Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en h2o (CVE-2023-41337)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/12/2023
    Fecha de última actualización: 19/12/2023
    h2o es un servidor HTTP compatible con HTTP/1.x, HTTP/2 y HTTP/3. En la versión 2.3.0-beta2 y anteriores, cuando h2o está configurado para escuchar múltiples direcciones o puertos y cada uno de ellos usa diferentes servidores backend administrados por múltiples entidades, una entidad backend maliciosa que también tiene la oportunidad de observar o inyectar paquetes intercambiados entre el cliente y h2o pueden desviar las solicitudes HTTPS que van a otros backends y observar el contenido de esa solicitud HTTPS que se envía. El ataque implica que un cliente víctima intenta reanudar una conexión TLS y un atacante redirige los paquetes a una dirección o puerto diferente al previsto por el cliente. El atacante ya debe haber sido configurado por el administrador de h2o para actuar como backend de una de las direcciones o puertos que escucha la instancia de h2o. Los ID de sesión y los tickets generados por h2o no están vinculados a información específica de la dirección del servidor, el puerto o el certificado X.509 y, por lo tanto, es posible que un atacante fuerce la conexión de la víctima a reanudarse incorrectamente en una dirección de servidor o puerto diferente. en el que está escuchando la misma instancia de h2o. Una vez que una sesión TLS se dirige erróneamente para reanudarse a una dirección/puerto de servidor que está configurado para usar un servidor controlado por el atacante como backend, dependiendo de la configuración, las solicitudes HTTPS del cliente víctima pueden reenviarse al servidor del atacante. Una instancia H2O es vulnerable a este ataque solo si la instancia está configurada para escuchar diferentes direcciones o puertos usando la directiva de escucha en el nivel de host y la instancia está configurada para conectarse a servidores backend administrados por múltiples entidades. Hay un parche disponible en el commit 35760540337a47e5150da0f4a66a609fad2ef0ab. Como workaround, se pueden dejar de utilizar directivas de escucha a nivel de host en favor de las de nivel global.
  • Vulnerabilidad en h2o (CVE-2023-50247)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/12/2023
    Fecha de última actualización: 19/12/2023
    h2o es un servidor HTTP compatible con HTTP/1.x, HTTP/2 y HTTP/3. La pila QUIC (rápidamente), tal como la utiliza H2O hasta el commit 43f86e5 (en la versión 2.3.0-beta y anteriores), es susceptible a un ataque de agotamiento de estado. Cuando H2O sirve HTTP/3, un atacante remoto puede aprovechar esta vulnerabilidad para aumentar progresivamente la memoria retenida por la pila QUIC. Esto eventualmente puede causar que H2O cancele debido al agotamiento de la memoria. La vulnerabilidad se resolvió en el commit d67e81d03be12a9d53dc8271af6530f40164cd35. HTTP/1 y HTTP/2 no se ven afectados por esta vulnerabilidad ya que no utilizan QUIC. Los administradores que quieran mitigar este problema sin realizar una actualización pueden desactivar la compatibilidad con HTTP/3.
  • Vulnerabilidad en Laf (CVE-2023-48225)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/12/2023
    Fecha de última actualización: 19/12/2023
    Laf es una plataforma de desarrollo en la nube. Antes de la versión 1.0.0-beta.13, el control del entorno de la aplicación LAF no era lo suficientemente estricto y, en ciertos escenarios del entorno de privatización, puede provocar una filtración de información confidencial en secreto y en el mapa de configuración. En la sintaxis de ES6, si un objeto hace referencia directamente a otro objeto, el nombre del propio objeto se utilizará como clave y toda la estructura del objeto se integrará intacta. Al construir la instancia de implementación de la aplicación, se encontró env en la base de datos y se insertó directamente en la plantilla, lo que resultó en controlabilidad aquí. La información confidencial en el mapa secreto y de configuración se puede leer a través del campo envFrom de k8s. En un entorno de privatización, cuando `namespaceConf. fijo` está marcado, puede provocar la fuga de información confidencial en el sistema. Al momento de la publicación, no está claro si existen parches o workarounds.
  • Vulnerabilidad en Fortinet FortiVoiceEnterprise, FortiSwitch, FortiMail, FortiRecorder y FortiNDR (CVE-2022-27488)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 19/12/2023
    Cross-Site Request Forgery (CSRF) en Fortinet FortiVoiceEnterprise versión 6.4.x, 6.0.x, FortiSwitch versión 7.0.0 a 7.0.4, 6.4.0 a 6.4.10, 6.2.0 a 6.2.7, 6.0.x , FortiMail versión 7.0.0 a 7.0.3, 6.4.0 a 6.4.6, 6.2.x, 6.0.x FortiRecorder versión 6.4.0 a 6.4.2, 6.0.x, 2.7.x, 2.6.x, FortiNDR versión 1.xx permite que un atacante remoto no autenticado ejecute comandos en la CLI engañando a un administrador autenticado para que ejecute solicitudes GET maliciosas.
