Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en LabVantage LIMS 2017 (CVE-2024-6367)
Severidad: MEDIA
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Una vulnerabilidad fue encontrada en LabVantage LIMS 2017 y ha sido declarada problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /labvantage/rc?command=file&file=WEB-CORE/elements/files/filesembedded.jsp del componente POST Request Handler. La manipulación del argumento sdcid/keyid1/keyid2/keyid3 conduce a Cross Site Scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-269800. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
-
Vulnerabilidad en LabVantage LIMS 2017 (CVE-2024-6368)
Severidad: MEDIA
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Se encontró una vulnerabilidad en LabVantage LIMS 2017. Se calificó como problemática. Este problema afecta un procesamiento desconocido del archivo /labvantage/rc?command=page del componente POST Request Handler. La manipulación del argumento param1 conduce a Cross Site Scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-269801. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
-
Vulnerabilidad en LabVantage LIMS 2017 (CVE-2024-6369)
Severidad: MEDIA
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Una vulnerabilidad ha sido encontrada en LabVantage LIMS 2017 y clasificada como problemática. Una función desconocida del archivo /labvantage/rc?command=page&sdcid=LV_ReagentLot del componente POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento mode conduce a Cross Site Scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-269802 es el identificador asignado a esta vulnerabilidad.
-
Vulnerabilidad en LabVantage LIMS 2017 (CVE-2024-6370)
Severidad: MEDIA
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Una vulnerabilidad fue encontrada en LabVantage LIMS 2017 y clasificada como problemática. Una función desconocida del archivo /labvantage/rc?command=file&file=WEB-OPAL/pagetypes/bulletins/sendbulletin.jsp del componente POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento bulletinbody conduce a Cross Site Scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-269803.
-
Vulnerabilidad en FM TELSAT marKoni (CVE-2024-39373)
Severidad: Pendiente de análisis
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Los transmisores FM TELSAT marKoni son vulnerables a una vulnerabilidad de inyección de comandos mediante la manipulación de la configuración y podrían permitir que un atacante obtenga acceso no autorizado al sistema con privilegios administrativos.
-
Vulnerabilidad en FM TELSAT marKoni (CVE-2024-39374)
Severidad: Pendiente de análisis
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Los transmisores FM TELSAT marKoni son vulnerables a que un atacante explote una cuenta de administrador oculta a la que se puede acceder mediante el uso de credenciales codificadas.
-
Vulnerabilidad en FM TELSAT marKoni (CVE-2024-39375)
Severidad: Pendiente de análisis
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Los transmisores FM TELSAT marKoni son vulnerables a que un atacante eluda la autenticación y obtenga privilegios de administrador.
-
Vulnerabilidad en FM TELSAT marKoni (CVE-2024-39376)
Severidad: Pendiente de análisis
Fecha de publicación: 27/06/2024
Fecha de última actualización: 17/09/2024
Los transmisores FM TELSAT marKoni son vulnerables a que los usuarios obtengan acceso no autorizado a información confidencial o realicen acciones más allá de sus permisos designados.
-
Vulnerabilidad en Hush Line (CVE-2024-38521)
Severidad: Pendiente de análisis
Fecha de publicación: 28/06/2024
Fecha de última actualización: 17/09/2024
Hush Line es una línea de sugerencias anónimas como servicio, gratuita y de código abierto para organizaciones o individuos. Hay un XSS almacenado en la Bandeja de entrada. La entrada se muestra utilizando el atributo Jinja2 "seguro" y, por lo tanto, no se sanitiza al mostrarse. Este problema se solucionó en la versión 0.1.0.
-
Vulnerabilidad en Hush Line (CVE-2024-38522)
Severidad: Pendiente de análisis
Fecha de publicación: 28/06/2024
Fecha de última actualización: 17/09/2024
Hush Line es una línea de sugerencias anónimas como servicio, gratuita y de código abierto para organizaciones o individuos. Es fácil omitir la política de CSP aplicada en el sitio web `tips.hushline.app` e incluida de forma predeterminada en este repositorio. Esta vulnerabilidad ha sido parcheada en la versión 0.1.0.
