Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en itsourcecode Bakery Online Ordering System 1.0 (CVE-2024-5745)
    Severidad: ALTA
    Fecha de publicación: 07/06/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en itsourcecode Bakery Online Ordering System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /admin/modules/product/controller.php?action=add es afectada por esta vulnerabilidad. La manipulación de la imagen del argumento conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-267414 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SAP NetWeaver AS Java (CVE-2024-28164)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    SAP NetWeaver AS Java (CAF - Procedimientos guiados) permite que un usuario no autenticado acceda a información no confidencial sobre el servidor que de otro modo estaría restringida y causaría un bajo impacto en la confidencialidad de la aplicación.
  • Vulnerabilidad en SINEC Traffic Analyzer (CVE-2024-35206)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    Se ha identificado una vulnerabilidad en SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (Todas las versiones < V1.2). La aplicación afectada no caduca la sesión. Esto podría permitir que un atacante obtenga acceso no autorizado.
  • Vulnerabilidad en SINEC Traffic Analyzer (CVE-2024-35207)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    Se ha identificado una vulnerabilidad en SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (Todas las versiones < V1.2). La interfaz web de los dispositivos afectados es vulnerable a ataques de Cross-Site Request Forgery (CSRF). Al engañar a un usuario víctima autenticado para que haga clic en un enlace malicioso, un atacante podría realizar acciones arbitrarias en el dispositivo en nombre del usuario víctima.
  • Vulnerabilidad en SINEC Traffic Analyzer (CVE-2024-35208)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    Se ha identificado una vulnerabilidad en SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (Todas las versiones < V1.2). El servidor web afectado almacenó la contraseña en texto plano. Esto podría permitir a un atacante en una posición privilegiada obtener contraseñas de acceso.
  • Vulnerabilidad en SINEC Traffic Analyzer (CVE-2024-35209)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    Se ha identificado una vulnerabilidad en SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (Todas las versiones < V1.2). El servidor web afectado permite métodos HTTP como PUT y Delete. Esto podría permitir que un atacante modifique archivos no autorizados.
  • Vulnerabilidad en SINEC Traffic Analyzer (CVE-2024-35210)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    Se ha identificado una vulnerabilidad en SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (Todas las versiones < V1.2). El servidor web afectado no aplica HSTS. Esto podría permitir a un atacante realizar ataques de degradación exponiendo información confidencial.
  • Vulnerabilidad en SINEC Traffic Analyzer (CVE-2024-35211)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    Se ha identificado una vulnerabilidad en SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (Todas las versiones < V1.2). El servidor web afectado, después de iniciar sesión correctamente, establece la cookie de sesión en el navegador, sin aplicar ningún atributo de seguridad (como "Secure", "HttpOnly" o "SameSite").
  • Vulnerabilidad en SINEC Traffic Analyzer (CVE-2024-35212)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 06/08/2024
    Se ha identificado una vulnerabilidad en SINEC Traffic Analyzer (6GK8822-1BG01-0BA0) (Todas las versiones < V1.2). La aplicación afectada carece de validación de entradas, por lo que un atacante puede obtener acceso a las entradas de la base de datos.
  • Vulnerabilidad en Dell SCG (CVE-2024-28965)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 06/08/2024
    Dell SCG, versiones anteriores a 5.24.00.00, contienen una vulnerabilidad de control de acceso inadecuado en el SCG expuesta para una API REST habilitada interna (si la habilita el usuario administrador desde la interfaz de usuario). Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertas API internas aplicables solo para usuarios administradores en la base de datos backend de la aplicación que potencialmente podría permitir que un usuario no autorizado acceda a recursos restringidos y cambie de estado.
  • Vulnerabilidad en Dell SCG (CVE-2024-28966)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 06/08/2024
    Dell SCG, versiones anteriores a 5.24.00.00, contienen una vulnerabilidad de control de acceso inadecuado en el SCG expuesta para una API REST de actualización interna (si la habilita el usuario administrador desde la interfaz de usuario). Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertas API aplicables solo para usuarios administradores en la base de datos backend de la aplicación, lo que potencialmente podría permitir que un usuario no autorizado acceda a recursos restringidos y cambie de estado.