  • Vulnerabilidad en Fortinet FortiWeb (CVE-2023-46713)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 19/12/2023
    Una neutralización de salida inadecuada para los registros en Fortinet FortiWeb 6.2.0 - 6.2.8, 6.3.0 - 6.3.23, 7.0.0 - 7.0.9, 7.2.0 - 7.2.5 y 7.4.0 puede permitir que un atacante falsifique registros de tráfico a través de una URL manipulada de la aplicación web.
  • Vulnerabilidad en LMS Lite para Joomla (CVE-2023-40629)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Vulnerabilidad SQLi en el componente LMS Lite para Joomla.
  • Vulnerabilidad en Proforms Basic para Joomla (CVE-2023-40655)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió una vulnerabilidad XSS reflejada en el componente Proforms Basic para Joomla.
  • Vulnerabilidad en Quickform para Joomla (CVE-2023-40656)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió una vulnerabilidad XSS reflejada en el componente Quickform para Joomla.
  • Vulnerabilidad en Joomdoc para Joomla (CVE-2023-40657)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió una vulnerabilidad XSS reflejada en el componente Joomdoc para Joomla.
  • Vulnerabilidad en Clicky Analytics Dashboard para Joomla (CVE-2023-40658)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió una vulnerabilidad XSS reflejada en el módulo Clicky Analytics Dashboard para Joomla.
  • Vulnerabilidad en Easy Quick Contact para Joomla (CVE-2023-40659)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió una vulnerabilidad XSS reflejada en el módulo Easy Quick Contact para Joomla.
  • Vulnerabilidad en S5 Register para Joomla (CVE-2023-49707)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Vulnerabilidad SQLi en el módulo S5 Register para Joomla.
  • Vulnerabilidad en Starshop para Joomla (CVE-2023-49708)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Vulnerabilidad SQLi en el componente Starshop para Joomla.
  • Vulnerabilidad en SchedMD Slurm (CVE-2023-49938)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió un problema en SchedMD Slurm 22.05.x y 23.02.x. Hay un control de acceso incorrecto: un atacante puede modificar su lista de grupos extendidos que se usa con el subsistema sbcast y abrir archivos con un conjunto no autorizado de grupos extendidos. Las versiones fijas son 22.05.11 y 23.02.7.
  • Vulnerabilidad en PlutoSVG (CVE-2023-44709)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió que el commit PlutoSVG 336c02997277a1888e6ccbbbe674551a0582e5c4 y anteriores contenía un desbordamiento de enteros a través del componente plutosvg_load_from_memory.
  • Vulnerabilidad en ZXCLOUD iRAI (CVE-2023-25648)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Existe una vulnerabilidad de permiso de carpeta débil en el producto ZXCLOUD iRAI de ZTE. Debido a un permiso de carpeta débil, un atacante con privilegios de usuario normales podría construir una DLL falsa para ejecutar un comando para escalar los privilegios locales.
  • Vulnerabilidad en ZXCLOUD iRAI (CVE-2023-25650)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Existe una vulnerabilidad de descarga de archivos arbitrarios en ZXCLOUD iRAI. Dado que el backend no escapa a cadenas especiales ni restringe rutas, un atacante con permiso del usuario podría acceder a la interfaz de descarga modificando el parámetro de solicitud, provocando descargas de archivos arbitrarias.
  • Vulnerabilidad en ZTE mobile (CVE-2023-25651)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Existe una vulnerabilidad de inyección SQL en algunos productos de Internet móvil de ZTE. Debido a una validación de entrada insuficiente del parámetro de la interfaz SMS, un atacante autenticado podría utilizar la vulnerabilidad para ejecutar una inyección SQL y provocar una fuga de información.
  • Vulnerabilidad en Nagios XI (CVE-2023-48084)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió que Nagios XI anterior a la versión 5.11.3 contenía una vulnerabilidad de inyección SQL a través de la herramienta de modificación masiva.
  • Vulnerabilidad en Nagios XI (CVE-2023-48085)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió que Nagios XI anterior a la versión 5.11.3 contenía una vulnerabilidad de ejecución remota de código (RCE) a través del componente command_test.php.
  • Vulnerabilidad en Octopus Server (CVE-2023-1904)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    En las versiones afectadas de Octopus Server, es posible que el secreto del cliente OpenID se registre en texto plano durante la configuración de Octopus Server.
