Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Propovoice Pro (CVE-2024-43941)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Propovoice Pro permite la inyección SQL. Este problema afecta a Propovoice Pro: desde n/a hasta 1.7.0.3.
  • Vulnerabilidad en Smackcoders SendGrid para WordPress (CVE-2024-43965)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Smackcoders SendGrid para WordPress permite la inyección SQL. Este problema afecta a SendGrid para WordPress: desde n/a hasta 1.4.
  • Vulnerabilidad en Serilog (CVE-2024-44930)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que Serilog anterior a v2.1.0 contenía una vulnerabilidad de suplantación de IP de cliente, que permite a los atacantes falsificar sus direcciones IP especificando una IP arbitraria como valor de los encabezados X-Forwarded-For o Client-Ip mientras realizan solicitudes HTTP.
  • Vulnerabilidad en Jegstudio Gutenverse (CVE-2024-43920)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Jegstudio Gutenverse permite XSS almacenado. Este problema afecta a Gutenverse: desde n/a hasta 1.9.4.
  • Vulnerabilidad en Magic Post Thumbnail (CVE-2024-43921)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Magic Post Thumbnail permite XSS reflejado. Este problema afecta a Magic Post Thumbnail: desde n/a hasta 5.2.9.
  • Vulnerabilidad en Dinesh Karki WP Armour Extended (CVE-2024-43947)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Dinesh Karki WP Armour Extended. Este problema afecta a WP Armour Extended: desde n/a hasta 1.26.
  • Vulnerabilidad en openflights (CVE-2024-41345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    El commit 5234b5b de openflights es vulnerable a Cross Site Scripting (XSS) a través de php/trip.php
  • Vulnerabilidad en openflights (CVE-2024-41346)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    El commit 5234b5b de openflights es vulnerable a Cross Site Scripting (XSS) a través de php/submit.php
  • Vulnerabilidad en openflights (CVE-2024-41347)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    El commit 5234b5b de openflights es vulnerable a Cross Site Scripting (XSS) a través de php/settings.php
  • Vulnerabilidad en openflights (CVE-2024-41348)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    El commit 5234b5b de openflights es vulnerable a Cross Site Scripting (XSS) a través de php/alsearch.php
  • Vulnerabilidad en bjyadmin (CVE-2024-41350)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    El commit a560fd5 de bjyadmin es vulnerable a Cross Site Scripting (XSS) a través de Public/statics/ueditor1_2_3/php/imageUp.php
  • Vulnerabilidad en bjyadmin (CVE-2024-41351)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    El commit a560fd5 de bjyadmin es vulnerable a Cross Site Scripting (XSS) a través de Public/statics/ueditor1_2_3/php/getContent.php
  • Vulnerabilidad en phpipam 1.6 (CVE-2024-41358)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    phpipam 1.6 es vulnerable a Cross Site Scripting (XSS) a través de app\admin\import-export\import-load-data.php.
  • Vulnerabilidad en RPi-Jukebox-RFID v2.7.0 (CVE-2024-41361)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que RPi-Jukebox-RFID v2.7.0 contiene una vulnerabilidad de ejecución remota de código (RCE) a través de htdocs\manageFilesFolders.php
  • Vulnerabilidad en RPi-Jukebox-RFID v2.7.0 (CVE-2024-41364)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que RPi-Jukebox-RFID v2.7.0 contiene una vulnerabilidad de ejecución remota de código (RCE) a través de htdocs\trackEdit.php
  • Vulnerabilidad en RPi-Jukebox-RFID v2.7.0 (CVE-2024-41366)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que RPi-Jukebox-RFID v2.7.0 contiene una vulnerabilidad de ejecución remota de código (RCE) a través de htdocs\userScripts.php
  • Vulnerabilidad en RPi-Jukebox-RFID v2.7.0 (CVE-2024-41367)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que RPi-Jukebox-RFID v2.7.0 contiene una vulnerabilidad de ejecución remota de código (RCE) a través de htdocs\api\playlist\appendFileToPlaylist.php
  • Vulnerabilidad en RPi-Jukebox-RFID v2.7.0 (CVE-2024-41368)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que RPi-Jukebox-RFID v2.7.0 contiene una vulnerabilidad de ejecución remota de código (RCE) a través de htdocs\inc.setWlanIpMail.php
  • Vulnerabilidad en RPi-Jukebox-RFID v2.7.0 (CVE-2024-41369)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que RPi-Jukebox-RFID v2.7.0 contiene una vulnerabilidad de ejecución remota de código (RCE) a través de htdocs\inc.setWifi.php
  • Vulnerabilidad en Organizr v1.90 (CVE-2024-41370)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que Organizr v1.90 contenía una vulnerabilidad de inyección SQL a través de chat/setlike.php.
