Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• CVE-2006-6679
  Severidad: ALTA
  Fecha de publicación: 21/12/2006
  Fecha de última actualización: 25/01/2024
  Pedro Lineu Orso chetcpasswd versiones anteriores a 2.4 se basa en la cabecera HTTP X-Forwarded-For cuando verifica el estado de un cliente en una ACL de dirección IP, lo cual permite a atacantes remotos conseguir acceso no autorizado suplantando esta cabecera.
  
• Vulnerabilidad en OpenStack Object Storage (swift) (CVE-2012-4406)
  Severidad: ALTA
  Fecha de publicación: 22/10/2012
  Fecha de última actualización: 25/01/2024
  OpenStack Object Storage (swift) antes de v1.7.0 utiliza la función loads en el módulo pickle de Python de forma no segura al almacenar y cargar los metadatos en memcached, lo que permite a atacantes remotos ejecutar código arbitrario a través de un objeto pickle modificado.
  
• Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2023-38074)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 25/01/2024
  Se ha identificado una vulnerabilidad en JT2Go (Todas las versiones < V14.3.0.1), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0.12), Teamcenter Visualization V14.0 (Todas las versiones), Teamcenter Visualization V14.1 ( Todas las versiones < V14.1.0.11), Teamcenter Visualization V14.2 (todas las versiones < V14.2.0.6), Teamcenter Visualization V14.3 (todas las versiones < V14.3.0.1). La aplicación afectada contiene una vulnerabilidad de Confusión de Tipos al analizar archivos WRL. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-20840)
  
• Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2023-38075)
  Severidad: Pendiente de análisis
  Fecha de publicación: 12/09/2023
  Fecha de última actualización: 25/01/2024
  Se ha identificado una vulnerabilidad en JT2Go (Todas las versiones < V14.3.0.1), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0.12), Teamcenter Visualization V14.0 (Todas las versiones), Teamcenter Visualization V14.1 ( Todas las versiones < V14.1.0.11), Teamcenter Visualization V14.2 (todas las versiones < V14.2.0.6), Teamcenter Visualization V14.3 (todas las versiones < V14.3.0.1). La aplicación afectada contiene una vulnerabilidad de Use-After-Free que podría activarse al analizar archivos WRL especialmente manipulados. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. (ZDI-CAN-20842)
  
• Vulnerabilidad en Studio Network Solutions ShareBrowser (CVE-2023-44077)
  Severidad: Pendiente de análisis
  Fecha de publicación: 17/01/2024
  Fecha de última actualización: 25/01/2024
  Studio Network Solutions ShareBrowser anterior a 7.0 en macOS maneja mal la verificación de firmas, también conocido como PMP-2636.
  
• Vulnerabilidad en ZhiHuiYun (CVE-2024-0649)
  Severidad: MEDIA
  Fecha de publicación: 17/01/2024
  Fecha de última actualización: 25/01/2024
  Una vulnerabilidad fue encontrada en ZhiHuiYun hasta 4.4.13 y clasificada como crítica. Este problema afecta la función download_network_image del archivo /app/Http/Controllers/ImageController.php del componente Search. La manipulación del argumento URL conduce a server-side request forgery.. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-251375.
  
• Vulnerabilidad en paquete Spreadsheet::ParseXLSX (CVE-2024-23525)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  El paquete Spreadsheet::ParseXLSX anterior a 0.30 para Perl permite ataques XXE porque no utiliza la opción no_xxe de XML::Twig.
  
• Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48339)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  En jpg driver, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación de información local con privilegios de ejecución del Sistema necesarios.
  
• Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48352)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  En Phasecheckserver, existe una posible escritura fuera de los límites debido a una comprobación de límites faltante. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales.
  
• Vulnerabilidad en Novel-Plus 4.3.0-RC1 (CVE-2024-0655)
  Severidad: MEDIA
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  Una vulnerabilidad ha sido encontrada en Novel-Plus 4.3.0-RC1 y clasificada como crítica. Una función desconocida del archivo /novel/bookSetting/list es afectada por esta vulnerabilidad. La manipulación del argumento sort conduce a la inyección de SQL. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-251383.
  
• Vulnerabilidad en Mergen Software Quality Management System (CVE-2023-5806)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("inyección SQL") en Mergen Software Quality Management System permite la inyección SQL. Este problema afecta a Quality Management System: anterior a v1.2.
  
• Vulnerabilidad en YASM v.1.3.0 (CVE-2023-51258)
  Severidad: Pendiente de análisis
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  Un problema de pérdida de memoria descubierta en YASM v.1.3.0 permite a un atacante local provocar una denegación de servicio a través de la función new_Token en modules/preprocs/nasm/nasm-pp:1512.
  