  • Vulnerabilidad en Dell SCG (CVE-2024-28967)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 06/08/2024
    Dell SCG, versiones anteriores a 5.24.00.00, contienen una vulnerabilidad de control de acceso inadecuado en el SCG expuesta para una API REST de mantenimiento interno (si la habilita el usuario administrador desde la interfaz de usuario). Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertas API aplicables solo para usuarios administradores en la base de datos backend de la aplicación, lo que potencialmente podría permitir que un usuario no autorizado acceda a recursos restringidos y cambie de estado.
  • Vulnerabilidad en Dell SCG (CVE-2024-28968)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 06/08/2024
    Dell SCG, versiones anteriores a 5.24.00.00, contienen una vulnerabilidad de control de acceso inadecuado en el SCG expuesta para las API REST de configuración de recopilación y correo electrónico interno (si las habilita el usuario administrador desde la interfaz de usuario). Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertas API aplicables solo para usuarios administradores en la base de datos backend de la aplicación, lo que potencialmente podría permitir que un usuario no autorizado acceda a recursos restringidos y cambie de estado.
  • Vulnerabilidad en Dell SCG (CVE-2024-28969)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 06/08/2024
    Dell SCG, versiones anteriores a 5.24.00.00, contienen una vulnerabilidad de control de acceso inadecuado en el SCG expuesta para una API REST de actualización interna (si la habilita el usuario administrador desde la interfaz de usuario). Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertas API aplicables solo para usuarios administradores en la base de datos backend de la aplicación que potencialmente podría permitir que un usuario no autorizado acceda a recursos restringidos.
  • Vulnerabilidad en Dell SCG (CVE-2024-29168)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 06/08/2024
    Dell SCG, versiones anteriores a 5.22.00.00, contienen una vulnerabilidad de inyección SQL en la interfaz de usuario de SCG para una API REST de activos internos. Un atacante autenticado remoto podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertos comandos SQL en la base de datos backend de la aplicación, lo que provocaría un posible acceso no autorizado y modificación de los datos de la aplicación.
  • Vulnerabilidad en Popup Builder – Create highly converting, mobile friendly marketing popups para WordPress (CVE-2023-6696)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/06/2024
    Fecha de última actualización: 06/08/2024
    El complemento Popup Builder – Create highly converting, mobile friendly marketing popups para WordPress es vulnerable al acceso no autorizado a la funcionalidad debido a una falta de verificación de capacidad en varias funciones en todas las versiones hasta la 4.3.1 incluida. Si bien algunas funciones contienen una verificación de nonce, el nonce se puede obtener desde la página de perfil de un usuario que haya iniciado sesión. Esto permite a los suscriptores realizar varias acciones, incluida la eliminación de suscriptores y realizar blind Server-Side Request Forgery.
  • Vulnerabilidad en Absolute Secure Access (CVE-2024-37343)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/06/2024
    Fecha de última actualización: 06/08/2024
    Existe una vulnerabilidad de Cross Site Scripting en la consola administrativa de Secure Access de Absolute Secure Access anterior a la versión 13.06. Los atacantes con credenciales de túnel válidas pueden pasar un script de longitud limitada a la consola administrativa que luego se almacena temporalmente donde un administrador que utilice una configuración no predeterminada podría hacer clic en él mientras el atacante tiene una sesión de túnel válida con el servidor. El alcance no cambia, no hay pérdida de confidencialidad. El impacto en la disponibilidad del sistema es nulo, el impacto en la integridad del sistema es alto.
  • Vulnerabilidad en Absolute Secure Access (CVE-2024-37344)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/06/2024
    Fecha de última actualización: 06/08/2024
    Existe una vulnerabilidad de Cross Site Scripting en la interfaz de usuario de administración de políticas de Absolute Secure Access antes de la versión 13.06. Los atacantes con permisos de administrador del sistema pueden interferir con el uso de la interfaz de usuario de administración de políticas por parte de otro administrador del sistema cuando los administradores están editando el mismo objeto de política. El alcance no cambia, no hay pérdida de confidencialidad. El impacto en la disponibilidad del sistema es nulo, el impacto en la integridad del sistema es alto.