  • Vulnerabilidad en Organizr v1.90 (CVE-2024-41371)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Organizr v1.90 es vulnerable a Cross Site Scripting (XSS) a través de api.php.
  • Vulnerabilidad en Organizr v1.90 (CVE-2024-41372)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió que Organizr v1.90 contenía una vulnerabilidad de inyección SQL a través de chat/settyping.php.
  • Vulnerabilidad en unmark 1.9.2 (CVE-2024-41349)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    unmark 1.9.2 es vulnerable a Cross Site Scripting (XSS) a través de application/views/marks/add_by_url.php.
  • Vulnerabilidad en WhatsUp Gold (CVE-2024-6670)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    En las versiones de WhatsUp Gold lanzadas antes de 2024.0.0, una vulnerabilidad de inyección SQL permite que un atacante no autenticado recupere la contraseña cifrada del usuario.
  • Vulnerabilidad en WhatsUp Gold (CVE-2024-6671)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    En las versiones de WhatsUp Gold lanzadas antes de 2024.0.0, si la aplicación está configurada con un solo usuario, una vulnerabilidad de inyección SQL permite que un atacante no autenticado recupere la contraseña cifrada del usuario.
  • Vulnerabilidad en WhatsUp Gold (CVE-2024-6672)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    En las versiones de WhatsUp Gold lanzadas antes de 2024.0.0, una vulnerabilidad de inyección SQL permite que un atacante autenticado con pocos privilegios logre una escalada de privilegios modificando la contraseña de un usuario privilegiado.
  • Vulnerabilidad en wolfSSL (CVE-2024-1543)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    La implementación de T-Table protegida por canal lateral en wolfSSL hasta la versión 5.6.5 protege contra un atacante de canal lateral con resolución de línea de caché. En un entorno controlado como Intel SGX, un atacante puede obtener una resolución de línea de subcaché por instrucción que le permita romper la protección a nivel de línea de caché. Para obtener detalles sobre el ataque, consulte: https://doi.org/10.46586/tches.v2024.i1.457-500
  • Vulnerabilidad en WolfSSL wolfssl5.6.6 (CVE-2024-1545)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 04/09/2024
    La vulnerabilidad de inyección de fallas en la función RsaPrivateDecryption en wolfssl/wolfcrypt/src/rsa.c en WolfSSL wolfssl5.6.6 en Linux/Windows permite a un atacante remoto residir en el mismo sistema con un proceso víctima para divulgar información y escalar privilegios a través de la inyección de fallas de Rowhammer a la estructura RsaKey.
  • Vulnerabilidad en WolfSSL wolfssl5.6.6 (CVE-2024-2881)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    La vulnerabilidad de inyección de fallas en la función wc_ed25519_sign_msg en wolfssl/wolfcrypt/src/ed25519.c en WolfSSL wolfssl5.6.6 en Linux/Windows permite a un atacante remoto residir en el mismo sistema con un proceso víctima para divulgar información y escalar privilegios a través de la inyección de fallas de Rowhammer a la estructura ed25519_key.
  • Vulnerabilidad en xmlparse.c (CVE-2024-45490)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió un problema en libexpat anterior a 2.6.3. xmlparse.c no rechaza una longitud negativa para XML_ParseBuffer.
  • Vulnerabilidad en xmlparse.c (CVE-2024-45491)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió un problema en libexpat anterior a 2.6.3. dtdCopy en xmlparse.c puede tener un desbordamiento de entero para nDefaultAtts en plataformas de 32 bits (donde UINT_MAX es igual a SIZE_MAX).
  • Vulnerabilidad en xmlparse.c (CVE-2024-45492)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se descubrió un problema en libexpat antes de 2.6.3. nextScaffoldPart en xmlparse.c puede tener un desbordamiento de entero para m_groupSize en plataformas de 32 bits (donde UINT_MAX es igual a SIZE_MAX).
