Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en FFmpeg (CVE-2022-3109)
Severidad: ALTA
Fecha de publicación: 16/12/2022
Fecha de última actualización: 07/08/2025
Se descubrió un problema en el paquete FFmpeg, donde vp3_decode_frame en libavcodec/vp3.c carece de verificación del valor de retorno de av_malloc() y provocará una desreferencia del puntero nulo, lo que afectará la disponibilidad.
Vulnerabilidad en FFmpeg (CVE-2022-3341)
Severidad: MEDIA
Fecha de publicación: 12/01/2023
Fecha de última actualización: 07/08/2025
Se descubrió un problema de desreferencia a puntero nulo en 'FFmpeg' en la función decode_main_header() del archivo libavformat/nutdec.c. La falla ocurre porque la función no verifica el valor de retorno de avformat_new_stream() y desencadena el error de desreferencia del puntero nulo, lo que provoca que la aplicación falle.
Vulnerabilidad en Centreon updateDirectory (CVE-2024-0637)
Severidad: ALTA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de inyección SQL de Centreon updateDirectory. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Centreon. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función updateDirectory. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-22294.
Vulnerabilidad en Centreon updateGroups (CVE-2024-23115)
Severidad: ALTA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de inyección SQL en Centreon updateGroups. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Centreon. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función updateGroups. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-22295.
Vulnerabilidad en Centreon updateLCARelation (CVE-2024-23116)
Severidad: ALTA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de inyección SQL en Centreon updateLCARelation. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Centreon. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función updateLCARelation. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-22296.
Vulnerabilidad en Centreon updateContactServiceCommands (CVE-2024-23117)
Severidad: ALTA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de inyección SQL de Centreon updateContactServiceCommands. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Centreon. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función updateContactServiceCommands. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-22297.
Vulnerabilidad en Centreon updateContactHostCommands (CVE-2024-23118)
Severidad: ALTA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de inyección SQL en Centreon updateContactHostCommands. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Centreon. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función updateContactHostCommands. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-22298.
Vulnerabilidad en Centreon insertGraphTemplate (CVE-2024-23119)
Severidad: ALTA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de inyección SQL en Centreon insertGraphTemplate. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Centreon. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función insertGraphTemplate. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-22339.
Vulnerabilidad en Kofax Power PDF (CVE-2024-27333)
Severidad: MEDIA
Fecha de publicación: 01/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en GIF File Parsing de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos GIF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21976.
Vulnerabilidad en Kofax Power PDF (CVE-2024-27334)
Severidad: MEDIA
Fecha de publicación: 02/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el JPG File Parsing de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JPG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21978.
Vulnerabilidad en AcroForm de Foxit PDF Reader (CVE-2024-30335)
Severidad: ALTA
Fecha de publicación: 02/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites de anotación AcroForm de Foxit PDF Reader. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de anotación. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22641.
Vulnerabilidad en Foxit PDF Reader AcroForm (CVE-2024-30336)
Severidad: ALTA
Fecha de publicación: 02/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de Foxit PDF Reader AcroForm Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos Doc en AcroForms. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22642.
Vulnerabilidad en Foxit PDF Reader AcroForm (CVE-2024-30337)
Severidad: ALTA
Fecha de publicación: 02/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de Foxit PDF Reader AcroForm Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El defecto específico existe en el manejo de Acroforms. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22704.
Vulnerabilidad en Foxit PDF Reader Doc (CVE-2024-30338)
Severidad: ALTA
Fecha de publicación: 02/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código del objeto Foxit PDF Reader Doc Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos Doc. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22705.
Vulnerabilidad en Foxit PDF Reader AcroForm (CVE-2024-30339)
Severidad: ALTA
Fecha de publicación: 02/04/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de Foxit PDF Reader AcroForm Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El defecto específico existe en el manejo de Acroforms. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22706.
Vulnerabilidad en ofono (CVE-2023-4233)
Severidad: ALTA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 07/08/2025
Se encontró una falla en ofono, una telefonía de código abierto en Linux. Se activa un error de desbordamiento de pila dentro de la función sms_decode_address_field() durante la decodificación de la PDU de SMS. Se supone que se puede acceder al escenario del ataque desde un módem comprometido, una estación base maliciosa o simplemente un SMS.
Vulnerabilidad en ofono (CVE-2023-4234)
Severidad: ALTA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 07/08/2025
Se encontró una falla en ofono, una telefonía de código abierto en Linux. Se activa un error de desbordamiento de pila dentro de la función decode_submit_report() durante la decodificación de SMS. Se supone que se puede acceder al escenario del ataque desde un módem comprometido, una estación base maliciosa o simplemente un SMS. Hay una verificación vinculada para esta longitud de memcpy en decode_submit(), pero se olvidó en decode_submit_report().
Vulnerabilidad en ofono (CVE-2023-4235)
Severidad: ALTA
Fecha de publicación: 17/04/2024
Fecha de última actualización: 07/08/2025
Se encontró una falla en ofono, una telefonía de código abierto en Linux. Se activa un error de desbordamiento de pila dentro de la función decode_deliver_report() durante la decodificación de SMS. Se supone que se puede acceder al escenario del ataque desde un módem comprometido, una estación base maliciosa o simplemente un SMS. Hay una verificación vinculada para esta longitud de memcpy en decode_submit(), pero se olvidó en decode_deliver_report().
Vulnerabilidad en D-Link DIR-X3260 prog.cgi SetUsersSettings (CVE-2023-51631)
Severidad: MEDIA
Fecha de publicación: 02/05/2024
Fecha de última actualización: 07/08/2025
D-Link DIR-X3260 prog.cgi SetUsersSettings Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de enrutadores D-Link DIR-X3260. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del binario prog.cgi, que maneja las solicitudes HNAP realizadas al servidor web lighttpd que escucha en los puertos TCP 80 y 443. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de copiarla a un archivo fijo. búfer basado en pila de tamaño. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-21675.
Vulnerabilidad en D-Link D-View (CVE-2023-32164)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información Directory Traversal D-Link D-View TftpSendFileThread. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de D-Link D-View. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la clase TftpSendFileThread. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivos. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto de SYSTEM. Era ZDI-CAN-19496.
Vulnerabilidad en D-Link D-View (CVE-2023-32165)
Severidad: CRÍTICA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código Directory Traversal D-Link D-View TftpReceiveFileHandler. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de D-Link D-View. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la clase TftpReceiveFileHandler. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-19497.
Vulnerabilidad en D-Link D-View (CVE-2023-32166)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de creación de archivos arbitrarios Directory Traversal de archivos de carga de D-Link D-View. Esta vulnerabilidad permite a atacantes remotos crear archivos arbitrarios en las instalaciones afectadas de D-Link D-View. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función uploadFile. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivos. Un atacante puede aprovechar esta vulnerabilidad para crear archivos en el contexto de SYSTEM. Era ZDI-CAN-19527.
Vulnerabilidad en D-Link D-View (CVE-2023-32168)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
D-Link D-View muestra la vulnerabilidad de escalada de privilegios de autorización incorrecta del usuario. Esta vulnerabilidad permite a atacantes remotos escalar privilegios en las instalaciones afectadas de D-Link D-View. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del método showUser. El problema se debe a la falta de autorización adecuada antes de acceder a un endpoint privilegiado. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios a recursos normalmente protegidos del usuario. Era ZDI-CAN-19534.
Vulnerabilidad en D-Link D-View (CVE-2023-32169)
Severidad: CRÍTICA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de omisión de autenticación de clave criptográfica codificada mediante D-Link D-View. Esta vulnerabilidad permite a atacantes remotos eludir la autenticación en las instalaciones afectadas de D-Link D-View. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la clase TokenUtils. El problema se debe a una clave criptográfica codificada. Un atacante puede aprovechar esta vulnerabilidad para eludir la autenticación en el sistema. Era ZDI-CAN-19659.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34286)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Ashlar-Vellum Cobalt CO. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17891.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34287)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de análisis de archivos Ashlar-Vellum Cobalt CO. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17892.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34288)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de puntero no inicializado en el análisis de archivos Ashlar-Vellum Cobalt XE. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos XE. El problema se debe a la falta de una inicialización adecuada de un puntero antes de acceder a él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17966.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34289)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos AR. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17985.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34290)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos 3DS. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18007.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34291)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos X_B o X_T. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18401.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34292)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos X_B o X_T. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura antes del inicio de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18552.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34293)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos X_B o X_T. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18636.
Vulnerabilidad en Ashlar-Vellum Graphite (CVE-2023-34306)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de análisis de archivos Ashlar-Vellum Graphite VC6. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Ashlar-Vellum Graphite. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos VC6. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18908.
Vulnerabilidad en Ashlar-Vellum Graphite (CVE-2023-34307)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Ashlar-Vellum Graphite VC6. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Ashlar-Vellum Graphite. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos VC6. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18910.
Vulnerabilidad en Ashlar-Vellum Graphite (CVE-2023-34308)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Ashlar-Vellum Graphite VC6. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Ashlar-Vellum Graphite. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos VC6. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18913.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34310)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de memoria no inicializada de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de una inicialización adecuada de la memoria antes de acceder a ella. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-19878.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34311)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desreferencia de puntero no confiable de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de validación adecuada de un valor proporcionado por el usuario antes de eliminar la referencia a él como puntero. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-19879.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-35709)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-19928.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-35711)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desreferencia de puntero no confiable en el análisis de archivos Ashlar-Vellum Cobalt XE. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos XE. El problema se debe a la falta de validación adecuada de un valor proporcionado por el usuario antes de eliminar la referencia a él como puntero. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-20189.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-35713)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de memoria no inicializada en el análisis de archivos Ashlar-Vellum Cobalt XE. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos XE. El problema se debe a la falta de una inicialización adecuada de la memoria antes de acceder a ella. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-20201.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-35714)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de lectura fuera de los límites en el análisis de archivos Ashlar-Vellum Cobalt IGS. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos IGS. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en una lectura antes del inicio de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18005.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-35715)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de memoria no inicializada en el análisis de archivos Ashlar-Vellum Cobalt AR. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos AR. El problema se debe a la falta de una inicialización adecuada de la memoria antes de acceder a ella. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20408.
Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-35716)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de lectura fuera de los límites en el análisis de archivos Ashlar-Vellum Cobalt AR. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos AR. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20417.
Vulnerabilidad en D-Link DAP-2622 (CVE-2023-35718)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
D-Link DAP-2622 DDP Cambiar ID Contraseña Contraseña de autenticación Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de enrutadores D-Link DAP-2622. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio DDP. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Fue ZDI-CAN-20061.
Vulnerabilidad en NETGEAR (CVE-2023-35721)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
NETGEAR Múltiples enrutadores curl_post Vulnerabilidad de ejecución remota de código de validación de certificado incorrecta. Esta vulnerabilidad permite a atacantes adyacentes a la red comprometer la integridad de la información descargada en instalaciones afectadas de múltiples enrutadores NETGEAR. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la funcionalidad de actualización, que opera a través de HTTPS. El problema se debe a la falta de validación adecuada del certificado presentado por el servidor. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de la raíz. Fue ZDI-CAN-19981.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37330)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF exportAsText Vulnerabilidad de ejecución remota de código de método peligroso expuesto. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe dentro del método exportAsText. La aplicación expone una interfaz JavaScript que permite al atacante escribir archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Era ZDI-CAN-20230.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37331)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de análisis de archivos GIF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos GIF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20373.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37332)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF PNG Análisis de archivos Corrupción de la memoria Vulnerabilidad de ejecución remota de código. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20388.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37333)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por corrupción de memoria en el análisis de archivos Kofax Power PDF PCX. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PCX. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20389.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37334)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20390.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37335)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos BMP de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos BMP. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20391.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37336)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos TIF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos TIF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20392.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37337)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20393.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37338)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos GIF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos GIF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20394.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37339)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PCX de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PCX. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20395.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37340)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF PNG de Kofax Power. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20396.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37341)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF PNG de Kofax Power. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20397.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37342)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos PDF PNG de Kofax Power. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20439.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37343)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20440.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37344)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos BMP de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos BMP. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20441.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37345)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF J2K. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos J2K. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20442.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37346)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos TIF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos TIF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20443.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37347)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de lectura fuera de los límites en el análisis de archivos Kofax Power PDF U3D. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20444.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37348)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF U3D. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20445.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37349)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20451.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37350)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos TIF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos TIF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20452.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37351)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20453.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37352)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos JPG y PDF de Kofax Power. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JPG. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20454.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37353)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos JPG y PDF de Kofax Power. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JPG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20455.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37354)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de lectura fuera de los límites en el análisis de archivos PDF PNG de Kofax Power. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20458.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37355)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de Use-After-Free del análisis de archivos JPG de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JPG. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20460.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37356)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos GIF GIF de Kofax Power. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos GIF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20461.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37357)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20468.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37358)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos Kofax Power PDF U3D. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20469.
Vulnerabilidad en Kofax Power PDF (CVE-2023-37359)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos Kofax Power PDF U3D. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20470.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38077)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos Kofax Power PDF U3D. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20471.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38078)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de Use-After-Free del análisis de archivos U3D de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20472.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38079)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20485.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38080)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20486.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38081)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20487.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38082)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF Archivo GIF Corrupción de memoria en el análisis Vulnerabilidad de ejecución remota de código. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos GIF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20488.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38083)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20489.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38084)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF Análisis de archivos PDF Corrupción de la memoria Vulnerabilidad de ejecución remota de código. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20490.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38085)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20491.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38086)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-20529.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38087)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF clearTimeOut Vulnerabilidad de ejecución remota de código de escritura fuera de los límites. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de la aplicación. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20560.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38088)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF printf Vulnerabilidad de ejecución remota de código variable no inicializado. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El defecto específico existe en el manejo de objetos útiles. El problema se debe a la falta de una inicialización adecuada de la memoria antes de acceder a ella. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20566.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38089)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF clearInterval Vulnerabilidad de ejecución remota de código de escritura fuera de los límites. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de la aplicación. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20567.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38090)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en Kofax Power PDF popUpMenu. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en la implementación del método app.popUpMenu. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20588.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38091)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de confusión de tipos de respuesta de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en la implementación del método app.response. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede dar lugar a una condición de confusión de tipos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20601.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38092)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de Kofax Power PDF importDataObject. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en la implementación del método importDataObject. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20603.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38093)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria saveAs de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en la implementación del método saveAs. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20604.
Vulnerabilidad en Kofax Power PDF (CVE-2023-38094)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de Kofax Power PDF replacePages. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en la implementación del método replacePages. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20605.
Vulnerabilidad en Kofax Power PDF (CVE-2023-42036)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF Análisis de archivos PDF Corrupción de la memoria Vulnerabilidad de ejecución remota de código. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21582.
Vulnerabilidad en Kofax Power PDF (CVE-2023-42037)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Kofax Power PDF Análisis de archivos PDF Corrupción de la memoria Vulnerabilidad de ejecución remota de código. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21583.
Vulnerabilidad en Kofax Power PDF (CVE-2023-42038)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21602.
Vulnerabilidad en Kofax Power PDF (CVE-2023-42039)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21603.
Vulnerabilidad en Kofax Power PDF (CVE-2023-42100)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21604.
Vulnerabilidad en Exim (CVE-2023-42114)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites del desafío Exim NTLM. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Exim. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el manejo de solicitudes de desafío NTLM. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de una estructura de datos asignada. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto de la cuenta de servicio. Era ZDI-CAN-17433.
Vulnerabilidad en Exim (CVE-2023-42115)
Severidad: CRÍTICA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites de Exim AUTH. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Exim. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio smtp, que escucha en el puerto TCP 25 de forma predeterminada. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-17434.
Vulnerabilidad en Exim (CVE-2023-42116)
Severidad: CRÍTICA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria del desafío SMTP de Exim. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Exim. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el manejo de solicitudes de desafío NTLM. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-17515.
Vulnerabilidad en Exim (CVE-2023-42117)
Severidad: CRÍTICA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de neutralización inadecuada de elementos especiales de Exim. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Exim. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio smtp, que escucha en el puerto TCP 25 de forma predeterminada. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17554.
Vulnerabilidad en Exim libspf2 (CVE-2023-42118)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de enteros Exim libspf2. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de Exim libspf2. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el análisis de las macros SPF. Al analizar macros SPF, el proceso no valida adecuadamente los datos proporcionados por el usuario, lo que puede provocar un desbordamiento insuficiente de enteros antes de escribir en la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-17578.
Vulnerabilidad en Exim dnsdb (CVE-2023-42119)
Severidad: BAJA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites de Exim dnsdb. Esta vulnerabilidad permite a atacantes adyacentes a la red revelar información confidencial sobre las instalaciones afectadas de Exim. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio smtp, que escucha en el puerto TCP 25 de forma predeterminada. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de la cuenta de servicio. Era ZDI-CAN-17643.
Vulnerabilidad en Kofax Power PDF (CVE-2023-42127)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21585.
Vulnerabilidad en D-Link D-View (CVE-2023-44410)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
D-Link D-View muestra la vulnerabilidad de escalada de privilegios de autorización inadecuada de los usuarios. Esta vulnerabilidad permite a atacantes remotos escalar privilegios en las instalaciones afectadas de D-Link D-View. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del método showUsers. El problema se debe a la falta de autorización adecuada antes de acceder a un endpoint privilegiado. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios a recursos normalmente protegidos del usuario. Era ZDI-CAN-19535.
Vulnerabilidad en D-Link D-View (CVE-2023-44411)
Severidad: CRÍTICA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de omisión de autenticación de credenciales codificadas mediante D-Link D-View InstallApplication. Esta vulnerabilidad permite a atacantes remotos eludir la autenticación en las instalaciones afectadas de D-Link D-View. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la clase InstallApplication. La clase contiene una contraseña codificada para la base de datos accesible de forma remota. Un atacante puede aprovechar esta vulnerabilidad para eludir la autenticación en el sistema. Era ZDI-CAN-19553.
Vulnerabilidad en D-Link D-View (CVE-2023-44412)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de procesamiento de entidades externas XML de D-Link D-View addDv7Probe. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de D-Link D-View. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función addDv7Probe. Debido a la restricción inadecuada de las referencias a entidades externas XML (XXE), un documento elaborado que especifica un URI hace que el analizador XML acceda al URI e incruste el contenido nuevamente en el documento XML para su posterior procesamiento. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto de SYSTEM. Era ZDI-CAN-19571.
Vulnerabilidad en D-Link D-View (CVE-2023-44413)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
D-Link D-View Shutdown_coreserver Vulnerabilidad de denegación de servicio de autenticación faltante. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de D-Link D-View. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la acción Shutdown_coreserver. El problema se debe a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-19572.
Vulnerabilidad en D-Link D-View (CVE-2023-44414)
Severidad: CRÍTICA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
D-Link D-View coreservice_action_script Vulnerabilidad de ejecución remota de código de función peligrosa expuesta. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de D-Link D-View. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la acción coreservice_action_script. El problema resulta de la exposición de una función peligrosa. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-19573.
Vulnerabilidad en D-Link DAP-2622 (CVE-2023-44416)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de inyección de comando CLI Telnet D-Link DAP-2622. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de D-Link DAP-2622. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio CLI, que escucha en el puerto TCP 23. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Fue ZDI-CAN-20051.
Vulnerabilidad en D-Link DAP-2622 (CVE-2023-44417)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
D-Link DAP-2622 DDP Establecer dirección IPv4 Contraseña de autenticación Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de enrutadores D-Link DAP-2622. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio DDP. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Fue ZDI-CAN-20091.
Vulnerabilidad en Kofax Power PDF (CVE-2023-44432)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21584.
Vulnerabilidad en Kofax Power PDF (CVE-2023-44433)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites de anotación AcroForm de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de anotación. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21977.