• Vulnerabilidad en Delta Electronics WPLSoft (CVE-2023-5130)
  Severidad: ALTA
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  Existe una vulnerabilidad de desbordamiento de búfer en Delta Electronics WPLSoft. Un atacante anónimo puede aprovechar esta vulnerabilidad incitando a un usuario a abrir un archivo DVP especialmente manipulado para lograr la ejecución del código.
  
• Vulnerabilidad en Delta Electronics ISPSoft (CVE-2023-5131)
  Severidad: ALTA
  Fecha de publicación: 18/01/2024
  Fecha de última actualización: 25/01/2024
  Existe un desbordamiento de búfer de almacenamiento dinámico en Delta Electronics ISPSoft. Un atacante anónimo puede aprovechar esta vulnerabilidad incitando a un usuario a abrir un archivo DVP especialmente manipulado para lograr la ejecución del código.
  
• Vulnerabilidad en FusionPBX (CVE-2024-23387)
  Severidad: Pendiente de análisis
  Fecha de publicación: 19/01/2024
  Fecha de última actualización: 25/01/2024
  FusionPBX anterior a 5.1.0 contiene una vulnerabilidad de Cross-Site Scripting. Si esta vulnerabilidad es aprovechada por un atacante remoto autenticado con privilegios administrativos, se puede ejecutar un script arbitrario en el navegador web del usuario que inicia sesión en el producto.
  
• Vulnerabilidad en IBM Db2 para Linux, UNIX y Windows (CVE-2023-45193)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  El servidor federado IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 11.5 es vulnerable a una denegación de servicio cuando se utiliza un cursor especialmente manipulado. ID de IBM X-Force: 268759.
  
• Vulnerabilidad en IBM Db2 para Linux, UNIX y Windows (CVE-2023-47746)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.5, 11.1 y 11.5 podría permitir que un usuario autenticado con privilegios CONNECT provoque una denegación de servicio mediante una consulta especialmente manipulada. ID de IBM X-Force: 272644.
  
• Vulnerabilidad en IBM Db2 para Linux, UNIX y Windows (CVE-2023-50308)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  IBM Db2 para Linux, UNIX y Windows (incluye DB2 Connect Server) 11.5 bajo ciertas circunstancias podría permitir que un usuario autenticado en la base de datos provoque una denegación de servicio cuando se ejecuta una declaración en tablas de columnas. ID de IBM X-Force: 273393.
  
• Vulnerabilidad en IBM Db2 (CVE-2023-27859)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  IBM Db2 10.1, 10.5 y 11.1 podría permitir que un usuario remoto ejecute código arbitrario causado por la instalación de archivos jar con nombres similares en múltiples bases de datos. Un usuario podría aprovechar esto instalando un archivo jar malicioso que sobrescriba el archivo jar existente con el mismo nombre en otra base de datos. ID de IBM X-Force: 249205.
  
• Vulnerabilidad en IBM Db2 para Linux, UNIX y Windows (CVE-2023-47152)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 11.5 es vulnerable a un algoritmo criptográfico inseguro y a la divulgación de información en el seguimiento de la pila en condiciones excepcionales. ID de IBM X-Force: 270730.
  
• Vulnerabilidad en IBM DB2 para Linux, UNIX y Windows (CVE-2023-47158)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  IBM DB2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.1, 10.5 y 11.1 podría permitir que un usuario autenticado con privilegios CONNECT provoque una denegación de servicio mediante una consulta especialmente manipulada. ID de IBM X-Force: 270750.
  
• Vulnerabilidad en IBM DB2 para Linux, UNIX y Windows (CVE-2023-47747)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  IBM DB2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.1, 10.5 y 11.1 podría permitir que un usuario autenticado con privilegios CONNECT provoque una denegación de servicio mediante una consulta especialmente manipulada. ID de IBM X-Force: 272646.
  
• Vulnerabilidad en WP Review Slider de WordPress (CVE-2023-6456)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  El complemento WP Review Slider de WordPress anterior a 13.0 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  
• Vulnerabilidad en Meris de WordPress (CVE-2023-7194)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  El tema Meris de WordPress hasta la versión 1.1.2 no sanitiza ni escapa algunos parámetros antes de devolverlos a la página, lo que genera Cross-Site Scripting Reflejado que podrían usarse contra usuarios con privilegios elevados, como administradores.
  
• Vulnerabilidad en IIBM Db2 para Linux, UNIX y Windows (CVE-2023-47141)
  Severidad: Pendiente de análisis
  Fecha de publicación: 22/01/2024
  Fecha de última actualización: 25/01/2024
  IIBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 11.5 podría permitir que un usuario autenticado con privilegios CONNECT provoque una denegación de servicio mediante una consulta especialmente manipulada. ID de IBM X-Force: 270264.