  • Vulnerabilidad en Elementor Addon Elements para WordPress (CVE-2024-4401)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    El complemento Elementor Addon Elements para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros 'id' y 'eae_slider_animation' en todas las versiones hasta la 1.13.5 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Memberpress para WordPress (CVE-2024-5024)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    El complemento Memberpress para WordPress es vulnerable a secuencias de comandos cruzadas reflejadas a través de los parámetros 'mepr_screenname' y 'mepr_key' en todas las versiones hasta la 1.11.29 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten scripts web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en SourceCodester Music Gallery Site 1.0 (CVE-2024-8336)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Music Gallery Site 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /php-music/classes/Master.php?f=delete_music. La manipulación del argumento id conduce a una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Contact Manager con Export to VCF 1.0 (CVE-2024-8337)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en SourceCodester Contact Manager con Export to VCF 1.0. Este problema afecta a algunas funciones desconocidas del archivo index.html. La manipulación del argumento contact_name provoca cross site scripting. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Electric Billing Management System 1.0 (CVE-2024-8339)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad en SourceCodester Electric Billing Management System 1.0. Se ha calificado como crítica. Este problema afecta a algunas funciones desconocidas del archivo /?page=tracks del componente Connection Code Handler. La manipulación del código de argumento conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Electric Billing Management System 1.0 (CVE-2024-8340)
    Severidad: ALTA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Electric Billing Management System 1.0. Afecta a una parte desconocida del archivo /Actions.php?a=login. La manipulación del argumento username provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Petshop Management System 1.0 (CVE-2024-8341)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Petshop Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /controllers/add_user.php. La manipulación del argumento avatar permite la carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Petshop Management System 1.0 (CVE-2024-8342)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Petshop Management System 1.0. Este problema afecta a algunos procesos desconocidos del archivo /controllers/add_client.php. La manipulación del argumento image_profile provoca una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Sentiment Based Movie Rating System 1.0 (CVE-2024-8343)
    Severidad: ALTA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Sentiment Based Movie Rating System 1.0. Se trata de una función desconocida del archivo /classes/Users.php?f=save_client del componente User Registration Handler. La manipulación del argumento email provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en SourceCodester Music Gallery Site 1.0 (CVE-2024-8345)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se encontró una vulnerabilidad en SourceCodester Music Gallery Site 1.0 y se clasificó como crítica. Este problema afecta a algunas funciones desconocidas del archivo /classes/Users.php?f=delete. La manipulación del argumento id conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Computer Laboratory Management System 1.0 (CVE-2024-8346)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Computer Laboratory Management System 1.0. La función update_settings_info del archivo /classes/SystemSettings.php?f=update_settings se ve afectada. La manipulación del nombre del argumento provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en ShopXO 6.2 (CVE-2024-44682)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    ShopXO 6.2 es vulnerable a Cross Site Scripting (XSS) en el backend que permite a los atacantes ejecutar código cambiando los parámetros POST.
  • Vulnerabilidad en Seacms v13 (CVE-2024-44683)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Seacms v13 es vulnerable a Cross Site Scripting (XSS) a través de admin-video.php.
  • Vulnerabilidad en TpMeCMS 1.3.3.2 (CVE-2024-44684)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    TpMeCMS 1.3.3.2 es vulnerable a Cross Site Scripting (XSS) en /h.php/page?ref=addtabs a través de los campos "Título", "Imágenes" y "Contenido".
  • Vulnerabilidad en SourceCodester Computer Laboratory Management System 1.0 (CVE-2024-8347)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Computer Laboratory Management System 1.0. La función delete_record del archivo /classes/Master.php?f=delete_record se ve afectada por esta vulnerabilidad. La manipulación del argumento id conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Computer Laboratory Management System 1.0 (CVE-2024-8348)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Computer Laboratory Management System 1.0. La función delete_category del archivo /classes/Master.php?f=delete_category se ve afectada por este problema. La manipulación del argumento id provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects Pharmacy Management System 1.0 (CVE-2024-8366)
    Severidad: MEDIA
    Fecha de publicación: 31/08/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad en code-projects Pharmacy Management System 1.0. Se ha clasificado como problemática. Afecta a una parte desconocida del archivo /index.php?id=userProfileEdit del componente Update My Profile Page. La manipulación del argumento fname/lname/email con la entrada provoca cross site scripting. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en HTMLDOC (CVE-2024-45508)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/09/2024
    Fecha de última actualización: 04/09/2024
    HTMLDOC anterior a 1.9.19 tiene una escritura fuera de los límites en parse_paragraph en ps-pdf.cxx debido a un intento de eliminar los espacios iniciales de un nodo que solo contiene espacios en blanco.
  • Vulnerabilidad en MISP (CVE-2024-45509)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/09/2024
    Fecha de última actualización: 04/09/2024
    En MISP hasta 2.4.196, app/Controller/BookmarksController.php no restringe adecuadamente el acceso a los datos de marcadores en el caso en que el usuario no sea un administrador de la organización.
