Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el proceso LLDP en Aruba CX Switches Series 6200F, 6300, 6400, 8320, 8325 y 8400 (CVE-2020-7121)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2020
    Fecha de última actualización: 28/12/2023
    Se han encontrado dos vulnerabilidades de corrupción de memoria en Aruba CX Switches Series 6200F, 6300, 6400, 8320, 8325 y 8400. Una explotación con éxito de estas vulnerabilidades podría resultar en la Denegación de Servicio Local del proceso LLDP (Link Layer Discovery Protocol) en el switch. Esto aplica a las versiones de firmware anteriores a 10.04.3021
  • Vulnerabilidad en el Proceso CDP en Aruba CX Switches Series 6200F, 6300, 6400, 8320, 8325, y 8400 (CVE-2020-7122)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2020
    Fecha de última actualización: 28/12/2023
    Se han encontrado dos vulnerabilidades de corrupción de memoria en Aruba CX Switches Series 6200F, 6300, 6400, 8320, 8325, y 8400. Una explotación con éxito de estas vulnerabilidades podría resultar en una Denegación de Servicio Local del Proceso CDP (Cisco Discovery Protocol) en el switch. Esto aplica a las versiones de firmware anteriores a 10.04.1000
  • Vulnerabilidad en el archivo city.php en SourceCodester Human Resource Management System (CVE-2022-3471)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/10/2022
    Fecha de última actualización: 28/12/2023
    Se ha encontrado una vulnerabilidad en SourceCodester Human Resource Management System. Ha sido declarada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo city.php. La manipulación del argumento searccity conlleva a una inyección sql. El ataque puede ser lanzado de forma remota. La explotación ha sido divulgada al público y puede ser usada. El identificador asociado a esta vulnerabilidad es VDB-210715
  • Vulnerabilidad en el componente Master List en SourceCodester Human Resource Management System (CVE-2022-3497)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/10/2022
    Fecha de última actualización: 28/12/2023
    Se ha encontrado una vulnerabilidad en SourceCodester Human Resource Management System versión 1.0. ha sido clasificada como problemática. Está afectada una función desconocida del componente Master List. La manipulación del argumento city/state/country/position conlleva a un ataque de tipo cross site scripting. Es posible lanzar el ataque de forma remota. VDB-210786 es el identificador asignado a esta vulnerabilidad
  • Vulnerabilidad en SourceCodester Online Medicine Ordering System 1.0. (CVE-2022-3716)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/10/2022
    Fecha de última actualización: 28/12/2023
    Una vulnerabilidad clasificada como problemática fue encontrada en SourceCodester Online Medicine Ordering System 1.0. Una funcionalidad desconocida del archivo /omos/admin/?page=user/list es afectada por esta vulnerabilidad. La manipulación del argumento Nombre/Segundo Nombre/Apellido conduce a Cross Site Scripting. El ataque se puede lanzar de forma remota. El identificador asociado de esta vulnerabilidad es VDB-212347.
  • Vulnerabilidad en SourceCodester Online Medicine Ordering System 1.0 (CVE-2022-3714)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/10/2022
    Fecha de última actualización: 28/12/2023
    Una vulnerabilidad ha sido encontrada en SourceCodester Online Medicine Ordering System 1.0 y clasificada como crítica. Una función desconocida del archivo admin/?page=orders/view_order es afectada. La manipulación del argumento id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. VDB-212346 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en sanluan PublicCMS (CVE-2022-3950)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/11/2022
    Fecha de última actualización: 28/12/2023
    Una vulnerabilidad fue encontrada en sanluan PublicCMS y clasificada como problemática. La función initLink del archivo dwz.min.js del componente Tab Handler es afectada por esta vulnerabilidad. La manipulación conduce a Cross-Site Scripting (XSS). Es posible lanzar el ataque de forma remota. El nombre del parche es a972dc9b1c94aea2d84478bf26283904c21e4ca2. Se recomienda aplicar un parche para solucionar este problema. El identificador de esta vulnerabilidad es VDB-213456.