  • Vulnerabilidad en Absolute Secure Access (CVE-2024-37345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/06/2024
    Fecha de última actualización: 06/08/2024
    Existe una vulnerabilidad de Cross Site Scripting en la interfaz de usuario administrativa de Secure Access de Absolute Secure Access antes de la versión 13.06. Los atacantes pueden pasar un script de longitud limitada a la interfaz de usuario administrativa que luego se almacena donde un administrador puede acceder a él. El alcance no cambia, no hay pérdida de confidencialidad. El impacto en la disponibilidad del sistema es nulo, el impacto en la integridad del sistema es alto
  • Vulnerabilidad en Absolute Secure Access (CVE-2024-37347)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/06/2024
    Fecha de última actualización: 06/08/2024
    Existe una vulnerabilidad de Cross Site Scripting en el componente de configuración del grupo de la interfaz de usuario de administración de Absolute Secure Access antes de la versión 13.06. Los atacantes con permisos de administrador del sistema pueden pasar un script de longitud limitada para que lo ejecute otro administrador. El alcance no cambia, no hay pérdida de confidencialidad. El impacto en la integridad del sistema es alto, el impacto en la disponibilidad del sistema es nulo.
  • Vulnerabilidad en Brocade Fabric OS (CVE-2024-29954)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad en una API de administración de contraseñas en las versiones de Brocade Fabric OS anteriores a v9.2.1, v9.2.0b, v9.1.1d y v8.2.3e imprime información confidencial en archivos de registro. Esto podría permitir a un usuario autenticado ver las contraseñas del servidor para protocolos como scp y sftp. Detalle. Cuando el comando de descarga de firmware se ingresa incorrectamente o apunta a un archivo erróneo, el registro de descarga de firmware captura el comando fallido, incluida cualquier contraseña ingresada en la línea de comando.
  • Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2023-42011)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/06/2024
    Fecha de última actualización: 06/08/2024
    IBM Sterling B2B Integrator Standard Edition 6.1 y 6.2 no restringe o restringe incorrectamente objetos de marco o capas de UI que pertenecen a otra aplicación o dominio, lo que puede generar confusión en el usuario acerca de con qué interfaz está interactuando. ID de IBM X-Force: 265508.
  • Vulnerabilidad en IBM OpenBMC FW1050.00 a FW1050.10 BMCWeb HTTPS (CVE-2024-31916)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/06/2024
    Fecha de última actualización: 06/08/2024
    El componente de servidor IBM OpenBMC FW1050.00 a FW1050.10 BMCWeb HTTPS podría revelar contenido URI confidencial a un actor no autorizado que omita los canales de autenticación. IBM X-ForceID: 290026.
  • Vulnerabilidad en TOTOLINK A7000R 9.1.0u.6268_B20220504 (CVE-2024-7212)
    Severidad: ALTA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad fue encontrada en TOTOLINK A7000R 9.1.0u.6268_B20220504 y clasificada como crítica. Este problema afecta la función loginauth del archivo /cgi-bin/cstecgi.cgi. La manipulación del argumento password provoca un desbordamiento de búfer. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-272783. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en TOTOLINK A7000R 9.1.0u.6268_B20220504 (CVE-2024-7213)
    Severidad: ALTA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad fue encontrada en TOTOLINK A7000R 9.1.0u.6268_B20220504 y clasificada como crítica. La función setWizardCfg del archivo /cgi-bin/cstecgi.cgi es afectada por la vulnerabilidad. La manipulación del argumento ssid provoca un desbordamiento de búfer. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272784. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en TOTOLINK LR350 9.3.5u.6369_B20220309 (CVE-2024-7214)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad ha sido encontrada en TOTOLINK LR350 9.3.5u.6369_B20220309 y clasificada como crítica. La función setWanCfg del archivo /cgi-bin/cstecgi.cgi es afectada por esta vulnerabilidad. La manipulación del argumento hostName conduce a la inyección de comandos. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-272785. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en TOTOLINK LR1200 9.3.1cu.2832 (CVE-2024-7215)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad fue encontrada en TOTOLINK LR1200 9.3.1cu.2832 y clasificada como crítica. La función NTPSyncWithHost del archivo /cgi-bin/cstecgi.cgi es afectada por esta vulnerabilidad. La manipulación del argumento host_time conduce a la inyección de comandos. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-272786 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en TOTOLINK LR1200 9.3.1cu.2832 (CVE-2024-7216)
