Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2007-1923
    Severidad: ALTA
    Fecha de publicación: 10/04/2007
    Fecha de última actualización: 02/02/2024
    (1) LedgerSMB y (2) DWS Systems SQL-Ledger implementa las listas de control de acceso a través del cambio de la asignación de URLs enlazadas desde menús, lo cual permite a atacantes remotos acceder a funcionalidades restringidas a través de una respuesta directa.
  • CVE-2007-3970
    Severidad: ALTA
    Fecha de publicación: 25/07/2007
    Fecha de última actualización: 02/02/2024
    Condición de carrera en ESET NOD32 Antivirus anterior a 2.2289 permite a atacantes remotos ejecutar códigos de su elección a través de un archivo CAB manipulado, lo cual dispara una corrupción de memoria.
  • CVE-2008-0379
    Severidad: ALTA
    Fecha de publicación: 22/01/2008
    Fecha de última actualización: 02/02/2024
    Condición de carrera en el controlador ActiveX(EnterpriseControls.dll 11.5.0.313) en Crystal Reports XI Release 2 permite a atacantes remotos provocar denegación de servicio (caida) y posiblemente ejecutar código de su elección a través del método SelectedSession, el cual dispara un desbordamiento de búfer.
  • Vulnerabilidad en nsFrameManager en Firefox, Thunderbird y SeaMonkey. (CVE-2008-5021)
    Severidad: ALTA
    Fecha de publicación: 13/11/2008
    Fecha de última actualización: 02/02/2024
    nsFrameManager en Firefox v3.x antes de la v3.0.4, Firefox v2.x antes de la v2.0.0.18, Thunderbird 2.x antes de la v2.0.0.18, y SeaMonkey v1.x antes de la v1.1.13 permite a atacantes remotos producir una denegación de servicio (caída) y una posible ejecución de código a su elección modificación de las propiedades de un elemento de entrada de fichero mientras se inicia, cuando se esta utilizando el método blur para acceder a no ha sido inicializada.
  • Vulnerabilidad en función apr_strmatch_precompile en strmatchapr_strmatch.c en Apache APR-util (CVE-2009-0023)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2009
    Fecha de última actualización: 02/02/2024
    La función apr_strmatch_precompile en strmatch/apr_strmatch.c en Apache APR-util anteriores a v1.3.5 permite a los atacantes remotos causar una denegación de servicio (caída del demonio) a través de una entrada manipulada en 1) un fichero .htaccess utilizado con el Servidor Apache HTTP, (2) la directiva SVNMasterURI en el módulo mod_dav_svn en el Servidor Apache HTTP, (3) el módulo mod_apreq2 para el Servidor Apache HTTP, o (4) una aplicación que utiliza la librería libapreq2, relativa a un "bandera de desbordamiento inferior".
  • Vulnerabilidad en OpenTTD (CVE-2010-4168)
    Severidad: MEDIA
    Fecha de publicación: 17/11/2010
    Fecha de última actualización: 02/02/2024
    Múltiples vulnerabilidades de liberación después del uso en OpenTTD v1.0.x anterior a v1.0.5 permite (1) que atacantes remotos provoquen una denegación de servicio (escritura no válida y caída de demonio) desconectando repentinamente durante la transmisión del plano del servidor, relacionado con network/network_server.cpp; (2) permite a atacantes remotos provocar una denegación de servicio (lectura no válida y caída de demonio) desconectando repentinamente durante la transmisión del plano del servidor, relacionado con network/network_server.cpp; (3) servidores remotos pueden provocar una denegación de servicio (lectura no válida y caída de aplicación) forzando una desconexión durante el proceso de unión, relacionado con network/network.cpp.
  • Vulnerabilidad en kadmind en MIT Kerberos (CVE-2010-0629)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2010
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad de uso después de la liberación kadmin/server/server_stubs.c en kadmind en MIT Kerberos 5 (también conocido como krb5) de la v1.5 a la v1.6.3, permite a usuarios autenticados remotamente provocar una denegación de servicio (caída de demonio) a través de una petición desde un cliente kadmin que envía un número de versión de API no válido.
