servicio se restablezca manualmente. Consulte la sección WORKAROUND a continuación. Los administradores pueden monitorear un aumento en los procesos sshd inactivos utilizando el comando CLI: > mostrar procesos del sistema | coincide con sshd root 25219 30901 0 16 de julio? 00:00:00 [sshd] Este problema afecta a Juniper Networks Junos OS Evolved: * Todas las versiones anteriores a 21.4R3-S7-EVO * Versiones 22.3-EVO anteriores a 22.3R2-S2-EVO, 22.3R3-S2- EVO; * Versiones 22.4-EVO anteriores a 22.4R3-EVO; * Versiones 23.2-EVO anteriores a 23.2R2-EVO. Este problema no afecta a Juniper Networks Junos OS Evolved 22.1-EVO ni 22.2-EVO.
Vulnerabilidad en Juniper Networks Junos OS y Juniper Networks Junos OS Evolved (CVE-2024-39554)
Severidad: ALTA
Fecha de publicación: 10/07/2024
Fecha de última actualización: 07/02/2025
Una ejecución concurrente que utiliza un recurso compartido con una vulnerabilidad de sincronización inadecuada ('condición de ejecución'), el daemon de protocolo de enrutamiento (rpd) de Juniper Networks Junos OS y Juniper Networks Junos OS Evolved, permite a un atacante basado en red no autenticado inyectar actualizaciones de enrutamiento incrementales cuando BGP multipath está habilitado, lo que provoca que rpd se bloquee y se reinicie, lo que resulta en una denegación de servicio (DoS). Dado que se trata de una cuestión de tiempo (condición de ejecución), la explotación exitosa de esta vulnerabilidad está fuera del control del atacante. Sin embargo, la recepción y el procesamiento continuo de este paquete pueden crear una condición sostenida de Denegación de Servicio (DoS). En todas las plataformas Junos OS y Junos OS Evolved con rutas múltiples BGP habilitadas, un cálculo de rutas múltiples específico elimina el siguiente salto original de las rutas principales de rutas múltiples nexthop-set. Cuando ocurre este cambio, la ruta múltiple depende de cierta sincronización interna para registrar la actualización. Bajo ciertas circunstancias y con un momento específico, esto podría resultar en una falla del RPD. Este problema solo afecta a los sistemas con rutas múltiples BGP habilitadas. Este problema afecta a: Junos OS: * Todas las versiones de 21.1 * desde 21.2 anterior a 21.2R3-S7, * desde 21.4 anterior a 21.4R3-S6, * desde 22.1 anterior a 22.1R3-S5, * desde 22.2 anterior a 22.2R3-S3, * desde 22.3 antes de 22.3R3-S2, * de 22.4 antes de 22.4R3, * de 23.2 antes de 23.2R2. Junos OS Evolved: * Todas las versiones de 21.1-EVO, * Todas las versiones de 21.2-EVO, * desde 21.4-EVO antes de 21.4R3-S6-EVO, * desde 22.1-EVO antes de 22.1R3-S5-EVO, * desde 22.2- EVO antes de 22.2R3-S3-EVO, * desde 22.3-EVO antes de 22.3R3-S2-EVO, * desde 22.4-EVO antes de 22.4R3-EVO, * desde 23.2-EVO antes de 23.2R2-EVO. Las versiones de Junos OS anteriores a 21.1R1 no se ven afectadas por esta vulnerabilidad. Las versiones de Junos OS evolucionadas anteriores a 21.1R1-EVO no se ven afectadas por esta vulnerabilidad.
Vulnerabilidad en Bootstrap (CVE-2024-6484)
Severidad: MEDIA
Fecha de publicación: 11/07/2024
Fecha de última actualización: 07/02/2025
Se ha identificado una vulnerabilidad en Bootstrap que expone a los usuarios a ataques de Cross-Site Scripting (XSS). El problema está presente en el componente carousel, donde los atributos data-slide y data-slide-to pueden explotarse a través del atributo href de una etiqueta debido a una sanitización inadecuada. Esta vulnerabilidad podría permitir a los atacantes ejecutar JavaScript arbitrario dentro del navegador de la víctima.