    Severidad: BAJA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en TOTOLINK LR1200 9.3.1cu.2832. Ha sido clasificada como problemática. Esto afecta a una parte desconocida del archivo /etc/shadow.sample. La manipulación conduce al uso de una contraseña codificada. La complejidad de un ataque es bastante alta. Se dice que la explotabilidad es difícil. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-272787. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en TOTOLINK CA300-PoE 6.2c.884 (CVE-2024-7217)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en TOTOLINK CA300-PoE 6.2c.884. Ha sido declarada crítica. Esta vulnerabilidad afecta a la función loginauth del archivo /cgi-bin/cstecgi.cgi. La manipulación del argumento password provoca un desbordamiento de búfer. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272788. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Vivotek CC8160 VVTK-0100d (CVE-2024-7439)
    Severidad: ALTA
    Fecha de publicación: 03/08/2024
    Fecha de última actualización: 06/08/2024
    ** NO SOPORTADO CUANDO SE ASIGNÓ ** Se encontró una vulnerabilidad en Vivotek CC8160 VVTK-0100d y se clasificó como crítica. La función read del componente httpd es afectada por esta vulnerabilidad. La manipulación del argumento Content-Length conduce a un desbordamiento del búfer basado en pila. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-273524. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Se contactó primeramente con el proveedor y se confirmó que el árbol de lanzamiento afectado ha llegado al final de su vida útil.
  • Vulnerabilidad en Vivotek CC8160 VVTK-0100d (CVE-2024-7440)
    Severidad: MEDIA
    Fecha de publicación: 03/08/2024
    Fecha de última actualización: 06/08/2024
    ** NO SOPORTADO CUANDO SE ASIGNÓ ** Se encontró una vulnerabilidad en Vivotek CC8160 VVTK-0100d. Ha sido clasificada como crítica. Esto afecta la función getenv del archivo upload_file.cgi. La manipulación del argumento QUERY_STRING conduce a la inyección de comando. Es posible iniciar el ataque de forma remota. A esta vulnerabilidad se le asignó el identificador VDB-273525. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Se contactó primeramente con el proveedor y se confirmó que el árbol de lanzamiento afectado ha llegado al final de su vida útil.
  • Vulnerabilidad en Vivotek SD9364 VVTK-0103f (CVE-2024-7441)
    Severidad: ALTA
    Fecha de publicación: 03/08/2024
    Fecha de última actualización: 06/08/2024
    ** NO SOPORTADO CUANDO SE ASIGNÓ ** Se encontró una vulnerabilidad en Vivotek SD9364 VVTK-0103f. Ha sido declarada crítica. Esta vulnerabilidad afecta la función de lectura del componente httpd. La manipulación del argumento Content-Length conduce a un desbordamiento del búfer basado en pila. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-273526 es el identificador asignado a esta vulnerabilidad. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Se contactó primeramente con el proveedor y se confirmó que el árbol de lanzamiento afectado ha llegado al final de su vida útil.
  • Vulnerabilidad en Vivotek SD9364 VVTK-0103f (CVE-2024-7442)
    Severidad: MEDIA
    Fecha de publicación: 03/08/2024
    Fecha de última actualización: 06/08/2024
    ** NO SOPORTADO CUANDO SE ASIGNÓ ** Se encontró una vulnerabilidad en Vivotek SD9364 VVTK-0103f. Ha sido calificada como crítica. Este problema afecta la función getenv del archivo upload_file.cgi. La manipulación del argumento QUERY_STRING conduce a la inyección de comando. El ataque puede iniciarse de forma remota. El identificador asociado de esta vulnerabilidad es VDB-273527. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Se contactó primeramente con el proveedor y se confirmó que el árbol de lanzamiento afectado ha llegado al final de su vida útil.