  • Vulnerabilidad en Speckle Server (CVE-2023-50713)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 28/12/2023
    Speckle Server proporciona servidor, interfaz, visor 3D y otras utilidades de JavaScript para la plataforma de datos Speckle 3D. Una vulnerabilidad en versiones anteriores a la 2.17.6 afecta a los usuarios que: autorizaron una aplicación que solicitó un alcance de "escritura de token" o, utilizando frontend-2, crearon un token de acceso personal (PAT) con alcance de "escritura de token". Al crear un nuevo token, un agente debe autorizar la solicitud con un token existente (el "token solicitante"). Se requiere que el token solicitante tenga alcance de escritura de token para poder generar nuevos tokens. Sin embargo, el servidor Speckle no estaba verificando que otros privilegios otorgados al nuevo token no excedieran los privilegios del token solicitante. Un actor malintencionado podría utilizar un token con alcance de escritura de token únicamente para generar posteriormente más tokens con privilegios adicionales. Estos privilegios solo otorgarían permisos hasta los privilegios existentes del usuario. Esta vulnerabilidad no se puede utilizar para escalar los privilegios de un usuario ni otorgar permisos en nombre de otros usuarios. Esto ha sido parcheado a partir de la versión 2.17.6. Todos los operadores de servidores Speckle deben actualizar su servidor a la versión 2.17.6 o superior. Cualquier usuario que haya autorizado una aplicación con alcance de "escritura de token" o haya creado un token en frontend-2 con alcance de "escritura de token" debe revisar los tokens existentes y revocar permanentemente los que no reconozcan, revocar los tokens existentes y crear nuevos tokens, y revisar uso de su cuenta para actividades sospechosas. No existen workarounds conocidas para este problema.
  • Vulnerabilidad en Silicon Labs Z/IP Gateway SDK (CVE-2023-4489)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 28/12/2023
    La primera clave de cifrado S0 se genera con un PRNG no inicializado en productos Z/IP Gateway que ejecutan Silicon Labs Z/IP Gateway SDK v7.18.3 y versiones anteriores. Esto hace que la primera clave S0 generada al inicio sea predecible, lo que potencialmente permite la predicción de claves de red y el acceso no autorizado a la red S0.
  • Vulnerabilidad en WSO2 (CVE-2023-6835)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 28/12/2023
    Se han identificado varios productos WSO2 como vulnerables debido a la falta de validación de entrada del lado del servidor en la función Foro; la clasificación API podría manipularse.
  • Vulnerabilidad en Tutanota (CVE-2023-46116)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 28/12/2023
    Tutanota (Tuta Mail) es un proveedor de correo electrónico cifrado. Tutanota permite a los usuarios abrir enlaces en correos electrónicos en aplicaciones externas. Antes de la versión 3.118.12, bloquea correctamente el esquema de URL `file:`, que puede ser utilizado por actores maliciosos para obtener la ejecución de código en la computadora de la víctima; sin embargo, no verifica otros esquemas dañinos como `ftp:`, `smb :`, etc. que también se pueden utilizar. La explotación exitosa de esta vulnerabilidad permitirá a un atacante obtener la ejecución de código en la computadora de la víctima. La versión 3.118.2 contiene un parche para este problema.
  • Vulnerabilidad en Infinispan (CVE-2023-5236)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 28/12/2023
    Se encontró una falla en Infinispan, que no detecta referencias de objetos circulares al desarmar. Un atacante autenticado con permisos suficientes podría insertar un objeto construido con fines malintencionados en la memoria caché y utilizarlo para provocar errores de falta de memoria y lograr una denegación de servicio.
  • Vulnerabilidad en Gallagher Command Centre Diagnostics Service (CVE-2023-46686)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 28/12/2023
    Un usuario privilegiado podría aprovechar la dependencia de entradas sin confianza en una decisión de seguridad para configurar el Gallagher Command Centre Diagnostics Service para utilizar protocolos de comunicación menos seguros. Este problema afecta: Gallagher Diagnostics Service anterior a v1.3.0 (distribuido en 9.00.1507(MR1)).
  • Vulnerabilidad en Net2 (CVE-2023-43870)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Al instalar el software Net2, se instala un certificado root en el almacén de confianza. Un hacker potencial podría acceder al archivo por lotes del instalador o aplicar ingeniería inversa al código fuente para obtener acceso a la contraseña del certificado root. Usando el certificado root y la contraseña, podrían crear sus propios certificados para emular otro sitio. Luego, al establecer un servicio proxy para emular el sitio, podrían monitorizar el tráfico que pasa entre el usuario final y el sitio, permitiendo el acceso al contenido de los datos.
