Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en kernel de Linux (CVE-2024-50143)
Severidad: ALTA
Fecha de publicación: 07/11/2024
Fecha de última actualización: 15/11/2024
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: udf: se corrige el uso de un valor no inicializado en udf_get_fileshortad. Se comprueba si hay desbordamiento al calcular alen en udf_current_aext para mitigar el uso posterior de un valor no inicializado en udf_get_fileshortad. Error de KMSAN[1]. Después de aplicar el parche, el reproductor no activó ningún problema[2]. [1] https://syzkaller.appspot.com/bug?extid=8901c4560b7ab5c2f9df [2] https://syzkaller.appspot.com/x/log.txt?x=10242227980000
-
Vulnerabilidad en Spectrum Power 7 (CVE-2024-29119)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Se ha identificado una vulnerabilidad en Spectrum Power 7 (todas las versiones anteriores a V24Q3). El producto afectado contiene varios binarios SUID propiedad de superusuario que podrían permitir que un atacante local autenticado aumente los privilegios.
-
Vulnerabilidad en OZW672 y OZW772 (CVE-2024-36140)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Se ha identificado una vulnerabilidad en OZW672 (todas las versiones anteriores a la V5.2) y OZW772 (todas las versiones anteriores a la V5.2). La pestaña de cuentas de usuario de los dispositivos afectados es vulnerable a ataques de Cross Site Scripting (XSS) almacenado. Esto podría permitir que un atacante remoto autenticado inyecte código JavaScript arbitrario que luego ejecuta otro usuario víctima autenticado con posibles privilegios superiores a los del atacante.
-
Vulnerabilidad en TimGeyssens UIOMatic 5 (CVE-2024-11124)
Severidad: MEDIA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Se ha encontrado una vulnerabilidad en TimGeyssens UIOMatic 5 y se ha clasificado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /src/UIOMatic/wwwroot/backoffice/resources/uioMaticObject.r. La manipulación conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
-
Vulnerabilidad en GetSimpleCMS 3.3.16 (CVE-2024-11125)
Severidad: MEDIA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Se encontró una vulnerabilidad en GetSimpleCMS 3.3.16 y se clasificó como problemática. Este problema afecta a algunos procesos desconocidos del archivo /admin/profile.php. La manipulación conduce a cross-site request forgery. El ataque puede iniciarse de forma remota. La vulnerabilidad se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-43620)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Vulnerabilidad de ejecución remota de código en el servicio de telefonía de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-43621)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Vulnerabilidad de ejecución remota de código en el servicio de telefonía de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-43622)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Vulnerabilidad de ejecución remota de código en el servicio de telefonía de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-43623)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Vulnerabilidad de elevación de privilegios en el núcleo del sistema operativo Windows NT
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-43625)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 15/11/2024
Vulnerabilidad de elevación de privilegios en Microsoft Windows VMSwitch
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-49026)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Vulnerabilidad de ejecución remota de código en Microsoft Excel
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-49027)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Vulnerabilidad de ejecución remota de código en Microsoft Excel
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-49029)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Vulnerabilidad de ejecución remota de código en Microsoft Excel
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-49030)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Vulnerabilidad de ejecución remota de código en Microsoft Excel
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-49033)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Vulnerabilidad de omisión de funciones de seguridad de Microsoft Word
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-49040)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Vulnerabilidad de suplantación de identidad en Microsoft Exchange Server
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-49044)
Severidad: MEDIA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Vulnerabilidad de elevación de privilegios en Visual Studio
-
Vulnerabilidad en InDesign Desktop (CVE-2024-49507)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Las versiones ID18.5.3, ID19.5 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en InDesign Desktop (CVE-2024-49508)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Las versiones ID18.5.3, ID19.5 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en InDesign Desktop (CVE-2024-49509)
Severidad: ALTA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Las versiones ID18.5.3, ID19.5 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de búfer basado en montón que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en InDesign Desktop (CVE-2024-49510)
Severidad: MEDIA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Las versiones ID18.5.3, ID19.5 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en InDesign Desktop (CVE-2024-49511)
Severidad: MEDIA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Las versiones ID18.5.3, ID19.5 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en InDesign Desktop (CVE-2024-49512)
Severidad: MEDIA
Fecha de publicación: 12/11/2024
Fecha de última actualización: 16/11/2024
Las versiones ID18.5.3, ID19.5 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
-
Vulnerabilidad en AirTies Air4443 Firmware (CVE-2024-9477)
Severidad: MEDIA
Fecha de publicación: 13/11/2024
Fecha de última actualización: 15/11/2024
Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o "Cross-site Scripting") en AirTies Air4443 Firmware que permite Cross-Site Scripting (XSS). Este problema afecta al firmware Air4443: hasta 14102024. NOTA: Se contactó al proveedor y se supo que el producto estaba clasificado como al final de su vida útil y al final de su soporte.
-
Vulnerabilidad en Public CMS 5.202406.d (CVE-2024-11175)
Severidad: MEDIA
Fecha de publicación: 13/11/2024
Fecha de última actualización: 15/11/2024
Se encontró una vulnerabilidad en Public CMS 5.202406.d y se clasificó como problemática. Este problema afecta a algunos procesos desconocidos del archivo /admin/cmsVote/save del componente Voting Management. La manipulación conduce a Cross-Site Scripting. El ataque puede iniciarse de forma remota. El exploit se ha divulgado al público y puede utilizarse. El parche se llama b9530b9cc1f5cfdad4b637874f59029a6283a65c. Se recomienda aplicar un parche para solucionar este problema.