  • Vulnerabilidad en ipp.c en cupsd en CUPS (CVE-2010-2941)
    Severidad: ALTA
    Fecha de publicación: 05/11/2010
    Fecha de última actualización: 02/02/2024
    ipp.c en cupsd en CUPS v1.4.4 y anteriores no asigna correctamente memoria para valores de atributo con tipos de datos de cadena inválidos, permitiendo a atacantes remotos provocar una denegación de servicio (uso después de liberación y caída de la aplicación) o posiblemente ejecutar código arbitrario mediante una solicitud IPP manipulada.
  • Vulnerabilidad en la función assoc_array_gc en el kernel de Linux (CVE-2014-3631)
    Severidad: ALTA
    Fecha de publicación: 28/09/2014
    Fecha de última actualización: 02/02/2024
    La función assoc_array_gc en la implementación associative-array en lib/assoc_array.c en el kernel de Linux anterior a 3.16.3 no implementa debidamente la recolección de basura, lo que permite a usuarios locales causar una denegación de servicio (referencia a puntero nulo y caída del sistema) o posiblemente tener otro impacto no especificado a través de múltiples operaciones 'keyctl newring' seguidas de una operación 'keyctl timeout'.
  • Vulnerabilidad en la función yr_set_configuration en el archivo yara/libyara/libyara.c en VirusTotal YARA (CVE-2021-45429)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2022
    Fecha de última actualización: 02/02/2024
    Se presenta una vulnerabilidad de Desbordamiento del Búfer en VirusTotal YARA en el git commit: 605b2edf07ed8eb9a2c61ba22eb2e7c362f47ba7 por medio de la función yr_set_configuration en el archivo yara/libyara/libyara.c, que podría causar una Denegación de Servicio
  • Vulnerabilidad en kbxkeybox-blob.c en GPGSM de GnuPG v2.x hasta v2.0.16 (CVE-2010-2547)
    Severidad: MEDIA
    Fecha de publicación: 05/08/2010
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad de uso después de la liberación (use-after-free) en kbx/keybox-blob.c en GPGSM de GnuPG v2.x hasta v2.0.16 permite a atacantes remotos causar una denegación de servicio (caída del sistema) y posiblemente ejecutar código de su elección mediante un certificado con un gran número de Subject Alternate Names, que no es manejado de forma adecuada en una operación realloc cuando se importa el certificado o se verifica su firma.
  • Vulnerabilidad en find_keyring_by_name en securitykeyskeyring.c el el kernel de Linux (CVE-2010-1437)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2010
    Fecha de última actualización: 02/02/2024
    Condición de carrera en la función find_keyring_by_name en security/keys/keyring.c el el kernel de Linux v2.6.34-rc5 y anteriores, permite usuarios locales provocar una denegación de servicio (corrupción de memoria y caída del sistema) o posiblemente tener otros impactos, mediante comandos de sesión "keyctl" que provocan el acceso a una secuencia de pulsaciones en desuso que está bajo un borrado en la función key_cleanup.
  • Vulnerabilidad en implementacion ftrace en Linux Kernel (CVE-2013-3301)
    Severidad: ALTA
    Fecha de publicación: 29/04/2013
    Fecha de última actualización: 02/02/2024
    La implementacion ftrace en Linux Kernel anterior a v3.8.8 permite a usuarios locales provocar una denegación de servicio (referencia a puntero NULL y caída del sistema) o posiblemente tener otro impacto no especificado a través del aprovechamiento de la capacidad CAP_SYS_ADMIN para el acceso de escritura a los ficheros (1) set_ftrace_pid o (2) set_graph_function y luego hacer una llamada al sistema "lseek".