  • Vulnerabilidad en 52North WPS (CVE-2023-6280)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Se ha detectado una vulnerabilidad XXE (XML External Entity) en 52North WPS que afecta a versiones anteriores a la 4.0.0-beta.11. Esta vulnerabilidad permite el uso de entidades externas en su servlet WebProcessingService para que un atacante recupere archivos realizando solicitudes HTTP a la red interna.
  • Vulnerabilidad en Hitachi Energy RTU500 series (CVE-2023-6711)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Existe una vulnerabilidad en SCI IEC 60870-5-104 y HCI IEC 60870-5-104 que afecta a las versiones de productos de RTU500 series que se enumeran a continuación. Los mensajes especialmente manipulados enviados a los componentes mencionados no se validan correctamente y pueden provocar un desbordamiento de búfer y, como consecuencia final, un reinicio de una CMU RTU500.
  • Vulnerabilidad en Imou Life 6.7.0 (CVE-2023-6913)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Se ha detectado una vulnerabilidad de secuestro de sesión en la aplicación Imou Life que afecta a la versión 6.7.0. Esta vulnerabilidad podría permitir a un atacante secuestrar cuentas de usuario debido a que la funcionalidad del código QR no filtra correctamente los códigos al escanear un nuevo dispositivo y ejecutar WebView directamente sin avisar ni mostrarlo al usuario. Esta vulnerabilidad podría desencadenar ataques de phishing.
  • Vulnerabilidad en AvalanchePremise_6.4.2 (CVE-2023-46262)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Un ataque no autenticado podría enviar una solicitud web específicamente manipulada provocando Server-Side Request Forgery (SSRF) en el servidor de Ivanti Avalanche Remote Control.
  • Vulnerabilidad en AvalanchePremise_6.4.2 (CVE-2023-46266)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Un atacante puede enviar una solicitud especialmente manipulada que podría provocar una fuga de datos confidenciales o potencialmente un ataque DoS basado en recursos.
  • Vulnerabilidad en HPE Integrated Lights-Out 5 y Integrated Lights-Out 6 (CVE-2023-50272)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Se ha identificado una posible vulnerabilidad de seguridad en HPE Integrated Lights-Out 5 (iLO 5) y Integrated Lights-Out 6 (iLO 6). La vulnerabilidad podría explotarse de forma remota para permitir eludir la autenticación.
  • Vulnerabilidad en AvalanchePremise_6.4.2 (CVE-2021-22962)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Un atacante puede enviar una solicitud especialmente manipulada que podría provocar una fuga de datos confidenciales o potencialmente un ataque DoS basado en recursos.
  • Vulnerabilidad en GamiPress GamiPress – The #1 gamification plugin to reward points, achievements, badges & ranks in WordPress (CVE-2023-25715)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de autorización faltante en GamiPress GamiPress – The #1 gamification plugin to reward points, achievements, badges & ranks in WordPress. Este problema afecta a GamiPress – The #1 gamification plugin to reward points, achievements, badges & ranks in WordPress: de n/a hasta 2.5.6.
  • Vulnerabilidad en Themesflat Themesflat Addons For Elementor (CVE-2023-37390)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Themesflat Themesflat Addons For Elementor. Este problema afecta a Themesflat Addons For Elementor: desde n/a hasta 2.0.0.
  • Vulnerabilidad en Aruba.It Aruba HiSpeed Cache (CVE-2023-44983)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Aruba.It Aruba HiSpeed Cache. Este problema afecta a Aruba HiSpeed Cache: desde n/a hasta 2.0.6.
  • Vulnerabilidad en Jordy Meow Media File Renamer: Rename Files (CVE-2023-44991)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Jordy Meow Media File Renamer: Rename Files (Manual, Auto & AI). Este problema afecta a Media File Renamer: Rename Files (Manual, Auto & AI): desde n/a hasta 5.6. 9.