  • Vulnerabilidad en Zoom (CVE-2023-43583)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 19/12/2023
    Los problemas criptográficos de la aplicación Zoom Mobile para Android, la aplicación Zoom Mobile para iOS y los SDK de Zoom para Android e iOS anteriores a la versión 5.16.0 pueden permitir que un usuario privilegiado realice una divulgación de información a través del acceso a la red.
  • Vulnerabilidad en Emlog Pro v2.1.14 (CVE-2023-41618)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Se descubrió que Emlog Pro v2.1.14 contiene una vulnerabilidad de cross-site scripting (XSS) reflejado a través del componente /admin/article.php?active_savedraft.
  • Vulnerabilidad en Beckhoffs TwinCAT/BSD (CVE-2023-6545)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    El paquete authelia-bhf incluido en Beckhoffs TwinCAT/BSD es propenso a una redirección abierta que permite a un atacante remoto sin privilegios redirigir a un usuario a otro sitio. Esto puede tener un impacto limitado en la integridad y afecta únicamente a anthelia-bhf, la bifurcación Beckhoff de authelia.
  • Vulnerabilidad en gradio-app/gradio de GitHub (CVE-2023-6572)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Exposición de información confidencial a un actor no autorizado en el repositorio de GitHub gradio-app/gradio antes de main.
  • Vulnerabilidad en Aleksandar Uroševi? Stock Ticker (CVE-2022-45365)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en Aleksandar Uroševi? Stock Ticker permite XSS reflejado. Este problema afecta a Stock Ticker: desde n/a hasta 3.23.2.
  • Vulnerabilidad en Patchstack (CVE-2023-49739)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    [TIPO DE PROBLEMA] en [COMPONENTE] en [PROVEEDOR] [PRODUCTO] [VERSIÓN] en [PLATAFORMAS] permite que [ATACANTE] [IMPACTE] a través de [VECTOR]
  • Vulnerabilidad en WhatsUp Gold (CVE-2023-6365)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    En las versiones de WhatsUp Gold lanzadas antes de la 2023.1, se identificó una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas. Es posible que un atacante cree un payload XSS y almacene ese valor dentro de un grupo de dispositivos. Si un usuario de WhatsUp Gold interactúa con el payload manipulado, el atacante podría ejecutar JavaScript malicioso dentro del contexto del navegador de la víctima.
  • Vulnerabilidad en WhatsUp Gold (CVE-2023-6366)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    En las versiones de WhatsUp Gold lanzadas antes de la 2023.1, se identificó una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas. Es posible que un atacante cree un payload XSS y almacene ese valor en el Centro de Alertas. Si un usuario de WhatsUp Gold interactúa con el payload manipulado, el atacante podría ejecutar JavaScript malicioso dentro del contexto del navegador de la víctima.
  • Vulnerabilidad en WhatsUp Gold (CVE-2023-6367)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    En las versiones de WhatsUp Gold lanzadas antes de la 2023.1, se identificó una vulnerabilidad de Cross-Site Scripting (XSS) almacenadas. Es posible que un atacante cree un payload XSS y almacene ese valor dentro de Roles. Si un usuario de WhatsUp Gold interactúa con el payload manipulado, el atacante podría ejecutar JavaScript malicioso dentro del contexto del navegador de la víctima.
  • Vulnerabilidad en WhatsUp Gold (CVE-2023-6368)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    En las versiones de WhatsUp Gold lanzadas antes de 2023.1, se descubrió que a un endpoint de API le faltaba un mecanismo de autenticación. Es posible que un atacante no autenticado enumere información relacionada con un dispositivo registrado que está siendo monitorizado por WhatsUp Gold.
  • Vulnerabilidad en WhatsUp Gold (CVE-2023-6595)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    En las versiones de WhatsUp Gold lanzadas antes de 2023.1, se descubrió que a un endpoint de API le faltaba un mecanismo de autenticación. Es posible que un atacante no autenticado enumere información de credenciales auxiliares almacenada en WhatsUp Gold.
  • Vulnerabilidad en Dokmee ECM 7.4.6 (CVE-2023-47261)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Dokmee ECM 7.4.6 permite la ejecución remota de código porque la respuesta a una solicitud GettingStarted/SaveSQLConnectionAsync /#/gettingstarted contiene una cadena de conexión para acceso privilegiado a la base de datos de SQL Server y se puede habilitar xp_cmdshell.