  • Vulnerabilidad en Windows Print Spooler (CVE-2021-34527)
    Severidad: ALTA
    Fecha de publicación: 02/07/2021
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad en la ejecución de código remota de Windows Print Spooler
  • Vulnerabilidad en Parasolid y Solid Edge (CVE-2022-46345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2022
    Fecha de última actualización: 02/02/2024
    Se ha identificado una vulnerabilidad en: Parasolid V33.1 (Todas las versiones < V33.1.264), Parasolid V34.0 (Todas las versiones < V34.0.252), Parasolid V34.1 (Todas las versiones < V34.1.242), Parasolid V35 .0 (Todas las versiones < V35.0.170), Solid Edge SE2022 (Todas las versiones < V222.0MP12), Solid Edge SE2022 (Todas las versiones), Solid Edge SE2023 (Todas las versiones < V223.0Update2). Las aplicaciones afectadas contienen una escritura fuera de los límites más allá del final de una estructura asignada mientras analizan archivos X_B especialmente manipulados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-19070)
  • Vulnerabilidad en Parasolid y Solid Edge (CVE-2022-46346)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2022
    Fecha de última actualización: 02/02/2024
    Se ha identificado una vulnerabilidad en: Parasolid V33.1 (Todas las versiones < V33.1.264), Parasolid V34.0 (Todas las versiones < V34.0.252), Parasolid V34.1 (Todas las versiones < V34.1.242), Parasolid V35 .0 (Todas las versiones < V35.0.170), Solid Edge SE2022 (Todas las versiones < V222.0MP12), Solid Edge SE2022 (Todas las versiones), Solid Edge SE2023 (Todas las versiones < V223.0Update2). Las aplicaciones afectadas contienen una escritura fuera de los límites más allá del final de una estructura asignada mientras analizan archivos X_B especialmente manipulados. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual. (ZDI-CAN-19071)
  • Vulnerabilidad en J-Web de Juniper Networks Junos OS en las series EX y SRX (CVE-2023-36845)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/08/2023
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad de modificación de variable externa PHP en J-Web de Juniper Networks Junos OS en las series EX y SRX permite a un atacante no autenticado basado en red ejecutar código de forma remota. Mediante una solicitud manipulada que establece la variable PHPRC, un atacante puede modificar el entorno de ejecución de PHP, lo que permite la inyección y ejecución de código. Este problema afecta al sistema operativo Junos de Juniper Networks en las series EX y SRX: * Todas las versiones anteriores a 20.4R3-S9; * 21.1: versiones 21.1R1 y posteriores; * 21.2: versiones anteriores a 21.2R3-S7; * 21.3: versiones anteriores a 21.3R3-S5; * 21.4: versiones anteriores a 21.4R3-S5; * 22.1: versiones anteriores a 22.1R3-S4; * 22.2: versiones anteriores a 22.2R3-S2; * 22.3: versiones anteriores a 22.3R2-S2, 22.3R3-S1; * 22.4: versiones anteriores a 22.4R2-S1, 22.4R3; * 23.2: versiones anteriores a 23.2R1-S1, 23.2R2.
  • Vulnerabilidad en libvpx (CVE-2023-5217)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/09/2023
    Fecha de última actualización: 02/02/2024
    El desbordamiento del búfer en la codificación vp8 en libvpx en Google Chrome anterior a 117.0.5938.132 y libvpx 1.13.1 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en SPIP (CVE-2023-52322)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/01/2024
    Fecha de última actualización: 02/02/2024
    ecrire/public/assembler.php en SPIP anteriores a 4.1.3 y 4.2.x anteriores a 4.2.7 permite XSS porque la entrada from_request() no está restringida a caracteres seguros como los alfanuméricos.