  • Vulnerabilidad en LinOTP 3.x (CVE-2023-49706)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    El manejo defectuoso del contexto de solicitud en Self Service en LinOTP 3.x anterior a 3.2.5 permite a atacantes remotos no autenticados escalar privilegios, permitiéndoles así actuar como y con los permisos de otro usuario. Los atacantes deben generar solicitudes API repetidas para desencadenar una condición de ejecución con actividad de usuario simultánea en el portal de autoservicio.
  • Vulnerabilidad en Rajnish Arora Recently Viewed Products (CVE-2023-34027)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Rajnish Arora Recently Viewed Products. Este problema afecta a Recently Viewed Products: desde n/a hasta 1.0.0.
  • Vulnerabilidad en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy (CVE-2023-34382)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de deserialización de datos no confiables en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy. Este problema afecta a Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy: desde n/a hasta 3.7 .19.
  • Vulnerabilidad en Cesanta MJS versión 2.22.0 (CVE-2023-50044)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    La vulnerabilidad de desbordamiento de búfer en Cesanta MJS versión 2.22.0 permite a los atacantes ejecutar código arbitrario, provocar una denegación de servicio (DoS) y obtener información confidencial a través de un fallo de segmentación que puede ocurrir en getprop_builtin_foreign cuando la cadena de entrada incluye un nombre de API integradas.
  • Vulnerabilidad en libming versión 0.4.8 (CVE-2023-50628)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de desbordamiento de búfer en libming versión 0.4.8 permite a los atacantes ejecutar código arbitrario y obtener información confidencial a través del componente parser.c.
  • Vulnerabilidad en M-Files Server (CVE-2023-6910)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Un método API vulnerable en M-Files Server anterior a 23.12.13195.0 permite el consumo incontrolado de recursos. El atacante autenticado puede agotar el espacio de almacenamiento del servidor hasta el punto en que el servidor ya no pueda atender solicitudes.
  • Vulnerabilidad en M-Files Server (CVE-2023-6912)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    La falta de protección contra ataques de fuerza bruta en M-Files Server antes de 23.12.13205.0 permite a un atacante realizar intentos de autenticación ilimitados, lo que podría comprometer cuentas de usuarios de M-Files específicas al adivinar contraseñas.
  • Vulnerabilidad en Kakadu 7.9 (CVE-2023-6562)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    La vulnerabilidad de la JPX Fragment List (flst) box en Kakadu 7.9 permite a un atacante exfiltrar archivos locales y remotos a los que puede acceder un servidor si el servidor le permite cargar una imagen especialmente manipulada que se muestra al atacante.
  • Vulnerabilidad en WooCommerce GoCardless (CVE-2023-37871)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en WooCommerce GoCardless. Este problema afecta a GoCardless: desde n/a hasta 2.5.6.
  • Vulnerabilidad en Jordy Meow Photo Engine (Media Organizer & Lightroom) (CVE-2023-38513)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en Jordy Meow Photo Engine (Media Organizer & Lightroom). Este problema afecta a Photo Engine (Media Organizer & Lightroom): desde n/a hasta 6.2.5.
  • Vulnerabilidad en MainWP MainWP Dashboard – WordPress Manager for Multiple Websites Maintenance (CVE-2023-38519)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en MainWP MainWP Dashboard – WordPress Manager for Multiple Websites Maintenance. Este problema afecta a MainWP Dashboard – WordPress Manager for Multiple Websites Maintenance: desde n/a hasta 4.4.3.3 .
  • Vulnerabilidad en UX-themes Flatsome | Multi-Purpose Responsive WooCommerce Theme (CVE-2023-40555)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Deserialización de vulnerabilidad de datos no confiables en UX-themes Flatsome | Multi-Purpose Responsive WooCommerce Theme. Este problema afecta a Flatsome | Multi-Purpose Responsive WooCommerce Theme: desde n/a hasta 3.17.5.
  • Vulnerabilidad en WP Sunshine Sunshine Photo Cart: Free Client Galleries for Photographers (CVE-2023-41796)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Omisión de autorización a través de una vulnerabilidad de clave controlada por el usuario en WP Sunshine Sunshine Photo Cart: Free Client Galleries for Photographers. Este problema afecta a Sunshine Photo Cart: Free Client Galleries for Photographers: desde n/a antes de 3.0.0.