  • Vulnerabilidad en Carousel Slider de WordPress (CVE-2024-45269)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    El complemento "Carousel Slider" de WordPress proporcionado por Sayful Islam contiene una vulnerabilidad de cross-site request forgery en la función de selección de imágenes de Carousel. Al iniciar sesión en el sitio de WordPress con el complemento Carousel Slider habilitado, acceder a una página creada puede hacer que un usuario altere el contenido del sitio de WordPress.
  • Vulnerabilidad en "Carousel Slider" de WordPress (CVE-2024-45270)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    El complemento "Carousel Slider" de WordPress proporcionado por Sayful Islam contiene una vulnerabilidad de cross-site request forgery en la función de selección de imágenes de héroe. Mientras se está conectado al sitio de WordPress con el complemento Carousel Slider habilitado, acceder a una página creada puede hacer que un usuario altere el contenido del sitio de WordPress.
  • Vulnerabilidad en OpenHarmony v4.1.0 (CVE-2024-28044)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.1.0 y versiones anteriores, se permite que un atacante local provoque un bloqueo a través de un desbordamiento de enteros.
  • Vulnerabilidad en OpenHarmony v4.0.0 (CVE-2024-38382)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.0.0 y versiones anteriores, se permite que un atacante local provoque fugas de información a través de lecturas fuera de los límites.
  • Vulnerabilidad en OpenHarmony v4.1.0 (CVE-2024-38386)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.1.0 y versiones anteriores se permite a un atacante local la ejecución de código arbitrario en aplicaciones preinstaladas a través de escritura fuera de los límites.
  • Vulnerabilidad en OpenHarmony v4.0.0 (CVE-2024-39612)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.0.0 y versiones anteriores, se permite que un atacante local provoque fugas de información a través de lecturas fuera de los límites.
  • Vulnerabilidad en OpenHarmony v4.1.0 (CVE-2024-39775)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.1.0 y versiones anteriores, permitir que un atacante remoto provoque fuga de información a través de lecturas fuera de los límites.
  • Vulnerabilidad en OpenHarmony v4.1.0 (CVE-2024-39816)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.1.0 y versiones anteriores se permite a un atacante local la ejecución de código arbitrario en aplicaciones preinstaladas a través de escritura fuera de los límites.
  • Vulnerabilidad en OpenHarmony v4.1.0 (CVE-2024-41157)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.1.0 y versiones anteriores se permite que un atacante local haga que el permiso común se actualice a superusuario y se filtre información confidencial mediante use after free.
  • Vulnerabilidad en OpenHarmony v4.1.0 (CVE-2024-41160)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    en OpenHarmony v4.1.0 y versiones anteriores se permite que un atacante local haga que el permiso común se actualice a superusuario y se filtre información confidencial mediante use after free.
  • Vulnerabilidad en Easytest Online Test Platform (CVE-2024-43772)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    La inyección SQL en la función de descarga del curso de aprendizaje para estudiantes de Easytest Online Test Platform ver.24E01 y anteriores permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro uid.
  • Vulnerabilidad en Easytest Online Test Platform (CVE-2024-43773)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    La inyección SQL en la función del curso de aprendizaje de la clase de descarga de Easytest Online Test Platform ver.24E01 y anteriores permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro cstr.
  • Vulnerabilidad en Easytest Online Test Platform (CVE-2024-43774)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    La inyección SQL en la función de descarga del curso de aprendizaje personal de Easytest Online Test Platform ver.24E01 y anteriores permite a usuarios remotos autenticados ejecutar comandos SQL arbitrarios a través del parámetro uid.
  • Vulnerabilidad en Easytest Online Test Platform (CVE-2024-43775)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    La función de inyección SQL en la búsqueda de títulos de cursos de Easytest Online Test Platform ver.24E01 y anteriores permite a usuarios autenticados remotos ejecutar comandos SQL arbitrarios a través del parámetro de búsqueda.
  • Vulnerabilidad en Easytest Online Test Platform (CVE-2024-43776)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    La función de inyección SQL en Easytest Online Test Platform versión 24E01 y anteriores permite a los usuarios autenticados remotos ejecutar comandos SQL arbitrarios a través del parámetro qlevel.
  • Vulnerabilidad en Easytest Online Test Platform (CVE-2024-7871)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    La función de inyección SQL en el diccionario en línea de Easytest Online Test Platform ver.24E01 y anteriores permite a los usuarios autenticados remotos ejecutar comandos SQL arbitrarios a través del parámetro de palabra.