-
Vulnerabilidad en JetBrains TeamCity (CVE-2024-39878)
Severidad: Pendiente de análisis
Fecha de publicación: 01/07/2024
Fecha de última actualización: 17/09/2024
En JetBrains TeamCity antes de 2024.03.3, la clave privada podía exponerse mediante la prueba de conexión de la aplicación GitHub
-
Vulnerabilidad en JetBrains TeamCity (CVE-2024-39879)
Severidad: Pendiente de análisis
Fecha de publicación: 01/07/2024
Fecha de última actualización: 17/09/2024
En JetBrains TeamCity antes de 2024.03.3, el token de aplicación podía exponerse en la configuración del perfil de nube EC2
-
Vulnerabilidad en weMail (CVE-2024-43238)
Severidad: Pendiente de análisis
Fecha de publicación: 18/08/2024
Fecha de última actualización: 17/09/2024
La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en weDevs weMail permite el XSS reflejado. Este problema afecta a weMail: desde n/a hasta 1.14.5.
-
Vulnerabilidad en Bit Apps Bit Form Pro (CVE-2024-43251)
Severidad: Pendiente de análisis
Fecha de publicación: 26/08/2024
Fecha de última actualización: 17/09/2024
Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Bit Apps Bit Form Pro. Este problema afecta a Bit Form Pro: desde n/a hasta 2.6.4.
-
Vulnerabilidad en Stormhill Media MyBookTable Bookstore (CVE-2024-43255)
Severidad: Pendiente de análisis
Fecha de publicación: 26/08/2024
Fecha de última actualización: 17/09/2024
La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Stormhill Media MyBookTable Bookstore permite cross-site scripting (XSS). Este problema afecta a MyBookTable Bookstore: desde n/a hasta 3.3.9.
-
Vulnerabilidad en QNAP (CVE-2023-34979)
Severidad: Pendiente de análisis
Fecha de publicación: 06/09/2024
Fecha de última actualización: 17/09/2024
Se ha informado de una vulnerabilidad de inyección de comandos del sistema operativo que afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir que los administradores autenticados ejecuten comandos a través de una red. Ya hemos corregido la vulnerabilidad en las siguientes versiones: QTS 4.5.4.2790, compilación 20240605 y posteriores QuTS hero h4.5.4.2790, compilación 20240606 y posteriores
-
Vulnerabilidad en TechExcel Back Office Software (CVE-2024-8601)
Severidad: Pendiente de análisis
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
Esta vulnerabilidad existe en TechExcel Back Office Software anteriores a la 1.0.0 debido a controles de acceso inadecuados en determinados endpoints de API. Un atacante remoto autenticado podría aprovechar esta vulnerabilidad manipulando un parámetro a través de la URL de solicitud de API, lo que podría dar lugar a un acceso no autorizado a información confidencial perteneciente a otros usuarios.
-
Vulnerabilidad en D-Link DI-8100 v16.07.26A1 (CVE-2024-44375)
Severidad: Pendiente de análisis
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
D-Link DI-8100 v16.07.26A1 tiene una vulnerabilidad de desbordamiento de pila en la función dbsrv_asp.
-
Vulnerabilidad en PassBox (CVE-2024-7015)
Severidad: Pendiente de análisis
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de autenticación incorrecta, autenticación faltante para funciones críticas y autorización incorrecta en Profelis Informatics and Consulting PassBox permite el abuso de autenticación. Este problema afecta a PassBox: antes de v1.2.
-
Vulnerabilidad en Joplin (CVE-2024-40643)
Severidad: Pendiente de análisis
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
Joplin es una aplicación de código abierto y gratuita para tomar notas y realizar tareas pendientes. Joplin no tiene en cuenta que un "<" seguido de un carácter que no sea una letra no se considerará HTML. Por lo tanto, es posible realizar un XSS colocando una etiqueta "ilegal" dentro de otra etiqueta.