Vulnerabilidad en Kofax Power (CVE-2023-44434)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos PDF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21979.
Vulnerabilidad en Kofax Power (CVE-2023-44435)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de Use-After-Free del análisis de archivos PDF de Kofax Power. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22040.
Vulnerabilidad en Kofax Power (CVE-2023-44436)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de Use-After-Free del análisis de archivos PDF de Kofax Power. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22045.
Vulnerabilidad en NETGEAR CAX30 (CVE-2023-44445)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de SSO de NETGEAR CAX30. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de enrutadores NETGEAR CAX30. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del binario sso. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-19058.
Vulnerabilidad en TP-Link Archer A54 (CVE-2023-44448)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
TP-Link Archer A54 libcmm.so dm_fillObjByStr Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de los enrutadores TP-Link Archer A54. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el archivo libcmm.so. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-22262.
Vulnerabilidad en TP-Link TL-WR841N dropbearpwd (CVE-2023-50224)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
TP-Link TL-WR841N dropbearpwd Vulnerabilidad de divulgación de información de autenticación incorrecta. Esta vulnerabilidad permite a atacantes adyacentes a la red revelar información confidencial sobre las instalaciones afectadas de los enrutadores TP-Link TL-WR841N. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio httpd, que escucha en el puerto TCP 80 de forma predeterminada. El problema se debe a una autenticación incorrecta. Un atacante puede aprovechar esta vulnerabilidad para revelar las credenciales almacenadas, lo que provocaría un mayor commit. Fue ZDI-CAN-19899.
Vulnerabilidad en TP-Link TL-WR902AC dm_fillObjByStr (CVE-2023-50225)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
TP-Link TL-WR902AC dm_fillObjByStr Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de los enrutadores TP-Link TL-WR902AC. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del módulo libcmm.so. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-21819.
Vulnerabilidad en Kofax Power PDF XPS (CVE-2023-51563)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de Use-After-Free en el análisis de archivos Kofax Power PDF XPS. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos XPS. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20573.
Vulnerabilidad en Kofax Power PDF (CVE-2023-51564)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21606.
Vulnerabilidad en Kofax Power PDF XPS (CVE-2023-51565)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de Use-After-Free en el análisis de archivos Kofax Power PDF XPS. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos XPS. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21975.
Vulnerabilidad en Kofax Power PDF OXPS (CVE-2023-51566)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria de análisis de archivos Kofax Power PDF OXPS. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos OXPS. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21980.
Vulnerabilidad en Kofax Power PDF (CVE-2023-51567)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos OXPS de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos OXPS. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Fue ZDI-CAN-21988.
Vulnerabilidad en Kofax Power PDF (CVE-2023-51568)
Severidad: BAJA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de Use-After-Free del análisis de archivos OXPS de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos OXPS. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21990.
Vulnerabilidad en Kofax Power PDF (CVE-2023-51569)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos BMP de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos BMP. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-22016.
Vulnerabilidad en Kofax Power PDF U3D (CVE-2023-51597)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de escritura fuera de los límites en el análisis de archivos Kofax Power PDF U3D. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21755.
Vulnerabilidad en Kofax Power PDF U3D (CVE-2023-51606)
Severidad: ALTA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código de lectura fuera de los límites en el análisis de archivos Kofax Power PDF U3D. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos U3D. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21759.
Vulnerabilidad en Kofax Power (CVE-2023-51607)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF PNG de Kofax Power. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21829.
Vulnerabilidad en Kofax Power PDF JP2 (CVE-2023-51609)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21834.
Vulnerabilidad en Kofax Power PDF JP2 (CVE-2023-51610)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de Use-After-Free del análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21835.
Vulnerabilidad en Kofax Power PDF JP2 (CVE-2023-51611)
Severidad: MEDIA
Fecha de publicación: 03/05/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos Kofax Power PDF JP2. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-21836.
Vulnerabilidad en Foxit PDF Editor (CVE-2021-34951)
Severidad: BAJA
Fecha de publicación: 07/05/2024
Fecha de última actualización: 07/08/2025
Anotación de Foxit PDF Reader Uso de vulnerabilidad de divulgación de información variable no inicializada. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de anotación. El problema se debe a la falta de una inicialización adecuada de un puntero antes de acceder a él. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-14395.
Vulnerabilidad en dnf5daemon-server (CVE-2024-1930)
Severidad: MEDIA
Fecha de publicación: 08/05/2024
Fecha de última actualización: 07/08/2025
Sin límite en el número de sesiones abiertas / mal comportamiento de cierre de sesión en dnf5daemon-server anterior a 5.1.17 permite que un usuario malintencionado afecte la disponibilidad mediante Sin límite en el número de sesiones abiertas. No hay límite en la cantidad de sesiones que los clientes D-Bus pueden crear usando el método D-Bus `open_session()`. Para cada sesión se crea un hilo en dnf5daemon-server. Esto gasta un par de cientos de megabytes de memoria en el proceso. Será imposible realizar más conexiones, probablemente porque el servicio D-Bus no puede generar más subprocesos.
Vulnerabilidad en editcap (CVE-2024-4855)
Severidad: BAJA
Fecha de publicación: 14/05/2024
Fecha de última actualización: 07/08/2025
Un problema de Use after free en editcap podría causar denegación de servicio a través de un archivo de captura manipulado
Vulnerabilidad en Cisco AsyncOS para Cisco Secure Email and Web Manager y Secure Web Appliance (CVE-2024-20256)
Severidad: MEDIA
Fecha de publicación: 15/05/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en la interfaz de administración basada en web del software Cisco AsyncOS para Cisco Secure Email and Web Manager y Secure Web Appliance podría permitir que un atacante remoto autenticado realice un ataque XSS contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de una interfaz afectada para que haga clic en un enlace manipulado. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20361)
Severidad: MEDIA
Fecha de publicación: 22/05/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en la función Grupos de objetos para listas de control de acceso (ACL) del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto no autenticado evite los controles de acceso configurados en dispositivos administrados que ejecutan el software Cisco Firepower Threat Defense (FTD). Esta vulnerabilidad se debe a la implementación incorrecta de la función Grupos de objetos para ACL del software Cisco FMC en dispositivos FTD administrados en configuraciones de alta disponibilidad. Después de reiniciar un dispositivo afectado después de la implementación de grupos de objetos para ACL, un atacante puede aprovechar esta vulnerabilidad enviando tráfico a través del dispositivo afectado. Un exploit exitoso podría permitir al atacante eludir los controles de acceso configurados y enviar tráfico con éxito a los dispositivos que se espera que estén protegidos por el dispositivo afectado.
Vulnerabilidad en Vault y Vault Enterprise (CVE-2024-5798)
Severidad: BAJA
Fecha de publicación: 12/06/2024
Fecha de última actualización: 07/08/2025
Vault y Vault Enterprise no validaron correctamente la reclamación de audiencia vinculada a roles JSON Web Token (JWT) al utilizar el método de autenticación Vault JWT. Esto puede haber provocado que Vault valide un JWT en el que las afirmaciones de audiencia y roles no coinciden, lo que permitió que un inicio de sesión no válido se realizara correctamente cuando debería haber sido rechazado. Esta vulnerabilidad, CVE-2024-5798, se solucionó en Vault y Vault Enterprise 1.17.0, 1.16.3 y 1.15.9.
Vulnerabilidad en Fedora Project (CVE-2024-38273)
Severidad: MEDIA
Fecha de publicación: 18/06/2024
Fecha de última actualización: 07/08/2025
Las comprobaciones de capacidad insuficientes significaron que era posible que los usuarios obtuvieran acceso a las URL de unión de BigBlueButton a las que no tenían permiso para acceder.
Vulnerabilidad en Fedora Project (CVE-2024-38274)
Severidad: MEDIA
Fecha de publicación: 18/06/2024
Fecha de última actualización: 07/08/2025
El escape insuficiente de los títulos de los eventos del calendario resultó en un riesgo XSS almacenado en el mensaje de eliminación del evento.
Vulnerabilidad en Fedora Project (CVE-2024-38277)
Severidad: MEDIA
Fecha de publicación: 18/06/2024
Fecha de última actualización: 07/08/2025
Se debe generar una clave única para la clave de inicio de sesión QR de un usuario y su clave de inicio de sesión automático, de modo que la misma clave no se pueda usar indistintamente entre las dos.
Vulnerabilidad en Synology Router Manager (CVE-2024-39347)
Severidad: MEDIA
Fecha de publicación: 28/06/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de permisos predeterminados incorrectos en la funcionalidad del firewall en Synology Router Manager (SRM) anteriores a 1.2.5-8227-11 y 1.3.1-9346-8 permite a atacantes de tipo intermediario acceder a recursos de intranet altamente confidenciales a través de vectores no especificados.
Vulnerabilidad en Synology Router Manager (CVE-2024-39348)
Severidad: ALTA
Fecha de publicación: 28/06/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de descarga de código sin comprobación de integridad en la funcionalidad AirPrint en Synology Router Manager (SRM) anterior a 1.2.5-8227-11 y 1.3.1-9346-8 permite a atacantes de tipo intermediario ejecutar código arbitrario a través de vectores no especificados.
Vulnerabilidad en BPv7 en µD3TN v0.14.0 (CVE-2024-10455)
Severidad: ALTA
Fecha de publicación: 28/10/2024
Fecha de última actualización: 07/08/2025
La aserción alcanzable en el analizador BPv7 en µD3TN v0.14.0 permite que un atacante interrumpa el servicio a través de un bloque de extensión mal formado
Vulnerabilidad en Vault Community y Vault Enterprise (CVE-2024-8185)
Severidad: ALTA
Fecha de publicación: 31/10/2024
Fecha de última actualización: 07/08/2025
Los clústeres Vault Community y Vault Enterprise (“Vault”) que utilizan el backend de almacenamiento integrado de Vault son vulnerables a un ataque de denegación de servicio (DoS) a través del agotamiento de la memoria mediante un endpoint de la API de unión al clúster de Raft. Un atacante puede enviar un gran volumen de solicitudes al endpoint, lo que puede provocar que Vault consuma recursos excesivos de memoria del sistema, lo que puede provocar un bloqueo del sistema subyacente y del propio proceso de Vault. Esta vulnerabilidad, CVE-2024-8185, se corrigió en Vault Community 1.18.1 y Vault Enterprise 1.18.1, 1.17.8 y 1.16.12.