  • Vulnerabilidad en Themify Themify Ultra (CVE-2023-46147)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Themify Themify Ultra. Este problema afecta a Themify Ultra: desde n/a hasta 7.3.5.
  • Vulnerabilidad en gVectors Team Comments – wpDiscuz (CVE-2023-46311)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en gVectors Team Comments – wpDiscuz. Este problema afecta a Comments – wpDiscuz: desde n/a hasta 7.6.3.
  • Vulnerabilidad en Avirtum iPages Flipbook para WordPress (CVE-2023-47236)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Avirtum iPages Flipbook para WordPress. Este problema afecta a iPages Flipbook para WordPress: desde n/a hasta 1.4.8.
  • Vulnerabilidad en Master Slider Master Slider Pro (CVE-2023-47507)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Master Slider Master Slider Pro. Este problema afecta a Master Slider Pro: desde n/a hasta 3.6.5.
  • Vulnerabilidad en Astro SDK de Sentry (CVE-2023-50249)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Sentry-Javascript es el SDK oficial de Sentry para JavaScript. Se ha identificado una vulnerabilidad ReDoS (Denegación de servicio de expresión regular) en Astro SDK 7.78.0-7.86.0 de Sentry. Bajo ciertas condiciones, esta vulnerabilidad permite que un atacante provoque tiempos de cálculo excesivos en el servidor, lo que lleva a una denegación de servicio (DoS). Esta vulnerabilidad ha sido parcheada en sentry/astro versión 7.87.0.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2023-51457)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Las versiones 6.5.18 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que podría ser aprovechada por un atacante con pocos privilegios para inyectar scripts maliciosos en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2023-51458)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Las versiones 6.5.18 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que podría ser aprovechada por un atacante con pocos privilegios para inyectar scripts maliciosos en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Sitefinity (CVE-2023-6784)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Un usuario malintencionado podría utilizar el sistema Sitefinity para la distribución de correos electrónicos de phishing.
  • Vulnerabilidad en Rocketgenius Inc. Gravity Forms (CVE-2023-28782)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Rocketgenius Inc. Gravity Forms. Este problema afecta a Gravity Forms: desde n/a hasta 2.7.3.
  • Vulnerabilidad en Daniel Söderström / Sidney van de Stouwe Subscribe to Category (CVE-2023-32590)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Daniel Söderström / Sidney van de Stouwe Subscribe to Category. Este problema afecta a Subscribe to Category: desde n/a hasta 2.7.4
  • Vulnerabilidad en WooCommerce WooCommerce Square (CVE-2023-35876)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en WooCommerce WooCommerce Square. Este problema afecta a WooCommerce Square: desde n/a hasta 3.8.1.
  • Vulnerabilidad en IBM Informix JDBC Driver (CVE-2023-35895)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    IBM Informix JDBC Driver 4.10 y 4.50 es susceptible a ataques de ejecución remota de código mediante inyección JNDI al pasar un argumento no marcado a una determinada API. ID de IBM X-Force: 259116.
  • Vulnerabilidad en MarketingFire Editorial Calendar (CVE-2023-36520)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en MarketingFire Editorial Calendar. Este problema afecta a Editorial Calendar: desde n/a hasta 3.7.12.
  • Vulnerabilidad en WooCommerce AutomateWoo (CVE-2023-32743)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en WooCommerce AutomateWoo. Este problema afecta a AutomateWoo: desde n/a hasta 5.7.1.
  • Vulnerabilidad en Online Examination System v1.0 (CVE-2023-45124)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Online Examination System v1.0 es afectado por múltiples vulnerabilidades de inyección SQL autenticada. El parámetro 'tag' del recurso update.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Online Examination System v1.0 (CVE-2023-45125)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Online Examination System v1.0 es afectado por múltiples vulnerabilidades de inyección SQL autenticada. El parámetro 'time' del recurso update.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Online Examination System v1.0 (CVE-2023-45126)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Online Examination System v1.0 es afectado por a múltiples vulnerabilidades de inyección SQL autenticada. El parámetro 'total' del recurso update.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Online Examination System v1.0 (CVE-2023-45127)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Online Examination System v1.0 es afectado por múltiples vulnerabilidades de inyección SQL autenticada. El parámetro 'wrong' del recurso update.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.