Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en las cadenas codificadas en Base64 en la funcionalidad VPN Secure Sockets Layer (SSL) del Software Cisco Adaptive Security Appliance (CVE-2019-12677)
Severidad: MEDIA
Fecha de publicación: 02/10/2019
Fecha de última actualización: 15/08/2023
Una vulnerabilidad en la funcionalidad VPN Secure Sockets Layer (SSL) del Software Cisco Adaptive Security Appliance (ASA), podría permitir a un atacante remoto autenticado causar una condición de denegación de servicio (DoS) que impide la creación de nuevas conexiones SSL/Transport Layer Security (TLS) en un dispositivo afectado. La vulnerabilidad es debido al manejo incorrecto de las cadenas codificadas en Base64. Un atacante podría explotar esta vulnerabilidad al abrir muchas sesiones VPN SSL en un dispositivo afectado. El atacante necesitaría tener credenciales de usuario válidas sobre el dispositivo afectado para explotar esta vulnerabilidad. Una explotación con éxito podría permitir al atacante sobrescribir una ubicación especial de memoria del sistema, lo que eventualmente resulta en errores de asignación de memoria para nuevas sesiones SSL/TLS en el dispositivo, impidiendo el establecimiento con éxito de estas sesiones. Se requiere una recarga del dispositivo para recuperarse de esta condición. Las conexiones SSL/TLS establecidas en el dispositivo y las conexiones SSL/TLS por medio del dispositivo no están afectadas. Nota: Aunque esta vulnerabilidad se encuentra en la funcionalidad VPN SSL, la explotación con éxito de esta vulnerabilidad afectaría todas las nuevas sesiones SSL/TLS en el dispositivo, incluidas las sesiones de administración.
-
Vulnerabilidad en Cisco Adaptive Security Appliances (CVE-2013-3458)
Severidad: ALTA
Fecha de publicación: 08/09/2013
Fecha de última actualización: 15/08/2023
Los dispositivos Cisco Adaptive Security Appliances (ASA), cuando se utiliza SMP, no procesan correctamente certificados X.509, lo cual permite a atacantes remotos provocar una denegación de servicio (caída del dispositivo) a través de un volumen grande de tráfico SSL o TLS. Aka Bug ID CSCuh19462.
-
Vulnerabilidad en Cisco Adaptive Security Appliance de Border Gateway Protocol (CVE-2017-3867)
Severidad: MEDIA
Fecha de publicación: 17/03/2017
Fecha de última actualización: 15/08/2023
Una vulnerabilidad en la implementación de BFD (Border Forwarding Detection) del software Cisco Adaptive Security Appliance (ASA) de Border Gateway Protocol (BGP) podría permitir a un atacante remoto no autenticado omitir la lista de control de acceso (ACL) para tráfico TCP y UDP específico. Más información: CSCvc79842 CSCvc79846 CSCvc79855 CSCvc79873 CSCvc79882 CSCvc79891. Lanzamientos afectados conocidos: 11.1.2.
-
Vulnerabilidad en Plugin Realia para WordPress (CVE-2023-4277)
Severidad: Pendiente de análisis
Fecha de publicación: 10/08/2023
Fecha de última actualización: 15/08/2023
El plugin Realia para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta la 1.4.0 inclusive. Esto se debe a la falta de validación nonce en la función "process_change_profile_form". Esto hace posible que los atacantes no autenticados cambien el correo electrónico del usuario, a través de una solicitud manipulada concedida, y puedan engañar a un administrador del sitio para realizar una acción como hacer clic en un enlace.
-
Vulnerabilidad en Plugin Absolute Privacy para WordPress (CVE-2023-4276)
Severidad: Pendiente de análisis
Fecha de publicación: 10/08/2023
Fecha de última actualización: 15/08/2023
El plugin Absolute Privacy para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en versiones hasta la 2.1 inclusive. Esto se debe a la falta de validación nonce en la función "abpr_profileShortcode". Esto hace posible que los atacantes no autenticados cambien el correo electrónico y la contraseña del usuario, a través de una solicitud manipulada concedida, y puedan engañar a un administrador del sitio para realizar una acción como hacer hacer clic en un enlace.