Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc plugin for WordPress (CVE-2023-6980)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2024
  Fecha de última actualización: 10/01/2024
  WP SMS – Messaging & SMS Notification for WordPress, WooCommerce, GravityForms, etc plugin for WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 6.5 inclusive. Esto se debe a una validación nonce faltante o incorrecta en la acción "delete" de la página wp-sms-subscribers. Esto hace posible que atacantes no autenticados eliminen suscriptores mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  
• Vulnerabilidad en GL.iNet (CVE-2023-50922)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2024
  Fecha de última actualización: 10/01/2024
  Se descubrió un problema en dispositivos GL.iNet hasta 4.5.0. Los atacantes que pueden robar la cookie AdminToken pueden ejecutar código arbitrario cargando un archivo con formato crontab en un directorio específico y esperando su ejecución. Esto afecta a A1300 4.4.6, AX1800 4.4.6, AXT1800 4.4.6, MT3000 4.4.6, MT2500 4.4.6, MT6000 4.5.0, MT1300 4.3.7, MT300N-V2 4.3.7, AR750S 4.3.7, AR750 4.3.7, AR300M 4.3.7 y B1300 4.3.7.
  
• Vulnerabilidad en Wireshark (CVE-2024-0209)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2024
  Fecha de última actualización: 10/01/2024
  El fallo del disector IEEE 1609.2 en Wireshark 4.2.0, 4.0.0 a 4.0.11 y 3.6.0 a 3.6.19 permite la denegación de servicio mediante inyección de paquetes o archivo de captura manipulado
  
• Vulnerabilidad en Wireshark 4.2.0 (CVE-2024-0210)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2024
  Fecha de última actualización: 10/01/2024
  El fallo del disector Zigbee TLV en Wireshark 4.2.0 permite la denegación de servicio mediante inyección de paquetes o archivo de captura manipulado
  
• Vulnerabilidad en Wireshark 4.2.0 (CVE-2024-0211)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2024
  Fecha de última actualización: 10/01/2024
  El fallo del disector DOCSIS en Wireshark 4.2.0 permite la denegación de servicio mediante inyección de paquetes o archivo de captura manipulado
  
• Vulnerabilidad en GL.iNet (CVE-2023-50921)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2024
  Fecha de última actualización: 10/01/2024
  Se descubrió un problema en dispositivos GL.iNet hasta 4.5.0. Los atacantes pueden invocar la interfaz add_user en el módulo de system para obtener privilegios de root. Esto afecta a A1300 4.4.6, AX1800 4.4.6, AXT1800 4.4.6, MT3000 4.4.6, MT2500 4.4.6, MT6000 4.5.0, MT1300 4.3.7, MT300N-V2 4.3.7, AR750S 4.3.7, AR750 4.3.7, AR300M 4.3.7 y B1300 4.3.7.
  
• Vulnerabilidad en Tamaki_hamanoki Line v.13.6.1 (CVE-2023-45559)
  Severidad: Pendiente de análisis
  Fecha de publicación: 03/01/2024
  Fecha de última actualización: 10/01/2024
  Un problema en Tamaki_hamanoki Line v.13.6.1 permite a los atacantes enviar notificaciones manipuladas mediante la fuga del token de acceso al canal.
  
• Vulnerabilidad en Nearby device scanning (CVE-2024-20808)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/01/2024
  Fecha de última actualización: 10/01/2024
  Una vulnerabilidad de control de acceso inadecuado en Nearby device scanning en la versión anterior 11.1.14.7 permite a un atacante local acceder a los datos.
  
• Vulnerabilidad en Nearby device scanning (CVE-2024-20809)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/01/2024
  Fecha de última actualización: 10/01/2024
  Una vulnerabilidad de control de acceso inadecuado en Nearby device scanning en la versión anterior 11.1.14.7 permite a un atacante local acceder a los datos.
  
• Vulnerabilidad en encoded_id-rails (CVE-2024-0241)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/01/2024
  Fecha de última actualización: 10/01/2024
  Las versiones de encoded_id-rails anteriores a 1.0.0.beta2 se ven afectadas por una vulnerabilidad de consumo de recursos incontrolado. Un atacante remoto y no autenticado podría provocar una condición de denegación de servicio enviando una solicitud HTTP con un parámetro "id" extremadamente largo.
  
• Vulnerabilidad en Iodine (CVE-2024-22050)
  Severidad: Pendiente de análisis
  Fecha de publicación: 04/01/2024
  Fecha de última actualización: 10/01/2024
  Path traversal en el servicio de archivos estáticos en Iodine inferior a 0.7.33 permite a un atacante remoto no autenticado leer archivos fuera de la carpeta pública a través de URL maliciosas.
  
• Vulnerabilidad en The Depicter Slider – Responsive Image Slider, Video Slider & Post Slider para WordPress (CVE-2023-6493)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/01/2024
  Fecha de última actualización: 10/01/2024
  El complemento The Depicter Slider – Responsive Image Slider, Video Slider & Post Slider para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 2.0.6 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función "save". Esto hace posible que atacantes no autenticados modifiquen la configuración del complemento mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace. CVE-2023-51491 parece ser un duplicado de este problema.
  
• Vulnerabilidad en Firefly III (CVE-2024-22075)
  Severidad: Pendiente de análisis
  Fecha de publicación: 05/01/2024
  Fecha de última actualización: 10/01/2024
  Firefly III (aka firefly-iii) anterior a 6.1.1 permite la inyección HTML de webhooks.