-
Vulnerabilidad en Rapid7 Insight Platform (CVE-2024-8042)
Severidad: Pendiente de análisis
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
Las versiones de Rapid7 Insight Platform entre noviembre de 2019 y el 14 de agosto de 2024 sufren problemas de falta de autorización, por los cuales un atacante puede interceptar solicitudes locales para establecer el nombre y la descripción de un nuevo grupo de usuarios. Esto podría provocar que se agregue un grupo de usuarios vacío al cliente incorrecto. Esta vulnerabilidad se solucionó a partir del 14 de agosto de 2024.
-
Vulnerabilidad en AngularJS (CVE-2024-8372)
Severidad: Pendiente de análisis
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
La desinfección incorrecta del valor del atributo '[srcset]' en AngularJS permite a los atacantes eludir las restricciones comunes de origen de imágenes, lo que también puede provocar una forma de suplantación de contenido https://owasp.org/www-community/attacks/Content_Spoofing . Este problema afecta a las versiones 1.3.0-rc.4 y posteriores de AngularJS. Nota: El proyecto AngularJS ha llegado al final de su vida útil y no recibirá ninguna actualización para solucionar este problema. Para obtener más información, consulte aquí https://docs.angularjs.org/misc/version-support-status .
-
Vulnerabilidad en AngularJS (CVE-2024-8373)
Severidad: Pendiente de análisis
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
La desinfección incorrecta del valor del atributo [srcset] en los elementos HTML en AngularJS permite a los atacantes eludir las restricciones comunes de origen de las imágenes, lo que también puede provocar una forma de suplantación de contenido https://owasp.org/www-community/attacks/Content_Spoofing . Este problema afecta a todas las versiones de AngularJS. Nota: El proyecto AngularJS ha llegado al final de su vida útil y no recibirá ninguna actualización para solucionar este problema. Para obtener más información, consulte aquí https://docs.angularjs.org/misc/version-support-status.
-
Vulnerabilidad en SourceCodester Best House Rental Management System 1.0 (CVE-2024-8610)
Severidad: MEDIA
Fecha de publicación: 09/09/2024
Fecha de última actualización: 17/09/2024
Se ha encontrado una vulnerabilidad clasificada como problemática en SourceCodester Best House Rental Management System 1.0. Se trata de una función desconocida del archivo /index.php?page=tenants del componente New Tenant Page. La manipulación del argumento Apellido/Nombre/Segundo nombre conduce a cross site scripting. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38119)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de ejecución remota de código en la traducción de direcciones de red (NAT) de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38188)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de elevación de privilegios del agente de máquina virtual de Azure Network Watcher
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38194)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Un atacante autenticado puede aprovechar una vulnerabilidad de autorización indebida en Azure Web Apps para elevar privilegios en una red.
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38216)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de elevación de privilegios en Azure Stack Hub
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38220)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de elevación de privilegios en Azure Stack Hub
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38225)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de elevación de privilegios en Microsoft Dynamics 365 Business Central
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38227)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38228)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38230)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de denegación de servicio del servicio de administración de almacenamiento basado en estándares de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38231)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de denegación de servicio del servicio de licencias de Escritorio remoto de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38232)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de denegación de servicio en redes de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38233)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de denegación de servicio en redes de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-38234)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de denegación de servicio en redes de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-43470)
Severidad: Pendiente de análisis
Fecha de publicación: 10/09/2024
Fecha de última actualización: 17/09/2024
Vulnerabilidad de elevación de privilegios del agente de máquina virtual de Azure Network Watcher
-
Vulnerabilidad en D-Link (CVE-2024-45695)
Severidad: Pendiente de análisis
Fecha de publicación: 16/09/2024
Fecha de última actualización: 17/09/2024
El servicio web de ciertos modelos de enrutadores inalámbricos D-Link contiene una vulnerabilidad de desbordamiento de búfer basada en pila, que permite a atacantes remotos no autenticados explotar esta vulnerabilidad para ejecutar código arbitrario en el dispositivo.