Vulnerabilidad en Cisco Unified Communications Manager IM & Presence Service (CVE-2024-20457)
Severidad: MEDIA
Fecha de publicación: 06/11/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en el componente de registro de Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) podría permitir que un atacante remoto autenticado vea información confidencial en texto plano en un sistema afectado. Esta vulnerabilidad se debe al almacenamiento de credenciales no cifradas en ciertos registros. Un atacante podría aprovechar esta vulnerabilidad accediendo a los registros de un sistema afectado y obteniendo credenciales a las que normalmente no tendría acceso. Una explotación exitosa podría permitir al atacante acceder a información confidencial del dispositivo.
Vulnerabilidad en Cisco AsyncOS Software para Cisco Secure Email and Web Manager, Secure Email Gateway y Secure Web Appliance (CVE-2024-20504)
Severidad: MEDIA
Fecha de publicación: 06/11/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS Software para Cisco Secure Email and Web Manager, Secure Email Gateway y Secure Web Appliance podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de una interfaz afectada para que haga clic en un vínculo manipulado. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
Vulnerabilidad en Cisco Unified Communications Manager y Cisco Unified Communications Manager Session Management Edition (CVE-2024-20511)
Severidad: MEDIA
Fecha de publicación: 06/11/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podría permitir que un atacante remoto no autenticado realice un ataque de cross-site scripting (XSS) contra un usuario de la interfaz. Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un vínculo manipulado. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
Vulnerabilidad en Cisco Unified Contact Center Management Portal (CVE-2024-20540)
Severidad: MEDIA
Fecha de publicación: 06/11/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Contact Center Management Portal (Unified CCMP) podría permitir que un atacante remoto autenticado con privilegios bajos realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad inyectando código malicioso en una página específica de la interfaz. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para aprovechar esta vulnerabilidad, el atacante debe tener al menos un rol de supervisor en un dispositivo afectado.
Vulnerabilidad en OpenAFS (CVE-2024-10394)
Severidad: ALTA
Fecha de publicación: 14/11/2024
Fecha de última actualización: 07/08/2025
Un usuario local puede eludir el mecanismo de limitación de PAG (grupo de autenticación de procesos) de OpenAFS en clientes Unix, lo que le permite crear un PAG utilizando un número de identificación existente, uniéndose efectivamente al PAG y permitiendo al usuario robar las credenciales en ese PAG.
Vulnerabilidad en Cisco Firepower Management Center (CVE-2021-34751)
Severidad: MEDIA
Fecha de publicación: 15/11/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en el administrador de configuración de la interfaz gráfica de usuario (GUI) administrativa basada en la Web del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto autenticado acceda a información de configuración confidencial. El atacante requeriría credenciales con pocos privilegios en un dispositivo afectado. Esta vulnerabilidad existe debido al cifrado incorrecto de la información confidencial almacenada en el administrador de configuración de la interfaz gráfica de usuario. Un atacante podría aprovechar esta vulnerabilidad iniciando sesión en la interfaz gráfica de usuario del software Cisco FMC y navegando a determinadas configuraciones confidenciales. Una explotación exitosa podría permitir al atacante ver parámetros de configuración confidenciales en texto plano. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad. [[Publication_URL{Layout()}]] Este aviso es parte de la versión de octubre de 2021 de la publicación Cisco ASA, FTD y FMC Security Advisory Bundled. Para obtener una lista completa de los avisos y los vínculos a ellos, consulte .
Vulnerabilidad en Cisco Firepower Threat Defense (CVE-2021-34753)
Severidad: MEDIA
Fecha de publicación: 15/11/2024
Fecha de última actualización: 07/08/2025
Una vulnerabilidad en la inspección de payload del tráfico del Protocolo industrial Ethernet (ENIP) para el software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado eluda las reglas configuradas para el tráfico ENIP. Esta vulnerabilidad se debe a un procesamiento incompleto durante la inspección profunda de paquetes de ENIP. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete ENIP manipulado a la interfaz de destino. Una explotación exitosa podría permitir al atacante eludir las políticas de intrusión y control de acceso configuradas que deberían activarse y descartarse para el paquete ENIP.
Vulnerabilidad en 7-Zip CopyCoder (CVE-2024-11612)
Severidad: MEDIA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de denegación de servicio de bucle infinito en 7-Zip CopyCoder. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de 7-Zip. Se requiere la interacción con esta librería para explotar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe dentro del procesamiento de flujos. El problema es el resultado de un error lógico que puede conducir a un bucle infinito. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-24307.
Vulnerabilidad en Kofax Power PDF (CVE-2024-5510)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución de código remoto en el análisis de archivos JP2 de Kofax Power PDF fuera de los límites. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22019.
Vulnerabilidad en Kofax Power PDF (CVE-2024-5511)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución de código remoto en el análisis de archivos JP2 de Kofax Power PDF fuera de los límites. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22020.
Vulnerabilidad en Kofax Power PDF (CVE-2024-5512)
Severidad: MEDIA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos JP2 de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22021.
Vulnerabilidad en Kofax Power PDF (CVE-2024-5513)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución de código remoto fuera de los límites en el análisis de archivos JP2 de Kofax Power PDF. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Kofax Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22044.
Vulnerabilidad en Allegra (CVE-2024-5579)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código en renderFieldMatch de Allegra que deserializa datos no confiables. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del método renderFieldMatch. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-23451.
Vulnerabilidad en Allegra (CVE-2024-5580)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código en loadFieldMatch de Allegra que deserializa datos no confiables. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del método loadFieldMatch. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-23452.
Vulnerabilidad en Allegra (CVE-2024-5581)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código en el directorio unzipFile de Allegra. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Allegra. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del método unzipFile. El problema es el resultado de la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SERVICIO LOCAL. Era ZDI-CAN-23453.
Vulnerabilidad en IrfanView (CVE-2024-5874)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución de código remoto fuera de los límites en el análisis de archivos PNT de IrfanView. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de IrfanView. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNT. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23969.
Vulnerabilidad en IrfanView (CVE-2024-5875)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución de código remoto fuera de los límites en el análisis de archivos SHP de IrfanView. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de IrfanView. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos SHP. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23972.
Vulnerabilidad en IrfanView (CVE-2024-5876)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montón en el análisis de archivos PSP de IrfanView. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de IrfanView. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PSP. El problema es el resultado de la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23973.
Vulnerabilidad en IrfanView (CVE-2024-5877)
Severidad: ALTA
Fecha de publicación: 22/11/2024
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución de código remoto fuera de los límites en el análisis de archivos PIC de IrfanView. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de IrfanView. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PIC. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura antes del inicio de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23974.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-45553)
Severidad: ALTA
Fecha de publicación: 06/01/2025
Fecha de última actualización: 07/08/2025
La corrupción de la memoria puede ocurrir cuando se agregan mapas específicos de un proceso a la lista global. Si se elimina un mapa de la lista global mientras otro subproceso lo está usando para una tarea específica del proceso, pueden surgir problemas.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-45558)
Severidad: ALTA
Fecha de publicación: 06/01/2025
Fecha de última actualización: 07/08/2025
Puede producirse un DOS transitorio cuando el controlador analiza el IE por perfil STA e intenta acceder al ID del elemento EXTN sin verificar la longitud del IE.
Vulnerabilidad en Luxion KeyShot Viewer (CVE-2025-0412)
Severidad: ALTA
Fecha de publicación: 13/01/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por corrupción de memoria en el análisis de archivos KSP de Luxion KeyShot Viewer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Luxion KeyShot Viewer. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el procesamiento de archivos KSP. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una condición de corrupción de memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22139.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-38411)
Severidad: MEDIA
Fecha de publicación: 03/02/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al registrar un búfer desde el espacio del usuario al espacio del kernel mediante llamadas IOCTL.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-49839)
Severidad: ALTA
Fecha de publicación: 03/02/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento de administración framework debido a una falta de coincidencia en el elemento de información T2LM.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-38426)
Severidad: MEDIA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Al procesar el mensaje de autenticación en la UE, una autenticación incorrecta puede provocar la divulgación de información.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-43051)
Severidad: MEDIA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Divulgación de información al derivar claves para una sesión para cualquier caso de uso de Widevine.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-43056)
Severidad: MEDIA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
DOS transitorio durante la operación de E/S virtual del hipervisor en una máquina virtual.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-43057)
Severidad: ALTA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al procesar comando en Glink Linux.
Vulnerabilidad en Video Analytics (CVE-2024-53011)
Severidad: ALTA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
La divulgación de información puede ocurrir debido a permisos y controles de acceso inadecuados al motor de Video Analytics.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-53014)
Severidad: ALTA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Es posible que se produzcan daños en la memoria al validar puertos y canales en el controlador de audio.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-53023)
Severidad: ALTA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Se puede producir corrupción de memoria al acceder a una variable durante pruebas consecutivas prolongadas.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-53024)
Severidad: ALTA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria en el controlador de pantalla al desconectar un dispositivo.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-53027)
Severidad: ALTA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Puede ocurrir una DOS transitoria mientras se procesa el IE del país.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21424)
Severidad: ALTA
Fecha de publicación: 03/03/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al llamar a las API del controlador NPU simultáneamente.