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-20922)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JavaFX). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u391; Oracle GraalVM Enterprise Edition: 20.3.12 y 21.3.8. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con inicio de sesión en la infraestructura donde se ejecuta Oracle Java SE, Oracle GraalVM Enterprise Edition comprometa Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos a esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, inserción o eliminación de acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o o subprogramas de Java en sandbox, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, normalmente en servidores, que cargan y ejecutan sólo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.1 Puntaje base 2.5 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-20926)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Scripting). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u391, 8u391-perf, 11.0.21; Oracle GraalVM para JDK: 17.0.9; Oracle GraalVM Enterprise Edition: 20.3.12, 21.3.8 y 22.3.4. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede aprovechar utilizando API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en una sandbox o subprogramas de Java en una sandbox, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. CVSS 3.1 Puntaje base 5.9 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20961)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20963)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Seguridad: Cifrado). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20965)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20967)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Replicación). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para provocar un bloqueo o un bloqueo frecuente (DOS completo) del servidor MySQL, así como una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles del servidor MySQL. CVSS 3.1 Puntaje base 5.5 (impactos en integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20969)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: DDL). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para provocar un bloqueo o un bloqueo frecuente (DOS completo) del servidor MySQL, así como una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles del servidor MySQL. CVSS 3.1 Puntaje base 5.5 (impactos en integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20971)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20973)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20975)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20977)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Optimizador). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20981)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: DDL). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20983)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: DML). Las versiones compatibles que se ven afectadas son la 8.0.34 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con altos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntuación base 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2024-20985)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 02/02/2024
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: UDF). Las versiones compatibles que se ven afectadas son la 8.0.35 y anteriores y la 8.2.0 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada de provocar un bloqueo o un fallo frecuentemente repetible (DOS completo) del servidor MySQL. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Shim (CVE-2023-40547)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 02/02/2024
    Se encontró una vulnerabilidad de ejecución remota de código en Shim. El soporte de arranque Shim confía en los valores controlados por el atacante al analizar una respuesta HTTP. Este fallo permite a un atacante manipular una solicitud HTTP maliciosa específica, lo que lleva a una escritura fuera de los límites completamente controlada primitiva y a un compromiso completo del sistema.
  • Vulnerabilidad en Atril Document Viewer (CVE-2023-52076)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 02/02/2024
    Atril Document Viewer es el lector de documentos predeterminado del entorno de escritorio MATE para Linux. Existe una vulnerabilidad de path traversal y escritura de archivos arbitrarios en versiones de Atril anteriores a la 1.26.2. Esta vulnerabilidad es capaz de escribir archivos arbitrarios en cualquier parte del sistema de archivos al que tiene acceso el usuario que abre un documento manipulado. La única limitación es que esta vulnerabilidad no se puede aprovechar para sobrescribir archivos existentes, pero eso no impide que un atacante logre la ejecución remota de comandos en el sistema de destino. La versión 1.26.2 de Atril contiene un parche para esta vulnerabilidad.
  • Vulnerabilidad en BORGChat 1.0.0 Build 438 (CVE-2024-0888)
    Severidad: MEDIA
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad fue encontrada en BORGChat 1.0.0 Build 438 y clasificada como problemática. Una parte desconocida del componente Service Port 7551 es afectada por esta manipulación y se produce una denegación de servicio. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-252039.
  • Vulnerabilidad en Plone Docker Official Image 5.2.13 (5221) (CVE-2024-23055)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 02/02/2024
    Un problema en el software de código abierto Plone Docker Official Image 5.2.13 (5221) permite la ejecución remota de código mediante una validación incorrecta de la entrada por parte de los encabezados HOST.
  • Vulnerabilidad en Kmint21 Golden FTP Server 2.02b (CVE-2024-0889)
    Severidad: MEDIA
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad fue encontrada en Kmint21 Golden FTP Server 2.02b y clasificada como problemática. Este problema afecta a un procesamiento desconocido del componente PASV Command Handler. La manipulación conduce a la denegación del servicio. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-252041.