  • Vulnerabilidad en Dell vApp Manager (CVE-2023-48671)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Dell vApp Manager, las versiones anteriores a la 9.2.4.x contienen una vulnerabilidad de divulgación de información. Un atacante remoto podría explotar esta vulnerabilidad y obtener información confidencial que podría ayudar en futuros ataques.
  • Vulnerabilidad en EnigmaWeb WP Catalog (CVE-2023-48780)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en EnigmaWeb WP Catalog permite almacenar XSS. Este problema afecta a WP Catalogue: desde n/a hasta 1.7.6.
  • Vulnerabilidad en CurrencyRate.Today Currency Converter Calculator (CVE-2023-49149)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en CurrencyRate.Today Currency Converter Calculator permite almacenar XSS. Este problema afecta a Currency Converter Calculator: desde n/a hasta 1.3.1.
  • Vulnerabilidad en CurrencyRate.Today Crypto Converter Widget (CVE-2023-49150)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en CurrencyRate.Today Crypto Converter Widget permite almacenar XSS. Este problema afecta a Crypto Converter Widget: desde n/a hasta 1.8.1.
  • Vulnerabilidad en wpexpertsio Rocket Maintenance Mode & Coming Soon Page (CVE-2023-49842)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting') en wpexpertsio Rocket Maintenance Mode & Coming Soon Page permite almacenar XSS. Este problema afecta a Rocket Maintenance Mode & Coming Soon Page: desde n/a hasta 4.3.
  • Vulnerabilidad en weDevs WP Project Manager – Task, team, and project management plugin featuring kanban board and gantt charts (CVE-2023-49860)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Scripting entre sitios') en weDevs WP Project Manager – Task, team, and project management plugin featuring kanban board and gantt charts permite almacenar XSS. Este problema afecta a WP Project Manager – Task, team, and project management plugin featuring kanban board and gantt charts: desde n/a hasta 2.6.7.
  • Vulnerabilidad en Dell vApp Manager (CVE-2023-48664)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Dell vApp Manager, las versiones anteriores a 9.2.4.x contienen una vulnerabilidad de inyección de comandos. Un usuario malicioso remoto con altos privilegios podría explotar esta vulnerabilidad y llevar a la ejecución de comandos arbitrarios del sistema operativo en el sistema afectado.
  • Vulnerabilidad en Dell vApp Manager (CVE-2023-48665)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Dell vApp Manager, las versiones anteriores a 9.2.4.x contienen una vulnerabilidad de inyección de comandos. Un usuario malicioso remoto con altos privilegios podría explotar esta vulnerabilidad y llevar a la ejecución de comandos arbitrarios del sistema operativo en el sistema afectado.
  • Vulnerabilidad en Peter Raschendorfer Smart External Link Click Monitor [Link Log] (CVE-2023-49770)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Peter Raschendorfer Smart External Link Click Monitor [Link Log] permite almacenar XSS. Este problema afecta Smart External Link Click Monitor [Link Log]: de n/a hasta 5.0.2.
  • Vulnerabilidad en Simple Calendar Simple Calendar – Google Calendar Plugin (CVE-2023-49151)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en Simple Calendar Simple Calendar – Google Calendar Plugin permite almacenar XSS. Este problema afecta a Simple Calendar – Google Calendar Plugin: desde n/a hasta 3.2.6.
  • Vulnerabilidad en Labs64 Credit Tracker (CVE-2023-49152)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Labs64 Credit Tracker permite almacenar XSS. Este problema afecta a Credit Tracker: desde n/a hasta 1.1.17.
  • Vulnerabilidad en Andreas Münch Multiple Post Passwords (CVE-2023-49157)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Andreas Münch Multiple Post Passwords permite almacenar XSS. Este problema afecta a Multiple Post Passwords: desde n/a hasta 1.1.1.
  • Vulnerabilidad en TypeScript (CVE-2023-50710)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 19/12/2023
    Hono es un framework web escrito en TypeScript. Antes de la versión 3.11.7, los clientes pueden anular los valores de los parámetros de ruta con nombre de solicitudes anteriores si la aplicación utiliza TrieRouter. Por lo tanto, existe el riesgo de que un usuario privilegiado utilice parámetros no deseados al eliminar recursos de la API REST. TrieRouter se usa explícitamente o cuando la aplicación coincide con un patrón que no es compatible con el RegExpRouter predeterminado. La versión 3.11.7 incluye el cambio para solucionar este problema. Como workaround, evite utilizar TrieRouter directamente.
  • Vulnerabilidad en Apache Dubbo (CVE-2023-46279)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 19/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Apache Dubbo. Este problema solo afecta a Apache Dubbo 3.1.5. Se recomienda a los usuarios que actualicen a la última versión, lo que soluciona el problema.