Vulnerabilidad en Apache Tomcat (CVE-2025-24813)
Severidad: CRÍTICA
Fecha de publicación: 10/03/2025
Fecha de última actualización: 07/08/2025
Equivalencia de ruta: 'file.Name' (punto interno) que conduce a la ejecución remota de código y/o divulgación de información y/o contenido malicioso agregado a los archivos cargados a través del servlet predeterminado habilitado para escritura en Apache Tomcat. Este problema afecta a Apache Tomcat: desde 11.0.0-M1 hasta 11.0.2, desde 10.1.0-M1 hasta 10.1.34, desde 9.0.0.M1 hasta 9.0.98. Si todo lo siguiente fuera cierto, un usuario malintencionado podría ver archivos sensibles de seguridad y/o inyectar contenido en esos archivos: - escrituras habilitadas para el servlet predeterminado (deshabilitado por defecto) - soporte para PUT parcial (habilitado por defecto) - una URL de destino para cargas sensibles de seguridad que era un subdirectorio de una URL de destino para cargas públicas - conocimiento del atacante de los nombres de los archivos sensibles de seguridad que se estaban cargando - los archivos sensibles de seguridad también se estaban cargando a través de PUT parcial Si todo lo siguiente fuera cierto, un usuario malintencionado podría realizar una ejecución remota de código: - escrituras habilitadas para el servlet predeterminado (deshabilitado por defecto) - soporte para PUT parcial (habilitado por defecto) - la aplicación estaba usando la persistencia de sesión basada en archivos de Tomcat con la ubicación de almacenamiento predeterminada - la aplicación incluía una biblioteca que se puede aprovechar en un ataque de deserialización Se recomienda a los usuarios actualizar a la versión 11.0.3, 10.1.35 o 9.0.98, que corrige el problema.
Vulnerabilidad en Brizy Brizy Pro (CVE-2025-26901)
Severidad: MEDIA
Fecha de publicación: 09/04/2025
Fecha de última actualización: 07/08/2025
La vulnerabilidad de autorización faltante en Brizy Brizy Pro permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Brizy Pro: desde n/a hasta 2.6.1.
Vulnerabilidad en Brizy Brizy Pro (CVE-2025-26902)
Severidad: MEDIA
Fecha de publicación: 09/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Brizy Brizy Pro permite Cross-Site Request Forgery. Este problema afecta a Brizy Pro: desde n/d hasta 2.6.1.
Vulnerabilidad en themefusecom Brizy (CVE-2025-32198)
Severidad: MEDIA
Fecha de publicación: 10/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en themefusecom Brizy. Este problema afecta a Brizy: desde n/d hasta 2.6.14.
Vulnerabilidad en GitLab EE (CVE-2024-11129)
Severidad: MEDIA
Fecha de publicación: 10/04/2025
Fecha de última actualización: 07/08/2025
Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde la 17.1 hasta la 17.8.7, la 17.9 hasta la 17.9.6 y la 17.10 hasta la 17.10.4. Esto permite a los atacantes realizar búsquedas específicas con palabras clave sensibles para obtener el recuento de problemas que contienen el término buscado.
Vulnerabilidad en GitLab CE/EE (CVE-2025-1677)
Severidad: MEDIA
Fecha de publicación: 10/04/2025
Fecha de última actualización: 07/08/2025
Se ha descubierto un problema de denegación de servicio (DoS) en GitLab CE/EE que afecta a todas las versiones hasta 17.8.7, 17.9 anteriores a 17.9.6 y 17.10 anteriores a 17.10.4. Una denegación de servicio podría ocurrir al inyectar payloads de gran tamaño en las exportaciones de la canalización de CI.
Vulnerabilidad en GitLab CE/EE (CVE-2025-2408)
Severidad: MEDIA
Fecha de publicación: 10/04/2025
Fecha de última actualización: 07/08/2025
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 13.12 hasta la 17.8.7, la 17.9 hasta la 17.9.6 y la 17.10 hasta la 17.10.4. En determinadas condiciones, los usuarios podrían omitir las restricciones de acceso IP y ver información confidencial.
Vulnerabilidad en GitLab CE/EE (CVE-2025-2469)
Severidad: BAJA
Fecha de publicación: 10/04/2025
Fecha de última actualización: 07/08/2025
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 17.9 anterior a la 17.9.6 y desde la 17.10 anterior a la 17.10.4. Los datos de creación de perfiles en tiempo de ejecución de un servicio específico eran accesibles para usuarios no autenticados.
Vulnerabilidad en GitLab CE/EE (CVE-2025-0362)
Severidad: MEDIA
Fecha de publicación: 10/04/2025
Fecha de última actualización: 07/08/2025
Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 7.7 hasta la 17.8.7, la 17.9 hasta la 17.9.6 y la 17.10 hasta la 17.10.4. Bajo ciertas condiciones, un atacante podría potencialmente engañar a los usuarios para que autoricen involuntariamente acciones confidenciales en su nombre.
Vulnerabilidad en Electrolink 500W, 1kW, 2kW Medium DAB Transmitter Web v01.09, v01.08, v01.07, y Display v1.4, v1.2 (CVE-2025-28228)
Severidad: ALTA
Fecha de publicación: 18/04/2025
Fecha de última actualización: 07/08/2025
Una vulnerabilidad de exposición de credenciales en Electrolink 500W, 1kW, 2kW Medium DAB Transmitter Web v01.09, v01.08, v01.07, y Display v1.4, v1.2 permite a atacantes no autorizados acceder a credenciales en texto sin formato.
Vulnerabilidad en WP Import Export Lite para WordPress (CVE-2025-2839)
Severidad: MEDIA
Fecha de publicación: 22/04/2025
Fecha de última actualización: 07/08/2025
El complemento WP Import Export Lite para WordPress es vulnerable a cross-site scripting almacenado a través de la función 'wpiePreviewData' en todas las versiones hasta la 3.9.27 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Vulnerabilidad en Luxion KeyShot Viewer KSP (CVE-2025-1045)
Severidad: ALTA
Fecha de publicación: 23/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montón en Luxion KeyShot Viewer KSP. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Luxion KeyShot Viewer. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos KSP. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-24586.
Vulnerabilidad en Luxion KeyShot SKP (CVE-2025-1046)
Severidad: ALTA
Fecha de publicación: 23/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código Use-After-Free en el análisis de archivos Luxion KeyShot SKP. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Luxion KeyShot. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos SKP. El problema se debe a que no se valida la existencia de un objeto antes de realizar operaciones en él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23646.
Vulnerabilidad en Luxion KeyShot PVS (CVE-2025-1047)
Severidad: ALTA
Fecha de publicación: 23/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código al acceder al análisis de archivos Luxion KeyShot PVS, mediante puntero no inicializado. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Luxion KeyShot. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos PVS. El problema se debe a la falta de inicialización correcta de un puntero antes de acceder a él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-23694.
Vulnerabilidad en PostHog ClickHouse Table Functions (CVE-2025-1520)
Severidad: ALTA
Fecha de publicación: 23/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por inyección SQL en PostHog ClickHouse Table Functions. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de PostHog. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en la implementación del analizador SQL. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de la base de datos. Anteriormente, se denominó ZDI-CAN-25350.
Vulnerabilidad en PostHog slack_incoming_webhook (CVE-2025-1521)
Severidad: MEDIA
Fecha de publicación: 23/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información por Server-Side Request Forgery en PostHog slack_incoming_webhook. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de PostHog. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el procesamiento del parámetro slack_incoming_webhook. El problema se debe a la falta de validación adecuada de una URI antes de acceder a los recursos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Era ZDI-CAN-25352.
Vulnerabilidad en PostHog database_schema (CVE-2025-1522)
Severidad: MEDIA
Fecha de publicación: 23/04/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de divulgación de información por Server-Side Request Forgery en PostHog database_schema. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de PostHog. Se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en la implementación del método database_schema. El problema se debe a la falta de validación adecuada de una URI antes de acceder a los recursos. Un atacante puede aprovechar esta vulnerabilidad para divulgar información en el contexto de la cuenta de servicio. Anteriormente, se denominó ZDI-CAN-25358.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-45562)
Severidad: MEDIA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el acceso simultáneo al objeto de información del servidor debido a un campo crítico desprotegido.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-49841)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante la asignación de memoria a una máquina virtual periférica sin cabeza debido a un manejo incorrecto del código de error.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-49842)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante la asignación de memoria al espacio de dirección de VM protegido debido a restricciones de API incorrectas.
Vulnerabilidad en Qualcomm, Inc. (CVE-2024-49844)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al activar comandos en la aplicación PlayReady Trusted.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21453)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento de una estructura de datos, cuando se accede a un iterador luego de haberlo eliminado, ocurren fallas potenciales.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21459)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
DOS transitorio durante el análisis por perfil STA en ML IE.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21467)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al leer la respuesta de FW desde la cola compartida.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21468)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al leer la respuesta del FW, cuando el tamaño del búfer es modificado por el FW mientras el controlador usa este tamaño para escribir un carácter nulo al final del búfer.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21469)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento de la codificación de imagen, cuando la longitud del búfer de entrada es 0 en la llamada IOCTL.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21470)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento de la codificación de imagen, cuando la configuración es NULL en el parámetro IOCTL.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21475)
Severidad: ALTA
Fecha de publicación: 06/05/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento del código de escape, cuando DisplayId se pasa con un valor grande sin signo.
Vulnerabilidad en Protobuf Pure-Python (CVE-2025-4565)
Severidad: ALTA
Fecha de publicación: 16/06/2025
Fecha de última actualización: 07/08/2025
Cualquier proyecto que utilice el backend Protobuf Pure-Python para analizar datos de Protocol Buffers no confiables que contengan un número arbitrario de grupos recursivos, mensajes recursivos o una serie de etiquetas SGROUP puede corromperse al exceder el límite de recursión de Python. Esto puede provocar una denegación de servicio (DSP) que bloquea la aplicación con un RecursionError. Recomendamos actualizar a la versión 6.31.1 o posterior (commit 17838beda2943d08b8a9d4df5b68f5f04f26d901).