  • Vulnerabilidad en hongmaple octopus 1.0 (CVE-2024-0890)
    Severidad: MEDIA
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 02/02/2024
    Se encontró una vulnerabilidad en hongmaple octopus 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /system/dept/edit es afectada por esta vulnerabilidad. La manipulación del argumento ancestors conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. Este producto utiliza entrega continua con lanzamientos continuos. Por lo tanto, no hay detalles de las versiones afectadas ni actualizadas disponibles. VDB-252042 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en hongmaple octopus 1.0 (CVE-2024-0891)
    Severidad: MEDIA
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 02/02/2024
    Se encontró una vulnerabilidad en hongmaple octopus 1.0. Ha sido declarada problemática. Una funcionalidad desconocida es afectada por esta vulnerabilidad. La manipulación del argumento description con la entrada conduce a cross site scripting. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. Este producto no utiliza versiones. Esta es la razón por la que la información sobre las versiones afectadas y no afectadas no está disponible. El identificador asociado de esta vulnerabilidad es VDB-252043.
  • Vulnerabilidad en TRENDnet TEW-822DRE 1.03B02 (CVE-2024-0920)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Se encontró una vulnerabilidad en TRENDnet TEW-822DRE 1.03B02. Ha sido declarada crítica. Esta vulnerabilidad afecta a código desconocido del archivo /admin_ping.htm del componente POST Request Handler. La manipulación del argumento ipv4_ping/ipv6_ping conduce a la inyección de comandos. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-252124. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en D-Link DIR-816 A2 1.10CNB04 (CVE-2024-0921)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad ha sido encontrada en D-Link DIR-816 A2 1.10CNB04 y clasificada como crítica. Una función desconocida del archivo /goform/setDeviceSettings del componente Web Interface es afectada por esta vulnerabilidad. La manipulación del argumento statuscheckpppoeuser conduce a la inyección de comandos del sistema operativo. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-252139.
  • Vulnerabilidad en Tenda AC10U 15.03.06.49_multi_TDE01 (CVE-2024-0922)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad fue encontrada en Tenda AC10U 15.03.06.49_multi_TDE01 y clasificada como crítica. La función formSetDeviceName es afectada por esta vulnerabilidad. La manipulación del argumento devName provoca un desbordamiento de búfer en la región stack de la memoria. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-252128. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC10U 15.03.06.49_multi_TDE01 (CVE-2024-0923)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad fue encontrada en Tenda AC10U 15.03.06.49_multi_TDE01 y clasificada como crítica. La función formSetDeviceName es afectada por esta vulnerabilidad. La manipulación del argumento devName provoca un desbordamiento de búfer en la región stack de la memoria. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-252128. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC10U 15.03.06.49_multi_TDE01 (CVE-2024-0924)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad fue encontrada en Tenda AC10U 15.03.06.49_multi_TDE01 y clasificada como crítica. Esto afecta a la función formSetPPTPServer. La manipulación del argumento startIp provoca un desbordamiento de búfer en la región stack de la memoria. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-252129. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC10U 15.03.06.49_multi_TDE01 (CVE-2024-0925)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad ha sido encontrada en Tenda AC10U 15.03.06.49_multi_TDE01 y clasificada como crítica. Esta vulnerabilidad afecta a la función formSetVirtualSer. La manipulación del argumento list provoca un desbordamiento de búfer en la región stack de la memoria. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-252130 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC10U 15.03.06.49_multi_TDE01 (CVE-2024-0926)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad fue encontrada en Tenda AC10U 15.03.06.49_multi_TDE01 y clasificada como crítica. Este problema afecta a la función formWifiWpsOOB. La manipulación del argumento index conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-252131. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC10U 15.03.06.49_multi_TDE01 (CVE-2024-0927)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Se encontró una vulnerabilidad en Tenda AC10U 15.03.06.49_multi_TDE01. Ha sido clasificada como crítica. La función fromAddressNat es afectada por la vulnerabilidad. La manipulación del argumento entrys/mitInterface/page conduce a un desbordamiento de búfer en la región stack de la memoria. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-252132. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en ShopSite v14.0 (CVE-2024-22550)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 02/02/2024
    Una vulnerabilidad de carga de archivos arbitrarios en el componente /alsdemo/ss/mediam.cgi de ShopSite v14.0 permite a los atacantes ejecutar código arbitrario cargando un archivo SVG manipulado.