Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en TerraMaster (CVE-2023-48185)
Severidad: Pendiente de análisis
Fecha de publicación: 17/11/2023
Fecha de última actualización: 02/12/2023
La vulnerabilidad de Directory Traversal en TerraMaster v.s1.0 hasta v.2.295 permite a un atacante remoto obtener información confidencial a través de una solicitud GET manipulada.
Vulnerabilidad en ownCloud owncloud/graphapi de Graphapi (CVE-2023-49103)
Severidad: Pendiente de análisis
Fecha de publicación: 21/11/2023
Fecha de última actualización: 02/12/2023
Se descubrió un problema en ownCloud owncloud/graphapi 0.2.x anterior a 0.2.1 y 0.3.x anterior a 0.3.1. La aplicación Graphapi se basa en una librería GetPhpInfo.php de terceros que proporciona una URL. Cuando se accede a esta URL, se revelan los detalles de configuración del entorno PHP (phpinfo). Esta información incluye todas las variables de entorno del servidor web. En implementaciones en contenedores, estas variables de entorno pueden incluir datos confidenciales, como la contraseña del administrador de ownCloud, las credenciales del servidor de correo y la clave de licencia. Simplemente deshabilitar la aplicación Graphapi no elimina la vulnerabilidad. Además, phpinfo expone otros detalles de configuración potencialmente confidenciales que un atacante podría aprovechar para recopilar información sobre el sistema. Por lo tanto, incluso si ownCloud no se ejecuta en un entorno en contenedores, esta vulnerabilidad debería ser motivo de preocupación. Tenga en cuenta que los contenedores Docker anteriores a febrero de 2023 no son vulnerables a la divulgación de credenciales.
Vulnerabilidad en VK Blocks para WordPress (CVE-2023-5706)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 02/12/2023
El complemento VK Blocks para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del bloque 'vk-blocks/ancestor-page-list' del complemento en todas las versiones hasta la 1.63.0.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en WP Post Columns para WordPress (CVE-2023-5708)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 02/12/2023
El complemento WP Post Columns para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto 'column' del complemento en todas las versiones hasta la 2.2 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en AazzTech WooCommerce Product Carousel Slider (CVE-2023-47755)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 02/12/2023
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en el complemento AazzTech WooCommerce Product Carousel Slider en versiones <=3.3.5.
Vulnerabilidad en zlib-ng minizip-ng v.4.0.2 (CVE-2023-48106)
Severidad: Pendiente de análisis
Fecha de publicación: 22/11/2023
Fecha de última actualización: 02/12/2023
Vulnerabilidad de desbordamiento del búfer en zlib-ng minizip-ng v.4.0.2 permite a un atacante ejecutar código arbitrario a través de un archivo manipulado en la función mz_path_resolve en el archivo mz_os.c.