Vulnerabilidad en Google Inc. (CVE-2025-5981)
Severidad: MEDIA
Fecha de publicación: 18/06/2025
Fecha de última actualización: 07/08/2025
Escritura arbitraria de archivos como usuario OSV-SCALIBR en el sistema host mediante una vulnerabilidad de path traversal al usar la función unpack() de OSV-SCALIBR para imágenes de contenedor. En particular, al usar la opción CLI --remote-image en imágenes de contenedor no confiables.
Vulnerabilidad en Automotive (CVE-2024-53009)
Severidad: MEDIA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al operar el buzón en Automotive.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21422)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Problema criptográfico al procesar llamadas a la API de cifrado, las verificaciones faltantes pueden generar un uso corrupto de la clave o reutilizaciones de IV.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21427)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Divulgación de información mientras se decodifica este paquete RTP Payload cuando la UE recibe el paquete RTP de la red.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21432)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al recuperar los datos CBOR de TA.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21433)
Severidad: MEDIA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
DOS transitorio al importar una clave privada RSA codificada en PKCS#8 con un módulo de tamaño cero.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21446)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Puede ocurrir un DOS transitorio al procesar elementos de información específicos del proveedor mientras se analiza un frame WLAN para solicitudes BTM.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21449)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Puede ocurrir un DOS transitorio mientras se procesa un campo de longitud mal formado en IE SSID.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21450)
Severidad: CRÍTICA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Se produce un problema criptográfico debido al uso de un método de conexión inseguro durante la descarga.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21454)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
DOS transitorio durante el procesamiento del frame de baliza recibido.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21466)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al procesar un comando de escape privado en un disparador de eventos.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27042)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al procesar paquetes de video recibidos desde el firmware de video.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27043)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento del payload manipulada en el firmware de video.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27046)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al procesar múltiples llamadas de escape simultáneas.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27047)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria al procesar la ruta de escape TESTPATTERNCONFIG.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27050)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento del evento de cierre cuando el proceso del cliente finaliza abruptamente.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27052)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el procesamiento de paquetes de datos en diag recibidos de clientes Unix.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27055)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el proceso de codificación de imágenes.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27057)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
DOS transitorio al manejar frames de baliza con una longitud de encabezado de IE no válida.
Vulnerabilidad en Qualcomm, Inc. (CVE-2025-27061)
Severidad: ALTA
Fecha de publicación: 08/07/2025
Fecha de última actualización: 07/08/2025
Corrupción de memoria durante el manejo de la memoria de falla del subsistema durante el análisis de los paquetes de video recibidos desde el firmware de video.
Vulnerabilidad en Tenda CP3 Pro V22.5.4.93 (CVE-2025-52364)
Severidad: ALTA
Fecha de publicación: 09/07/2025
Fecha de última actualización: 07/08/2025
La vulnerabilidad de permisos inseguros en el firmware Tenda CP3 Pro V22.5.4.93 permite el servicio Telnet (telnetd) por defecto durante el arranque mediante el script de inicialización /etc/init.d/eth.sh. Esto permite a atacantes remotos conectarse al shell del dispositivo a través de la red, posiblemente sin autenticación si existen credenciales predeterminadas o débiles.
Vulnerabilidad en com.enflick.android.tn2ndLine (CVE-2025-43976)
Severidad: MEDIA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
La aplicación com.enflick.android.tn2ndLine hasta la versión 24.17.1.0 para Android permite que cualquier aplicación instalada (sin permisos) realice llamadas telefónicas sin interacción del usuario enviando una intención manipuladas a través del componente com.enflick.android.TextNow.activities.DialerActivity.
Vulnerabilidad en com.skt.prod.dialer (CVE-2025-43977)
Severidad: MEDIA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
La aplicación com.skt.prod.dialer hasta la versión 12.5.0 para Android permite que cualquier aplicación instalada (sin permisos) realice llamadas telefónicas sin interacción del usuario enviando una intención manipulada a través del componente com.skt.prod.dialer.activities.outgoingcall.OutgoingCallInternalBroadcaster.
Vulnerabilidad en Sensaphone WEB600 Monitoring System v.1.6.5.H (CVE-2024-55040)
Severidad: MEDIA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
La vulnerabilidad de cross-site scripting en Sensaphone WEB600 Monitoring System v.1.6.5.H y anteriores permite a un atacante remoto ejecutar código arbitrario a través de solicitudes GET manipuladas para /@.xml, colocando payloads en los parámetros g7200, g7300, g4601 y g1F02.
Vulnerabilidad en TRENDnet TEW-WLC100P 2.03b03 (CVE-2025-44647)
Severidad: ALTA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
En TRENDnet TEW-WLC100P 2.03b03, la opción i_dont_care_about_security_and_use_aggressive_mode_psk está habilitada en el archivo de configuración strongSwan, de modo que los respondedores IKE pueden usar el modo agresivo IKEv1 con claves precompartidas para realizar ataques fuera de línea en el hash transmitido abiertamente del PSK.
Vulnerabilidad en Netgear R7000 V1.3.1.64_10.1.36 y EAX80 V1.0.1.70_1.0.2 (CVE-2025-44650)
Severidad: ALTA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
En Netgear R7000 V1.3.1.64_10.1.36 y EAX80 V1.0.1.70_1.0.2, la opción USERLIMIT_GLOBAL está establecida en 0 en el archivo de configuración bftpd.conf. Esto puede provocar ataques de denegación de servicio (DoS) cuando se conectan usuarios ilimitados.
Vulnerabilidad en TRENDnet TPL-430AP FW1.0 (CVE-2025-44651)
Severidad: ALTA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
En TRENDnet TPL-430AP FW1.0, la opción USERLIMIT_GLOBAL está establecida en 0 en el archivo de configuración relacionado con bftpd. Esto puede provocar ataques DoS cuando se conectan usuarios ilimitados.
Vulnerabilidad en TOTOLink A7100RU V7.4, A950RG V5.9 y T10 V5.9 (CVE-2025-44655)
Severidad: CRÍTICA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
En TOTOLink A7100RU V7.4, A950RG V5.9 y T10 V5.9, la opción chroot_local_user está habilitada en vsftpd.conf. Esto podría provocar acceso no autorizado a archivos del sistema, escalada de privilegios o el uso del servidor comprometido como punto de apoyo para ataques internos a la red.
Vulnerabilidad en Linksys EA6350 V2.1.2 (CVE-2025-44657)
Severidad: BAJA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
En Linksys EA6350 V2.1.2, la opción chroot_local_user está habilitada en el archivo de configuración vsftpd generado dinámicamente. Esto podría provocar acceso no autorizado a archivos del sistema, escalada de privilegios o el uso del servidor comprometido como punto de apoyo para ataques internos a la red.
Vulnerabilidad en Netgear RAX30 V1.0.10.94 (CVE-2025-44658)
Severidad: CRÍTICA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
En Netgear RAX30 V1.0.10.94, una vulnerabilidad de configuración incorrecta de PHP-FPM se debe a que no se sigue la especificación que limita FPM únicamente a las extensiones .php. Un atacante podría explotar esto subiendo scripts maliciosos camuflados con extensiones alternativas y engañando al servidor web para que los ejecute como PHP, evadiendo así los mecanismos de seguridad basados en el filtrado de extensiones de archivo. Esto puede provocar la ejecución remota de código (RCE), la divulgación de información o la vulneración total del sistema.
Vulnerabilidad en hMailServer 5.8.6 y 5.6.9-beta (CVE-2025-52373)
Severidad: MEDIA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
El uso de una clave criptográfica codificada en BlowFish.cpp en hMailServer 5.8.6 y 5.6.9-beta permite a un atacante descifrar las contraseñas utilizadas en las conexiones de base de datos desde el archivo de configuración hMailServer.ini.
Vulnerabilidad en hMailServer 5.8.6 y 5.6.9-beta (CVE-2025-52374)
Severidad: MEDIA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
El uso de una clave criptográfica codificada en Encryption.cs en hMailServer 5.8.6 y 5.6.9-beta permite a un atacante descifrar las contraseñas de otros servidores desde el archivo hMailAdmin.exe.config para acceder a otras consolas de administración de hMailServer con conexiones configuradas.
Vulnerabilidad en Headwind MDM (CVE-2025-43720)
Severidad: MEDIA
Fecha de publicación: 21/07/2025
Fecha de última actualización: 07/08/2025
Headwind MDM anterior a la versión 5.33.1 permite el acceso a los detalles de configuración a usuarios no autorizados. El perfil de configuración se expone al rol de usuario Observador, lo que revela la contraseña necesaria para salir del perfil del dispositivo controlado por MDM.
Vulnerabilidad en IBM Engineering Systems Design Rhapsody (CVE-2025-33076)
Severidad: ALTA
Fecha de publicación: 23/07/2025
Fecha de última actualización: 07/08/2025
IBM Engineering Systems Design Rhapsody 9.0.2, 10.0 y 10.0.1 es vulnerable a un desbordamiento de búfer basado en la pila, causado por una comprobación incorrecta de los límites. Un usuario local podría desbordar el búfer y ejecutar código arbitrario en el sistema.
Vulnerabilidad en IBM Engineering Systems Design Rhapsody (CVE-2025-33077)
Severidad: ALTA
Fecha de publicación: 23/07/2025
Fecha de última actualización: 07/08/2025
IBM Engineering Systems Design Rhapsody 9.0.2, 10.0 y 10.0.1 es vulnerable a un desbordamiento de búfer basado en la pila, causado por una comprobación incorrecta de los límites. Un usuario local podría desbordar el búfer y ejecutar código arbitrario en el sistema.
Vulnerabilidad en IBM Db2 Mirror para i (CVE-2025-36116)
Severidad: MEDIA
Fecha de publicación: 23/07/2025
Fecha de última actualización: 07/08/2025
La interfaz gráfica de usuario de IBM Db2 Mirror para i 7.4, 7.5 y 7.6 se ve afectada por una vulnerabilidad de secuestro de WebSocket entre sitios. Al enviar una solicitud especialmente manipulada, un agente malicioso no autenticado podría explotar esta vulnerabilidad para rastrear una conexión WebSocket existente y, posteriormente, realizar de forma remota operaciones no permitidas para el usuario.