Vulnerabilidad en CRM Perks Forms para WordPress (CVE-2024-7484)
Severidad: ALTA
Fecha de publicación: 06/08/2024
Fecha de última actualización: 07/02/2025
El complemento CRM Perks Forms para WordPress es vulnerable a cargas de archivos arbitrarias debido a una validación de archivos insuficiente en la función 'handle_uploaded_files' en versiones hasta la 1.1.3 incluida. Esto hace posible que atacantes autenticados con capacidades de nivel de administrador o superior carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Vulnerabilidad en Media Library Assistant para WordPress (CVE-2024-6823)
Severidad: ALTA
Fecha de publicación: 13/08/2024
Fecha de última actualización: 07/02/2025
El complemento Media Library Assistant para WordPress es vulnerable a cargas de archivos arbitrarias debido a la falta de validación del tipo de archivo que involucra la acción AJAX mla-inline-edit-upload-scripts en todas las versiones hasta la 3.18 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de autor y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
Vulnerabilidad en Easy Digital Downloads (CVE-2024-5057)
Severidad: CRÍTICA
Fecha de publicación: 29/08/2024
Fecha de última actualización: 07/02/2025
La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Easy Digital Downloads permite la inyección SQL. Este problema afecta a Easy Digital Downloads: desde n/a hasta 3.2.12.
Vulnerabilidad en brandtoss WP Mailster (CVE-2024-53807)
Severidad: ALTA
Fecha de publicación: 06/12/2024
Fecha de última actualización: 07/02/2025
Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en brandtoss WP Mailster permite la inyección SQL ciega. Este problema afecta a WP Mailster: desde n/a hasta 1.8.16.0.
Vulnerabilidad en Astoundify Jobify - Job Board WordPress Theme (CVE-2024-52480)
Severidad: MEDIA
Fecha de publicación: 09/12/2024
Fecha de última actualización: 07/02/2025
Vulnerabilidad de autorización faltante en Astoundify Jobify - Job Board WordPress Theme. Este problema afecta a Jobify - Job Board WordPress Theme: desde n/a hasta 4.2.3.
Vulnerabilidad en brandtoss WP Mailster (CVE-2024-54355)
Severidad: MEDIA
Fecha de publicación: 16/12/2024
Fecha de última actualización: 07/02/2025
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en brandtoss WP Mailster permite Cross Site Request Forgery. Este problema afecta a WP Mailster: desde n/a hasta 1.8.17.0.
Vulnerabilidad en Bitdefender Antivirus Free 2020 (CVE-2020-8094)
Severidad: ALTA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 07/02/2025
Una vulnerabilidad de ruta de búsqueda no confiable en testinitsigs.exe, tal como se usa en Bitdefender Antivirus Free 2020, permite que un atacante con bajos privilegios ejecute código como SYSTEM a través de un archivo DLL especialmente manipulado.
Vulnerabilidad en Microsoft Corporation (CVE-2025-21185)
Severidad: MEDIA
Fecha de publicación: 17/01/2025
Fecha de última actualización: 07/02/2025
Vulnerabilidad de elevación de privilegios en Microsoft Edge (basado en Chromium)
Vulnerabilidad en KWHotel 0.47 (CVE-2023-46400)
Severidad: CRÍTICA
Fecha de publicación: 23/01/2025
Fecha de última actualización: 07/02/2025
KWHotel 0.47 es vulnerable a la inyección de fórmulas CSV en la función de agregar invitado.