  • Vulnerabilidad en Vault Community Edition y Vault Enterprise (CVE-2024-8365)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Vault Community Edition y Vault Enterprise experimentaron una regresión en la que se eliminó la funcionalidad que codificaba mediante HMAC los encabezados confidenciales en el dispositivo de auditoría configurado, específicamente los tokens de cliente y los descriptores de acceso de token. Esto provocó que los valores de texto sin formato de los tokens de cliente y los descriptores de acceso de token se almacenaran en el registro de auditoría. Esta vulnerabilidad, CVE-2024-8365, se solucionó en Vault Community Edition y Vault Enterprise 1.17.5 y Vault Enterprise 1.16.9.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33038)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria al pasar punteros no confiables o corruptos desde DSP a EVA.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33042)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria cuando el valor de desplazamiento de frecuencia alternativa se establece en 255.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33045)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria cuando el cliente BTFM envía nuevos mensajes a través de Slimbus a ADSP.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33047)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria cuando se invoca el comando captureRead QDCM desde el espacio de usuario.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33048)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    DOS transitorio mientras se analiza el elemento de mapeo de TID a enlace recibido del frame de respuesta de sonda/baliza.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33050)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    DOS transitorio al analizar MBSSID durante la nueva generación de IE en el frame de sonda/baliza cuando la verificación de longitud de IE falta o es incorrecta.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33051)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    DOS transitorio mientras se procesa IE TIM desde el frame de baliza ya que no hay verificación de la longitud de IE.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33052)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria cuando el usuario proporciona datos para operaciones de control de comando FM HCI.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33054)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria durante el protocolo de enlace entre la máquina virtual principal y la máquina virtual confiable.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33057)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    DOS transitorio mientras se analiza el campo de control del elemento de múltiples enlaces cuando falta la verificación de longitud de información común antes de actualizar la ubicación.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33060)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria cuando dos subprocesos intentan mapear y desasignar un solo nodo simultáneamente.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-38401)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Corrupción de memoria durante el procesamiento de llamadas IOCTL simultáneas.
  • Vulnerabilidad en Checkmk (CVE-2024-38858)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    La neutralización incorrecta de la entrada en Checkmk anterior a la versión 2.3.0p14 permite a los atacantes inyectar y ejecutar scripts maliciosos en la vista de registros de Robotmk.
  • Vulnerabilidad en 3DDashboard (CVE-2024-7932)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Una vulnerabilidad de Cross-site Scripting (XSS) Almacenado que afecta a 3DDashboard en 3DSwymer Release en 3DEXPERIENCE R2024x permite a un atacante ejecutar código de script arbitrario en la sesión del navegador del usuario.
  • Vulnerabilidad en 3DDashboard (CVE-2024-7938)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Una vulnerabilidad de Cross-site Scripting (XSS) Almacenado que afecta a 3DDashboard en 3DSwymer desde la versión 3DEXPERIENCE R2023x hasta la versión 3DEXPERIENCE R2024x permite a un atacante ejecutar código de script arbitrario en la sesión del navegador del usuario.
  • Vulnerabilidad en 3DSwym (CVE-2024-7939)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Una vulnerabilidad de Cross-site Scripting (XSS) Almacenado que afecta a 3DSwym en la versión 3DSwymer en 3DEXPERIENCE R2024x permite a un atacante ejecutar código de script arbitrario en la sesión del navegador del usuario.
  • Vulnerabilidad en ENOVIA Collaborative Industry Innovator (CVE-2024-8004)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 04/09/2024
    Una vulnerabilidad de Cross-site Scripting (XSS) Almacenado que afecta a ENOVIA Collaborative Industry Innovator desde la versión 3DEXPERIENCE R2022x hasta la versión 3DEXPERIENCE R2024x permite a un atacante ejecutar código de script arbitrario en la sesión del navegador del usuario.
  • Vulnerabilidad en SourceCodester Contact Manager con Export to VCF 1.0 (CVE-2024-8380)
    Severidad: MEDIA
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 04/09/2024
    Se ha encontrado una vulnerabilidad en SourceCodester Contact Manager con Export to VCF 1.0. Se ha calificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo /endpoint/delete-account.php del componente Delete Contact Handler. La manipulación del argumento contact conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
  • Vulnerabilidad en Dell Path to PowerProtect (CVE-2024-37136)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 04/09/2024
    Dell Path to PowerProtect, versiones 1.1 y 1.2, contiene una vulnerabilidad de exposición de información personal privada a un agente no autorizado. Un atacante remoto con privilegios elevados podría aprovechar esta vulnerabilidad, lo que provocaría la exposición de información.