Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Cowidgets – Elementor Addons para WordPress (CVE-2024-5179)
Severidad: Pendiente de análisis
Fecha de publicación: 06/06/2024
Fecha de última actualización: 09/10/2024
El complemento Cowidgets – Elementor Addons para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 1.1.1 incluida a través de los parámetros 'item_style' y 'style'. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en los casos en que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".
-
Vulnerabilidad en FOXMAN-UN/UNEM (CVE-2024-28020)
Severidad: Pendiente de análisis
Fecha de publicación: 11/06/2024
Fecha de última actualización: 09/10/2024
Existe una vulnerabilidad de reutilización de usuario/contraseña en la administración de aplicaciones y servidores de FOXMAN-UN/UNEM. Si se explota, un usuario malintencionado podría utilizar las contraseñas y la información de inicio de sesión para ampliar el acceso al servidor y a otros servicios.
-
Vulnerabilidad en FooGallery y foogallery-premium de WordPress (CVE-2024-2762)
Severidad: Pendiente de análisis
Fecha de publicación: 13/06/2024
Fecha de última actualización: 09/10/2024
El complemento FooGallery de WordPress anterior a 2.4.15, el complemento foogallery-premium de WordPress anterior a 2.4.15 no valida ni escapa algunas de las configuraciones de su Galería antes de devolverlas a la página, lo que podría permitir a los usuarios con un rol tan bajo como Autor realizar ataques de Cross-Site Scripting Almacenado que podrían usarse contra usuarios con altos privilegios, como administradores.
-
Vulnerabilidad en itsourcecode Online Bookstore 1.0 (CVE-2024-5984)
Severidad: ALTA
Fecha de publicación: 14/06/2024
Fecha de última actualización: 09/10/2024
Se encontró una vulnerabilidad en itsourcecode Online Bookstore 1.0. Ha sido calificada como crítica. Una función desconocida del archivo book.php es afectada por esta vulnerabilidad. La manipulación del argumento bookisbn conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-268460.
-
Vulnerabilidad en Xinhu RockOA v2.6.3 (CVE-2024-37624)
Severidad: Pendiente de análisis
Fecha de publicación: 17/06/2024
Fecha de última actualización: 09/10/2024
Se descubrió que Xinhu RockOA v2.6.3 contenía una vulnerabilidad de cross site scripting (XSS) reflejado a través de /chajian/inputChajian.php. componente.
-
Vulnerabilidad en Cisco Small Business (CVE-2024-20470)
Severidad: Pendiente de análisis
Fecha de publicación: 02/10/2024
Fecha de última actualización: 09/10/2024
Una vulnerabilidad en la interfaz de administración basada en web de los enrutadores VPN Gigabit de doble WAN Cisco Small Business RV340, RV340W, RV345 y RV345P podría permitir que un atacante remoto autenticado ejecute código arbitrario en un dispositivo afectado. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales de administrador válidas. Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida de manera suficiente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una entrada HTTP manipulada a un dispositivo afectado. Una explotación exitosa podría permitir que el atacante ejecute código arbitrario como usuario raíz en el sistema operativo subyacente.