Vulnerabilidad en Jobify - Job Board WordPress para WordPress (CVE-2024-13698)
Severidad: MEDIA
Fecha de publicación: 24/01/2025
Fecha de última actualización: 07/02/2025
El tema Jobify - Job Board WordPress para WordPress es vulnerable al acceso no autorizado y a la modificación de datos debido a una falta de comprobación de capacidad en las funciones 'download_image_via_ai' y 'generate_image_via_ai' en todas las versiones hasta la 4.2.7 y incluida. Esto permite que atacantes no autenticados realicen solicitudes web a ubicaciones arbitrarias que se originan desde la aplicación web para cargar archivos en formato de imagen y generar imágenes de IA utilizando la clave OpenAI del sitio.
Vulnerabilidad en Edwiser Bridge de WisdmLabs (CVE-2025-24593)
Severidad: ALTA
Fecha de publicación: 27/01/2025
Fecha de última actualización: 07/02/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Edwiser Bridge de WisdmLabs que permite XSS reflejado. Este problema afecta a Edwiser Bridge: desde n/a hasta 3.0.8.
Vulnerabilidad en Dell Networking Switches running Enterprise SONiC OS (CVE-2025-23374)
Severidad: ALTA
Fecha de publicación: 30/01/2025
Fecha de última actualización: 07/02/2025
Dell Networking Switches running Enterprise SONiC OS, versiones anteriores a 4.4.1 y 4.2.3, contienen una vulnerabilidad de inserción de información confidencial en el archivo de registro. Un atacante con privilegios elevados y acceso remoto podría aprovechar esta vulnerabilidad, lo que provocaría la exposición de la información.
Vulnerabilidad en Dell NetWorker (CVE-2025-21107)
Severidad: ALTA
Fecha de publicación: 30/01/2025
Fecha de última actualización: 07/02/2025
Dell NetWorker, versiones anteriores a 19.11.0.3, todas las versiones de 19.10 y anteriores contienen una vulnerabilidad de ruta o elemento de búsqueda sin comillas. Un atacante con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la ejecución del código.
Vulnerabilidad en Dell PowerProtect DD (CVE-2024-51534)
Severidad: ALTA
Fecha de publicación: 01/02/2025
Fecha de última actualización: 07/02/2025
Las versiones de Dell PowerProtect DD anteriores a DDOS 8.3.0.0, 7.10.1.50 y 7.13.1.20 contienen una vulnerabilidad Path Traversal. Un usuario local con pocos privilegios podría aprovechar esta vulnerabilidad para obtener una sobrescritura no autorizada de los archivos del sistema operativo almacenados en el sistema de archivos del servidor. La explotación podría provocar una denegación de servicio.
Vulnerabilidad en Dell PowerProtect DD (CVE-2024-53296)
Severidad: BAJA
Fecha de publicación: 01/02/2025
Fecha de última actualización: 07/02/2025
Las versiones de Dell PowerProtect DD anteriores a 7.10.1.50 y 7.13.1.20 contienen una vulnerabilidad de desbordamiento de búfer basado en pila en RestAPI. Un atacante con privilegios elevados y acceso remoto podría aprovechar esta vulnerabilidad, lo que provocaría una denegación de servicio.
Vulnerabilidad en Dell PowerProtect DD (CVE-2024-53295)
Severidad: ALTA
Fecha de publicación: 01/02/2025
Fecha de última actualización: 07/02/2025
Las versiones de Dell PowerProtect DD anteriores a 8.3.0.0, 7.10.1.50 y 7.13.1.20 contienen una vulnerabilidad de control de acceso inadecuado. Un usuario malintencionado local con privilegios bajos podría aprovechar esta vulnerabilidad y provocar una escalada de privilegios.
Vulnerabilidad en Dell PowerProtect DD (CVE-2025-22475)
Severidad: BAJA
Fecha de publicación: 04/02/2025
Fecha de última actualización: 07/02/2025
Dell PowerProtect DD, versiones anteriores a DDOS 8.3.0.0, 7.10.1.50 y 7.13.1.10 contienen una vulnerabilidad de implementación riesgosa con uso de primitiva criptográfica. Un atacante remoto podría aprovechar esta vulnerabilidad, lo que provocaría la manipulación de la información.