Vulnerabilidad en IBM Db2 Mirror para i (CVE-2025-36117)
Severidad: MEDIA
Fecha de publicación: 23/07/2025
Fecha de última actualización: 07/08/2025
IBM Db2 Mirror para i 7.4, 7.5 y 7.6 no prohíbe el ID de sesión después de su uso, lo que podría permitir que un usuario autenticado se haga pasar por otro usuario en el sistema.
Vulnerabilidad en SMA 100 (CVE-2025-40596)
Severidad: ALTA
Fecha de publicación: 23/07/2025
Fecha de última actualización: 07/08/2025
Una vulnerabilidad de desbordamiento de búfer basada en pila en la interfaz web de la serie SMA100 permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS) o potencialmente resulte en la ejecución de código.
Vulnerabilidad en SMA 100 (CVE-2025-40597)
Severidad: ALTA
Fecha de publicación: 23/07/2025
Fecha de última actualización: 07/08/2025
Una vulnerabilidad de desbordamiento de búfer basada en montón en la interfaz web de la serie SMA100 permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS) o potencialmente resulte en la ejecución de código.
Vulnerabilidad en SMA 100 (CVE-2025-40598)
Severidad: MEDIA
Fecha de publicación: 23/07/2025
Fecha de última actualización: 07/08/2025
Existe una vulnerabilidad de cross-site scripting (XSS) reflejado en la interfaz web de la serie SMA100, que permite que un atacante remoto no autenticado potencialmente ejecute código JavaScript arbitrario.
Vulnerabilidad en WWBN AVideo 14.4 (CVE-2025-36548)
Severidad: ALTA
Fecha de publicación: 24/07/2025
Fecha de última actualización: 07/08/2025
Existe una vulnerabilidad de cross-site scripting (xss) en la funcionalidad del parámetro cancelUri del formulario de inicio de sesión de LoginWordPress de WWBN AVideo 14.4 y el commit 8a8954ff del maestro de desarrollo. Una solicitud HTTP especialmente manipulada puede provocar la ejecución arbitraria de JavaScript. Un atacante puede hacer que un usuario visite una página web para activar esta vulnerabilidad.
Vulnerabilidad en WWBN AVideo 14.4 (CVE-2025-41420)
Severidad: CRÍTICA
Fecha de publicación: 24/07/2025
Fecha de última actualización: 07/08/2025
Existe una vulnerabilidad de cross-site scripting (xss) en la función del parámetro userLogin cancelUri de WWBN AVideo 14.4 y el commit de desarrollo principal 8a8954ff. Una solicitud HTTP especialmente manipulada puede provocar la ejecución arbitraria de JavaScript. Un atacante puede hacer que un usuario visite una página web para activar esta vulnerabilidad.
Vulnerabilidad en OpenCart (CVE-2025-45892)
Severidad: MEDIA
Fecha de publicación: 25/07/2025
Fecha de última actualización: 07/08/2025
La versión 4.1.0.4 de OpenCart es vulnerable a un ataque de Cross-Site Scripting (XSS) almacenado a través del editor del blog. Esta vulnerabilidad surge porque la entrada en el editor del blog no se depura ni escapa correctamente antes de ser renderizada. Esto permite a los atacantes inyectar código JavaScript malicioso.
Vulnerabilidad en TOTOLINK T6 4.1.5cu.748_B20211015 (CVE-2025-8170)
Severidad: ALTA
Fecha de publicación: 25/07/2025
Fecha de última actualización: 07/08/2025
Se encontró una vulnerabilidad clasificada como crítica en TOTOLINK T6 4.1.5cu.748_B20211015. Esta vulnerabilidad afecta la función tcpcheck_net del archivo /router/meshSlaveDlfw del componente MQTT Packet Handler. La manipulación del argumento serverIp provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en itsourcecode Employee Management System 1.0 (CVE-2025-8172)
Severidad: MEDIA
Fecha de publicación: 25/07/2025
Fecha de última actualización: 07/08/2025
Se encontró una vulnerabilidad clasificada como crítica en itsourcecode Employee Management System 1.0. Se ve afectada una función desconocida del archivo /admin/index.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en 1000 Projects ABC Courier Management System 1.0 (CVE-2025-8173)
Severidad: MEDIA
Fecha de publicación: 25/07/2025
Fecha de última actualización: 07/08/2025
Se ha detectado una vulnerabilidad en 1000 Projects ABC Courier Management System 1.0 clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /Add_reciver.php. La manipulación del argumento reciver_name provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en 1000 Projects ABC Courier Management System 1.0 (CVE-2025-8185)
Severidad: MEDIA
Fecha de publicación: 26/07/2025
Fecha de última actualización: 07/08/2025
Se encontró una vulnerabilidad en 1000 Projects ABC Courier Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /getbyid.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en curve25519-dalek para Rust (CVE-2024-58262)
Severidad: BAJA
Fecha de publicación: 27/07/2025
Fecha de última actualización: 07/08/2025
El paquete curve25519-dalek para Rust anterior a 4.1.3 tiene una operación de tiempo constante en escalares de curva elíptica que es eliminada por LLVM.
Vulnerabilidad en transpose para Rust (CVE-2023-53156)
Severidad: MEDIA
Fecha de publicación: 27/07/2025
Fecha de última actualización: 07/08/2025
El paquete de transpose para Rust anterior a la versión 0.2.3 permite un desbordamiento de enteros a través de los argumentos input_width y input_height.
Vulnerabilidad en cosmwasm-std para Rust (CVE-2024-58263)
Severidad: BAJA
Fecha de publicación: 27/07/2025
Fecha de última actualización: 07/08/2025
El paquete cosmwasm-std para Rust anterior a 2.0.2 permite desbordamientos de enteros que causan cálculos de contrato incorrectos.
Vulnerabilidad en snow para Rust (CVE-2024-58265)
Severidad: BAJA
Fecha de publicación: 27/07/2025
Fecha de última actualización: 07/08/2025
El paquete snow para Rust anterior a 0.9.5, cuando se usa TransportState con estado, permite incrementar un nonce y, por lo tanto, negar la entrega de mensajes.
Vulnerabilidad en shlex para Rust (CVE-2024-58266)
Severidad: BAJA
Fecha de publicación: 27/07/2025
Fecha de última actualización: 07/08/2025
El paquete shlex para Rust anterior a 1.2.1 permite instancias sin comillas ni escapes de los caracteres { y \xa0, lo que puede facilitar la inyección de comandos.
Vulnerabilidad en rosenpass para Rust (CVE-2023-53157)
Severidad: MEDIA
Fecha de publicación: 28/07/2025
Fecha de última actualización: 07/08/2025
El paquete rosenpass para Rust anterior a 0.2.1 permite a atacantes remotos provocar una denegación de servicio (pánico) a través de un paquete UDP de un byte.
Vulnerabilidad en openssl para Rust (CVE-2023-53159)
Severidad: MEDIA
Fecha de publicación: 28/07/2025
Fecha de última actualización: 07/08/2025
El paquete openssl para Rust anterior a 0.10.55 permite una lectura fuera de los límites a través de una cadena vacía a X509VerifyParamRef::set_host.
Vulnerabilidad en Cool Mo Maigcal Number (CVE-2025-8258)
Severidad: MEDIA
Fecha de publicación: 28/07/2025
Fecha de última actualización: 07/08/2025
Se ha detectado una vulnerabilidad clasificada como problemática en la aplicación Cool Mo Maigcal Number hasta la versión 1.0.3 para Android. Este problema afecta a una funcionalidad desconocida del archivo AndroidManifest.xml del componente com.sdmagic.number. Esta manipulación provoca la exportación incorrecta de componentes de la aplicación Android. Es necesario abordar un ataque localmente. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en ssrfcheck (CVE-2025-8267)
Severidad: ALTA
Fecha de publicación: 28/07/2025
Fecha de última actualización: 07/08/2025
Las versiones del paquete ssrfcheck anteriores a la 1.2.0 son vulnerables a la Server-Side Request Forgery (SSRF) debido a una lista de denegación incompleta de rangos de direcciones IP. En concreto, el paquete no clasifica el espacio de direcciones IP reservado 224.0.0.0/4 (Multicast) como inválido. Este descuido permite a los atacantes manipular solicitudes dirigidas a estas direcciones de multicast.
Vulnerabilidad en Campcodes Courier Management System 1.0 (CVE-2025-8229)
Severidad: MEDIA
Fecha de publicación: 27/07/2025
Fecha de última actualización: 07/08/2025
Se ha detectado una vulnerabilidad crítica en Campcodes Courier Management System 1.0. Esta afecta a una parte desconocida del archivo /parcel_list.php. La manipulación del argumento "s" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Courier Management System 1.0 (CVE-2025-8186)
Severidad: MEDIA
Fecha de publicación: 26/07/2025
Fecha de última actualización: 07/08/2025
Se encontró una vulnerabilidad en Campcodes Courier Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /edit_branch.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Courier Management System 1.0 (CVE-2025-8187)
Severidad: MEDIA
Fecha de publicación: 26/07/2025
Fecha de última actualización: 07/08/2025
Se encontró una vulnerabilidad en Campcodes Courier Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /edit_parcel.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Courier Management System 1.0 (CVE-2025-8188)
Severidad: MEDIA
Fecha de publicación: 26/07/2025
Fecha de última actualización: 07/08/2025
Se ha detectado una vulnerabilidad crítica en Campcodes Courier Management System 1.0. Esta afecta a una parte desconocida del archivo /edit_staff.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Courier Management System 1.0 (CVE-2025-8189)
Severidad: MEDIA
Fecha de publicación: 26/07/2025
Fecha de última actualización: 07/08/2025
Se encontró una vulnerabilidad clasificada como crítica en Campcodes Courier Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /edit_user.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en Campcodes Courier Management System 1.0 (CVE-2025-8190)
Severidad: MEDIA
Fecha de publicación: 26/07/2025
Fecha de última actualización: 07/08/2025
Se ha detectado una vulnerabilidad clasificada como crítica en Campcodes Courier Management System 1.0. Este problema afecta a un procesamiento desconocido del archivo /print_pdets.php. La manipulación de los identificadores de los argumentos provoca una inyección SQL. El ataque podría iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
Vulnerabilidad en phpgurukul Nipah virus (NiV) Testing Management System 1.0 (CVE-2025-51044)
Severidad: MEDIA
Fecha de publicación: 29/07/2025
Fecha de última actualización: 07/08/2025
phpgurukul Nipah virus (NiV) Testing Management System 1.0 contiene una vulnerabilidad de inyección SQL en el archivo /new-user-testing.php, debido a una validación insuficiente de la entrada del usuario para el parámetro "govtissuedid".
