Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en el archivo application\admin\controller\User.php del componente Cookie en ThinkAdmin (CVE-2019-11018)
  Severidad: MEDIA
  Fecha de publicación: 08/04/2019
  Fecha de última actualización: 07/12/2023
  El archivo application\admin\controller\User.php en ThinkAdmin Versión 4.0 no impide el uso continuado de las credenciales basadas en cookie de un administrador después de un cambio de contraseña.
  
• Vulnerabilidad en los archivos app/admin/controller/api/Update.php y app/wechat/controller/api/Push.php en ThinkAdmin (CVE-2020-23653)
  Severidad: ALTA
  Fecha de publicación: 13/01/2021
  Fecha de última actualización: 07/12/2023
  Se detectó una vulnerabilidad no serializada no segura en ThinkAdmin versiones 4.x hasta 6.x en los archivos app/admin/controller/api/Update.php y app/wechat/controller/api/Push.php, que puede conllevar a una ejecución de código remota arbitraria
  
• Vulnerabilidad en una petición GET en el parámetro encode en ThinkAdmin (CVE-2020-25540)
  Severidad: MEDIA
  Fecha de publicación: 14/09/2020
  Fecha de última actualización: 07/12/2023
  ThinkAdmin versión v6, está afectado por una vulnerabilidad de salto de directorio. Un atacante no autorizado puede leer un archivo arbitrariamente en un servidor remoto por medio del parámetro encode de una petición GET
  
• Vulnerabilidad en credenciales de administrador predeterminadas en ThinkAdmin (CVE-2020-35296)
  Severidad: MEDIA
  Fecha de publicación: 03/03/2021
  Fecha de última actualización: 07/12/2023
  ThinkAdmin versión v6, presenta credenciales de administrador predeterminadas, lo que permite a atacantes conseguir acceso sin restricciones al panel de control del administrador
  
• Vulnerabilidad en ThinkAdmin (CVE-2020-29315)
  Severidad: MEDIA
  Fecha de publicación: 01/12/2020
  Fecha de última actualización: 07/12/2023
  ThinkAdmin versión v1 v6, presenta una vulnerabilidad de tipo XSS almacenado que permite a atacantes remotos inyectar un script web o HTML arbitrario
  
• Vulnerabilidad en Thecosy IceCMS (CVE-2023-40833)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/10/2023
  Fecha de última actualización: 07/12/2023
  Un problema en Thecosy IceCMS v.1.0.0 permite a un atacante remoto obtener privilegios a través del ID y los parámetros clave en getCosSetting.
  
• Vulnerabilidad en Thecosy IceCMS 2.0.1 (CVE-2023-6466)
  Severidad: MEDIA
  Fecha de publicación: 02/12/2023
  Fecha de última actualización: 07/12/2023
  Se encontró una vulnerabilidad en Thecosy IceCMS 2.0.1. Ha sido declarada problemática. Esta vulnerabilidad afecta a código desconocido del archivo /planet del componente User Comment Handler. La manipulación conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-246616.
  
• Vulnerabilidad en IBM Db2 (CVE-2023-45178)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/12/2023
  Fecha de última actualización: 07/12/2023
  La Interfaz de Línea de Comandos (CLI) de IBM Db2 para Linux, UNIX y Windows (incluye DB2 Connect Server) 11.5 es vulnerable a una denegación de servicio cuando se utiliza una solicitud especialmente manipulada. ID de IBM X-Force: 268073.
  
• Vulnerabilidad en Forgejo (CVE-2023-49946)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/12/2023
  Fecha de última actualización: 07/12/2023
  En Forgejo anterior a 1.20.5-1, ciertos endpoints no verifican si un objeto pertenece a un repositorio cuyos permisos se están verificando. Esto permite a atacantes remotos leer problemas privados, leer solicitudes de extracción privadas, eliminar problemas y realizar otras acciones no autorizadas.
  
• Vulnerabilidad en Forgejo (CVE-2023-49947)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/12/2023
  Fecha de última actualización: 07/12/2023
  Forgejo anterior a 1.20.5-1 permite omitir 2FA cuando el inicio de sesión en Docker utiliza autenticación básica.
  
• Vulnerabilidad en Forgejo (CVE-2023-49948)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/12/2023
  Fecha de última actualización: 07/12/2023
  Forgejo anterior a 1.20.5-1 permite a atacantes remotos probar la existencia de cuentas de usuarios privadas añadiendo .rss (u otra extensión) a una URL.
  
• Vulnerabilidad en IBM Db2 (CVE-2023-40692)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.5, 11.1, 11.5 es vulnerable a la denegación de servicio en condiciones de estrés extremo. ID de IBM X-Force: 264807.
  
• Vulnerabilidad en IBM Db2 (CVE-2023-38003)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.5, 11.1 y 11.5 podría permitir a un usuario con privilegios DATAACCESS ejecutar rutinas a las que no debería tener acceso. ID de IBM X-Force: 260214.
  
• Vulnerabilidad en Unisoc (CVE-2023-42679)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En GPU driver, existe una posible escritura fuera de los límites debido a una comprobación de los límites faltante. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  
• Vulnerabilidad en Unisoc (CVE-2023-42680)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En GPU driver, existe una posible lectura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  
• Vulnerabilidad en Unisoc (CVE-2023-42681)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En el servicio ion, es posible que falte una verificación de permiso. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42682)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En GSP driver, existe una posible escritura fuera de los límites debido a una comprobación de los límites faltante. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  
• Vulnerabilidad en Unisoc (CVE-2023-42697)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En omacp service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a que falta una verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42698)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En omacp service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a que falta una verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42699)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En omacp service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a que falta una verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42700)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42701)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42702)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42703)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42704)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En imsservice, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a que falta una verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42705)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En imsservice, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a que falta una verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42706)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42707)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42708)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42709)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42711)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42712)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42713)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42714)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En firewall service, existe una forma posible de escribir registros de uso de permisos de una aplicación debido a una falta de verificación de permisos. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42724)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En GPU driver, existe una posible lectura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  
• Vulnerabilidad en Unisoc (CVE-2023-42725)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En GPU driver, existe una posible lectura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  
• Vulnerabilidad en Unisoc (CVE-2023-42726)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En TeleService existe una posible lectura fuera de los límites debido a una comprobación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  
• Vulnerabilidad en Unisoc (CVE-2023-42727)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En GPU driver, existe una posible escritura fuera de los límites debido a una verificación de los límites incorrecta. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.
  
• Vulnerabilidad en Unisoc (CVE-2023-42728)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En Phasecheckserver, existe una posible lectura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Unisoc (CVE-2023-42729)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/12/2023
  Fecha de última actualización: 07/12/2023
  En ril service, existe una posible escritura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución de System necesarios.