Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en kernel de Linux (CVE-2024-38561)
  Severidad: Pendiente de análisis
  Fecha de publicación: 19/06/2024
  Fecha de última actualización: 30/08/2024
  En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kunit: Fix kthread reference Hay una condición de ejecución cuando un kthread finaliza después de la fecha límite y antes de la llamada a kthread_stop(), lo que puede llevar a su use-after-free.
  
• Vulnerabilidad en kernel de Linux (CVE-2024-38562)
  Severidad: Pendiente de análisis
  Fecha de publicación: 19/06/2024
  Fecha de última actualización: 30/08/2024
  En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: nl80211: evitar cálculos de direcciones mediante indexación de matrices fuera de los límites Antes de poder utilizar request->channels[], se debe configurar request->n_channels. Además, los cálculos de direcciones para la memoria después de la matriz de "canales" deben calcularse a partir de la base de asignación ("solicitud") en lugar de mediante el primer índice "fuera de los límites" de "canales"; de lo contrario, la verificación de los límites en tiempo de ejecución arrojará un advertencia.
  
• Vulnerabilidad en Decidim (CVE-2024-27095)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/07/2024
  Fecha de última actualización: 30/08/2024
  Decidim es un framework de democracia participativa. El panel de administración está sujeto a un posible adjunto XSS en caso de que el atacante logre modificar algunos registros que se cargan en el servidor. Esta vulnerabilidad se solucionó en 0.27.6 y 0.28.1.
  
• Vulnerabilidad en SourceCodester Employee and Visitor Gate Pass Logging System 1.0 (CVE-2024-6650)
  Severidad: BAJA
  Fecha de publicación: 10/07/2024
  Fecha de última actualización: 30/08/2024
  Se encontró una vulnerabilidad en SourceCodester Employee and Visitor Gate Pass Logging System 1.0 y se clasificó como problemática. La función save_designation del archivo /classes/Master.php es afectada por esta vulnerabilidad. La manipulación conduce a Cross Site Scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-271058 es el identificador asignado a esta vulnerabilidad.
  
• Vulnerabilidad en MongoDB (CVE-2024-8207)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/08/2024
  Fecha de última actualización: 30/08/2024
  En ciertas configuraciones altamente específicas del sistema host y la instalación binaria del servidor MongoDB en sistemas operativos Linux, es posible que un actor no intencionado con acceso a nivel de host haga que el binario del servidor MongoDB cargue bibliotecas compartidas controladas por el actor no intencionado cuando el binario del servidor se inicia, lo que potencialmente resulta en que el actor no deseado obtenga control total sobre el proceso del servidor MongoDB. Este problema afecta a las versiones de MongoDB Server v5.0 anteriores a la 5.0.14 y a las versiones de MongoDB Server v6.0 anteriores a la 6.0.3. Configuración requerida: este problema solo afecta los entornos con Linux como sistema operativo subyacente.
  
• Vulnerabilidad en Flowise (CVE-2024-8181)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/08/2024
  Fecha de última actualización: 30/08/2024
  Existe una vulnerabilidad de omisión de autenticación en la versión 1.8.2 de Flowise. Esto podría permitir que un atacante remoto y no autenticado acceda a los endpoints de API como administrador y le permita acceder a funciones restringidas.
  
• Vulnerabilidad en Flowise (CVE-2024-8182)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/08/2024
  Fecha de última actualización: 30/08/2024
  Existe una vulnerabilidad de denegación de servicio (DoS) no autenticada en la versión 1.8.2 de Flowise, lo que provoca un bloqueo completo de la instancia que ejecuta una versión vulnerable debido al manejo inadecuado de la entrada proporcionada por el usuario en el archivo “/api/v1/get-upload-file” endpoint de la API.
  
• Vulnerabilidad en Brain Information Technologies Inc. Brain Low-Code (CVE-2024-7071)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/08/2024
  Fecha de última actualización: 30/08/2024
  Neutralización inadecuada de elementos especiales utilizados en un comando SQL ("Inyección SQL"), CWE - 564 - Inyección SQL: Vulnerabilidad de hibernación en Brain Information Technologies Inc. Brain Low-Code permite la inyección SQL. Este problema afecta a Brain Low-Code: antes de 2.1 .0.
  
• Vulnerabilidad en FileCatalyst Workflow (CVE-2024-6632)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/08/2024
  Fecha de última actualización: 30/08/2024
  Existe una vulnerabilidad en FileCatalyst Workflow por la cual un campo al que puede acceder el superadministrador se puede utilizar para realizar un ataque de inyección SQL que puede provocar una pérdida de confidencialidad, integridad y disponibilidad.
  
• Vulnerabilidad en FileCatalyst Workflow (CVE-2024-6633)
  Severidad: Pendiente de análisis
  Fecha de publicación: 27/08/2024
  Fecha de última actualización: 30/08/2024
  Las credenciales predeterminadas para la configuración de la base de datos HSQL (HSQLDB) para FileCatalyst Workflow se publican en un artículo de la base de conocimientos del proveedor. El uso indebido de estas credenciales podría comprometer la confidencialidad, la integridad o la disponibilidad del software. HSQLDB solo se incluye para facilitar la instalación, ha quedado obsoleto y no está diseñado para uso en producción según las guías del proveedor. Sin embargo, los usuarios que no han configurado FileCatalyst Workflow para utilizar una base de datos alternativa según las recomendaciones son vulnerables a ataques desde cualquier fuente que pueda llegar a HSQLDB.