  • Vulnerabilidad en Vivotek IB8367A VVTK-0100b (CVE-2024-7443)
    Severidad: MEDIA
    Fecha de publicación: 03/08/2024
    Fecha de última actualización: 06/08/2024
    ** NO SOPORTADO CUANDO SE ASIGNÓ ** Una vulnerabilidad clasificada como crítica ha sido encontrada en Vivotek IB8367A VVTK-0100b. La función getenv del archivo upload_file.cgi es afectada por la vulnerabilidad. La manipulación del argumento QUERY_STRING conduce a la inyección de comando. Es posible lanzar el ataque de forma remota. El identificador de esta vulnerabilidad es VDB-273528. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Se contactó primeramente con el proveedor y se confirmó que el árbol de lanzamiento afectado ha llegado al final de su vida útil.
  • Vulnerabilidad en elunez eladmin (CVE-2024-7458)
    Severidad: MEDIA
    Fecha de publicación: 04/08/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad fue encontrada en elunez eladmin hasta 2.7 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /api/deploy/upload /api/database/upload del componente Database Management/Deployment Management. La manipulación del archivo de argumentos conduce a un path traversal: 'dir/../../filename'. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-273551.
  • Vulnerabilidad en OSWAPP Warehouse Inventory System 1.0/2.0 (CVE-2024-7459)
    Severidad: MEDIA
    Fecha de publicación: 04/08/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en OSWAPP Warehouse Inventory System 1.0/2.0. Ha sido clasificada como problemática. Una función desconocida del archivo /edit_account.php es afectada por esta vulnerabilidad. La manipulación conduce a cross-site request forgery. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-273552.
  • Vulnerabilidad en OSWAPP Warehouse Inventory System 1.0/2.0 (CVE-2024-7460)
    Severidad: MEDIA
    Fecha de publicación: 04/08/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en OSWAPP Warehouse Inventory System 1.0/2.0. Ha sido declarada problemática. Una función desconocida del archivo /change_password.php es afectada por esta vulnerabilidad. La manipulación conduce a cross-site request forgery. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-273553.
  • Vulnerabilidad en PMWeb 7.2.00 (CVE-2024-7466)
    Severidad: BAJA
    Fecha de publicación: 05/08/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad fue encontrada en PMWeb 7.2.00 y clasificada como problemática. Una función desconocida del componente Web Application Firewall es afectada por esta vulnerabilidad. La manipulación conduce a cross site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-273559. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Raisecom (CVE-2024-7467)
    Severidad: MEDIA
    Fecha de publicación: 05/08/2024
    Fecha de última actualización: 06/08/2024
    Una vulnerabilidad fue encontrada en Raisecom MSG1200, MSG2100E, MSG2200 y MSG2300 3.90 y clasificada como crítica. La función sslvpn_config_mod del archivo /vpn/list_ip_network.php del componente Web Interface es afectada por esta vulnerabilidad. La manipulación del argumento template/stylenum conduce a la inyección de comandos del sistema operativo. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-273560. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Raisecom (CVE-2024-7468)
    Severidad: MEDIA
    Fecha de publicación: 05/08/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en Raisecom MSG1200, MSG2100E, MSG2200 y MSG2300 3.90. Ha sido clasificada como crítica. Esto afecta la función sslvpn_config_mod del archivo /vpn/list_service_manage.php del componente Web Interface. La manipulación del argumento template/stylenum conduce a la inyección de comandos del sistema operativo. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-273561. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Raisecom (CVE-2024-7469)
    Severidad: MEDIA
    Fecha de publicación: 05/08/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en Raisecom MSG1200, MSG2100E, MSG2200 y MSG2300 3.90. Ha sido declarada crítica. Esta vulnerabilidad afecta la función sslvpn_config_mod del archivo /vpn/list_vpn_web_custom.php del componente Web Interface. La manipulación del argumento template/stylenum conduce a la inyección de comandos del sistema operativo. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-273562 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Raisecom (CVE-2024-7470)
    Severidad: MEDIA
    Fecha de publicación: 05/08/2024
    Fecha de última actualización: 06/08/2024
    Se encontró una vulnerabilidad en Raisecom MSG1200, MSG2100E, MSG2200 y MSG2300 3.90. Ha sido calificada como crítica. Este problema afecta la función sslvpn_config_mod del archivo /vpn/vpn_template_style.php del componente Interfaz Web. La manipulación del argumento template/stylenum conduce a la inyección de comandos del sistema operativo. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-273563. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.