Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Kantech Gen1 ioSmart (CVE-2023-0248)
  Severidad: Pendiente de análisis
  Fecha de publicación: 14/12/2023
  Fecha de última actualización: 21/12/2023
  Un atacante con acceso físico al lector de tarjetas Kantech Gen1 ioSmart con versión de firmware anterior a 1.7.2 en determinadas circunstancias puede recuperar la memoria de comunicación del lector entre la tarjeta y el lector.
  
• Vulnerabilidad en mlflow/mlflow de GitHub (CVE-2023-6831)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/12/2023
  Fecha de última actualización: 21/12/2023
  Path Traversal: '\..\filename' en el repositorio de GitHub mlflow/mlflow anterior a 2.9.2.
  
• Vulnerabilidad en microweber/microweber de GitHub (CVE-2023-6832)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/12/2023
  Fecha de última actualización: 21/12/2023
  Errores de lógica empresarial en el repositorio de GitHub microweber/microweber anterior a 2.0.
  
• Vulnerabilidad en SmartStar Software CWS (CVE-2023-48374)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/12/2023
  Fecha de última actualización: 21/12/2023
  SmartStar Software CWS es una plataforma de integración basada en web, tiene la vulnerabilidad de utilizar un código rígido para una cuenta específica con privilegios bajos. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para ejecutar procesos parciales y obtener información parcial, pero no puede interrumpir el servicio ni obtener información confidencial.
  
• Vulnerabilidad en Softnext Mail SQR Expert (CVE-2023-48378)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/12/2023
  Fecha de última actualización: 21/12/2023
  Softnext Mail SQR Expert tiene una vulnerabilidad de path traversal dentro de su parámetro en una URL específica. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para eludir la autenticación y descargar archivos arbitrarios del sistema.
  
• Vulnerabilidad en Softnext Mail SQR Expert (CVE-2023-48379)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/12/2023
  Fecha de última actualización: 21/12/2023
  Softnext Mail SQR Expert es una plataforma de gestión de correo electrónico, tiene un filtrado inadecuado para un parámetro de URL específico dentro de una función específica. Un atacante remoto no autenticado puede realizar un ataque Blind SSRF para descubrir la topología de la red interna basándose en la respuesta de error de URL.
  
• Vulnerabilidad en Softnext Mail SQR Expert (CVE-2023-48380)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/12/2023
  Fecha de última actualización: 21/12/2023
  Softnext Mail SQR Expert es una plataforma de gestión de correo electrónico, no tiene filtrado suficiente para un carácter especial dentro de una función específica. Un atacante remoto autenticado como host local puede aprovechar esta vulnerabilidad para realizar ataques de inyección de comandos, ejecutar comandos arbitrarios del sistema, manipular el sistema o interrumpir el servicio.
  
• Vulnerabilidad en Softnext Mail SQR Expert (CVE-2023-48382)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/12/2023
  Fecha de última actualización: 21/12/2023
  Softnext Mail SQR Expert es una plataforma de gestión de correo electrónico, tiene una vulnerabilidad de Inclusión de Archivo Local (LFI) en una URL relacionada con la entrega de correo. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para ejecutar un archivo PHP arbitrario con extensión de archivo .asp en rutas de sistema específicas, para acceder y modificar información parcial del sistema, pero no afecta la disponibilidad del servicio.