Vulnerabilidad en Phpgurukul Pre-School Enrollment System 1.0 (CVE-2025-51045)
Severidad: MEDIA
Fecha de publicación: 29/07/2025
Fecha de última actualización: 07/08/2025
Phpgurukul Pre-School Enrollment System 1.0 contiene una vulnerabilidad de inyección SQL en el archivo /admin/password-recovery.php. Esta vulnerabilidad se atribuye a la validación insuficiente de la entrada del usuario para el parámetro de "username".
Vulnerabilidad en Zimbra Collaboration (CVE-2024-45515)
Severidad: MEDIA
Fecha de publicación: 30/07/2025
Fecha de última actualización: 07/08/2025
Se descubrió un problema en Zimbra Collaboration (ZCS) hasta la versión 10.1. Existe una vulnerabilidad de cross-site scripting (XSS) en el correo web de Zimbra debido a una validación insuficiente de los metadatos del tipo de contenido al importar archivos al maletín. Los atacantes pueden explotar este problema creando un archivo con metadatos manipulados, lo que les permite eludir las comprobaciones del tipo de contenido y ejecutar JavaScript arbitrario en la sesión de la víctima.
Vulnerabilidad en LinuxServer.io heimdall 2.6.3-ls307 (CVE-2025-50578)
Severidad: CRÍTICA
Fecha de publicación: 30/07/2025
Fecha de última actualización: 07/08/2025
LinuxServer.io heimdall 2.6.3-ls307 contiene una vulnerabilidad en la gestión de los encabezados HTTP proporcionados por el usuario, específicamente «X-Forwarded-Host» y «Referer». Un atacante remoto no autenticado puede manipular estos encabezados para realizar ataques de inyección de encabezado de host y redirección abierta. Esto permite la carga de recursos externos desde dominios controlados por el atacante y la redirección involuntaria de usuarios, lo que podría facilitar el phishing, la corrección de la interfaz de usuario y el robo de sesión. La vulnerabilidad existe debido a una validación y confianza insuficientes en entradas no confiables, lo que afecta la integridad y la fiabilidad de la aplicación.
Vulnerabilidad en RUCKUS SmartZone (CVE-2025-44954)
Severidad: CRÍTICA
Fecha de publicación: 04/08/2025
Fecha de última actualización: 07/08/2025
RUCKUS SmartZone (SZ) anterior a la versión de actualización 6.1.2p3 tiene una clave privada SSH codificada para una cuenta de usuario equivalente a root.
Vulnerabilidad en Ruckus SmartZone (CVE-2025-44957)
Severidad: ALTA
Fecha de publicación: 04/08/2025
Fecha de última actualización: 07/08/2025
La compilación de actualización de Ruckus SmartZone (SZ) anterior a la versión 6.1.2p3 permite omitir la autenticación a través de una clave API válida y encabezados HTTP manipulados.
Vulnerabilidad en RUCKUS SmartZone (CVE-2025-44960)
Severidad: ALTA
Fecha de publicación: 04/08/2025
Fecha de última actualización: 07/08/2025
La compilación de actualización de RUCKUS SmartZone (SZ) anterior a la versión 6.1.2p3 permite la inyección de comandos del sistema operativo a través de un determinado parámetro en una ruta API.
Vulnerabilidad en RUCKUS SmartZone (CVE-2025-44961)
Severidad: CRÍTICA
Fecha de publicación: 04/08/2025
Fecha de última actualización: 07/08/2025
En RUCKUS SmartZone (SZ) anterior a la versión de actualización 6.1.2p3, la inyección de comandos del sistema operativo puede ocurrir a través de un campo de dirección IP proporcionado por un usuario autenticado.
Vulnerabilidad en RUCKUS SmartZone (CVE-2025-44962)
Severidad: MEDIA
Fecha de publicación: 04/08/2025
Fecha de última actualización: 07/08/2025
La compilación de actualización de RUCKUS SmartZone (SZ) anterior a la versión 6.1.2p3 permite directory traversal ../ para leer archivos.
Vulnerabilidad en LiquidFiles (CVE-2025-46093)
Severidad: CRÍTICA
Fecha de publicación: 04/08/2025
Fecha de última actualización: 07/08/2025
LiquidFiles anterior a 4.1.2 admite FTP SITE CHMOD para el modo 6777 (setuid y setgid), lo que permite a los usuarios de FTPDrop ejecutar código arbitrario como root aprovechando la función Actionscript y la configuración de sudoers.
Vulnerabilidad en LiquidFiles (CVE-2025-46094)
Severidad: BAJA
Fecha de publicación: 04/08/2025
Fecha de última actualización: 07/08/2025
LiquidFiles anterior a 4.1.2 permite la navegación de directorios configurando la ruta de un archivo ejecutable local como un Actionscript.
Vulnerabilidad en Rockwell Automation Arena® Simulation (CVE-2025-7025)
Severidad: ALTA
Fecha de publicación: 05/08/2025
Fecha de última actualización: 07/08/2025
Existe un problema de abuso de memoria en Rockwell Automation Arena® Simulation. Un archivo personalizado puede obligar a Arena Simulation a leer y escribir más allá del límite de memoria. Para usarlo correctamente, se requiere la intervención del usuario, como abrir un archivo o una página web maliciosos. De ser utilizado, un atacante podría ejecutar código o divulgar información.
Vulnerabilidad en Rockwell Automation Arena® Simulation (CVE-2025-7032)
Severidad: ALTA
Fecha de publicación: 05/08/2025
Fecha de última actualización: 07/08/2025
Existe un problema de abuso de memoria en Rockwell Automation Arena® Simulation. Un archivo personalizado puede obligar a Arena Simulation a leer y escribir más allá del límite de memoria. Para usarlo correctamente, se requiere la intervención del usuario, como abrir un archivo o una página web maliciosos. De ser utilizado, un atacante podría ejecutar código o divulgar información.
Vulnerabilidad en Rockwell Automation Arena® Simulation (CVE-2025-7033)
Severidad: ALTA
Fecha de publicación: 05/08/2025
Fecha de última actualización: 07/08/2025
Existe un problema de abuso de memoria en Rockwell Automation Arena® Simulation. Un archivo personalizado puede obligar a Arena Simulation a leer y escribir más allá del límite de memoria. Para usarlo correctamente, se requiere la intervención del usuario, como abrir un archivo o una página web maliciosos. De ser utilizado, un atacante podría ejecutar código o divulgar información.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8628)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware del Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26064.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8629)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos en la actualización de firmware del Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26252.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8630)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26253.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8631)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en el Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26254.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8632)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26255.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8633)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos en la actualización de firmware del Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26256.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8634)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26257.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8635)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26258.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8636)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26259.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8637)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26260.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8638)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26261.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8639)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos en la actualización de firmware del Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en los dispositivos Kenwood DMX958XR afectados. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26262.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8640)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26263.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8641)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26264.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8642)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26265.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8643)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26266.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8644)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26267.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8645)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware del Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26268.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8646)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26269.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8647)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26270.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8648)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de inyección de comandos de actualización de firmware en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización de firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26271.
Vulnerabilidad en Kenwood DMX958XR JKWifiService (CVE-2025-8649)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por inyección de comandos en el servicio JKWifiService de Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el servicio JKWifiService. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Era ZDI-CAN-26305.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8650)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por inyección de comandos libSystemLib en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26306.
Vulnerabilidad en Kenwood DMX958XR JKWifiService (CVE-2025-8651)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por inyección de comandos en el servicio JKWifi de Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el servicio JKWifi. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Era ZDI-CAN-26307.
Vulnerabilidad en Kenwood DMX958XR JKWifiService (CVE-2025-8652)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por inyección de comandos en Kenwood DMX958XR JKWifiService. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el servicio JKWifi. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Era ZDI-CAN-26311.
Vulnerabilidad en Kenwood DMX958XR JKRadioService (CVE-2025-8653)
Severidad: ALTA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en pila en el Kenwood DMX958XR JKRadioService. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas del Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el JKRadioService. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario root. Era ZDI-CAN-26312.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8654)
Severidad: ALTA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por inyección de comandos ReadMVGImage en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en la función ReadMVGImage. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Era ZDI-CAN-26313.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8655)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de ejecución remota de código por inyección de comandos libSystemLib en Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física ejecutar código arbitrario en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el proceso de actualización del firmware. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código con acceso root. Era ZDI-CAN-26314.
Vulnerabilidad en Kenwood DMX958XR (CVE-2025-8656)
Severidad: MEDIA
Fecha de publicación: 06/08/2025
Fecha de última actualización: 07/08/2025
Vulnerabilidad de degradación de software por fallo del mecanismo de protección del Kenwood DMX958XR. Esta vulnerabilidad permite a atacantes con presencia física degradar el software en las instalaciones afectadas de los dispositivos Kenwood DMX958XR. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en la librería libSystemLib. El problema se debe a la falta de una validación adecuada de la información de la versión antes de realizar una actualización. Un atacante puede aprovechar esto, junto con otras vulnerabilidades, para ejecutar código arbitrario en el contexto de root. Era ZDI-CAN-26355.