Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en una de las rutas REST en el plugin WP Fundraising Donation and Crowdfunding Platform de WordPress (CVE-2022-0788)
    Severidad: CRÍTICA
    Fecha de publicación: 08/06/2022
    Fecha de última actualización: 05/12/2024
    El plugin WP Fundraising Donation and Crowdfunding Platform WordPress anterior a la versión 1.5.0 no sanea y escapa de un parámetro antes de utilizarlo en una sentencia SQL a través de una de sus rutas REST, lo que lleva a una inyección SQL explotable por usuarios no autentificados
  • Vulnerabilidad en SonicWALL, Inc. (CVE-2024-22395)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2024
    Fecha de última actualización: 05/12/2024
    Se ha identificado una vulnerabilidad de control de acceso inadecuado en el portal de oficina virtual SMA100 SSL-VPN, que en condiciones específicas podría permitir que un atacante autenticado remoto asocie la aplicación móvil MFA de otro usuario.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24903)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 05/12/2024
    Dell Secure Connect Gateway (SCG) Policy Manager, versión 5.10+, contiene un mecanismo débil de recuperación de contraseñas olvidadas. Un atacante con pocos privilegios en una red adyacente podría explotar esta vulnerabilidad, lo que provocaría un acceso no autorizado a la aplicación con privilegios de la cuenta comprometida. El atacante podría recuperar el token de restablecimiento de contraseña sin autorización y luego realizar el cambio de contraseña.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24904)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 05/12/2024
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting Almacenado. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24905)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 05/12/2024
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting Almacenado. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24907)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 05/12/2024
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting almacenado en la página Filtros. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-23243)
    Severidad: BAJA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro. Este problema se solucionó en iOS 17.4 y iPadOS 17.4. Es posible que una aplicación pueda leer información confidencial de ubicación.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-23256)
    Severidad: BAJA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 05/12/2024
    Se abordó una cuestión de lógica con una mejor gestión de estado. Este problema se solucionó en iOS 17.4 y iPadOS 17.4. Las pestañas bloqueadas de un usuario pueden ser visibles brevemente al cambiar de grupo de pestañas cuando la navegación privada bloqueada está habilitada.
  • Vulnerabilidad en tvOS, iOS, iPadOS, macOS Sonoma y watchOS (CVE-2024-0258)
    Severidad: ALTA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en tvOS 17.4, iOS 17.4 y iPadOS 17.4, macOS Sonoma 14.4, watchOS 10.4. Es posible que una aplicación pueda ejecutar código arbitrario fuera de su zona de pruebas o con ciertos privilegios elevados.
  • Vulnerabilidad en macOS Sonoma, iOS y iPadOS (CVE-2024-23205)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro. Este problema se solucionó en macOS Sonoma 14.4, iOS 17.4 y iPadOS 17.4. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Monterey y macOS Ventura (CVE-2024-23216)
    Severidad: ALTA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de manejo de rutas con una validación mejorada. Este problema se solucionó en macOS Sonoma 14.4, macOS Monterey 12.7.4, macOS Ventura 13.6.5. Es posible que una aplicación pueda sobrescribir archivos arbitrarios.
  • Vulnerabilidad en visionOS, iOS y iPadOS (CVE-2024-23220)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    El problema se solucionó mejorando el manejo de los cachés. Este problema se solucionó en visionOS 1.1, iOS 17.4 y iPadOS 17.4. Es posible que una aplicación pueda tomar las huellas digitales del usuario.
  • Vulnerabilidad en macOS Sonoma, visionOS, iOS, iPadOS, watchOS y tvOS (CVE-2024-23226)
    Severidad: ALTA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en macOS Sonoma 14.4, visionOS 1.1, iOS 17.4 y iPadOS 17.4, watchOS 10.4, tvOS 17.4. El procesamiento de contenido web puede dar lugar a la ejecución de código arbitrario.
  • Vulnerabilidad en macOS Sonoma, macOS Monterey y macOS Ventura (CVE-2024-23227)
    Severidad: BAJA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Este problema se solucionó mejorando la redacción de información confidencial. Este problema se solucionó en macOS Sonoma 14.4, macOS Monterey 12.7.4, macOS Ventura 13.6.5. Es posible que una aplicación pueda leer información confidencial de ubicación.
  • Vulnerabilidad en macOS Sonoma, macOS Monterey y macOS Ventura (CVE-2024-23230)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Este problema se solucionó mejorando el manejo de archivos. Este problema se solucionó en macOS Sonoma 14.4, macOS Monterey 12.7.4, macOS Ventura 13.6.5. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Ventura, macOS Sonoma, iOS, iPadOS y watchOS (CVE-2024-23231)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro. Este problema se solucionó en macOS Ventura 13.6.5, macOS Sonoma 14.4, iOS 17.4 y iPadOS 17.4, watchOS 10.4, iOS 16.7.6 y iPadOS 16.7.6. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en iOS, iPadOS, macOS Monterey, macOS Sonoma y macOS Ventura (CVE-2023-28826)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Este problema se solucionó mejorando la redacción de información confidencial. Este problema se solucionó en iOS 16.7.6 y iPadOS 16.7.6, macOS Monterey 12.7.4, macOS Sonoma 14.1, macOS Ventura 13.6.5. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Monterey, watchOS, tvOS, macOS Ventura, iPadOS y macOS Sonoma (CVE-2024-23201)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Monterey 12.7.4, watchOS 10.3, tvOS 17.3, macOS Ventura 13.6.5, iOS 17.3 y iPadOS 17.3, macOS Sonoma 14.3. Una aplicación puede provocar una denegación de servicio.
  • Vulnerabilidad en After Effects (CVE-2024-20737)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 05/12/2024
    Las versiones 24.1, 23.6.2 y anteriores de After Effects se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2024-20766)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 05/12/2024
    Las versiones 18.5.1, 19.2 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Photoshop Desktop (CVE-2024-20770)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 05/12/2024
    Las versiones 24.7.2, 25.3.1 y anteriores de Photoshop Desktop se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Media Encoder (CVE-2024-20772)
    Severidad: ALTA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 05/12/2024
    Las versiones 24.2.1, 23.6.4 y anteriores de Media Encoder se ven afectadas por una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Bridge (CVE-2024-20771)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 05/12/2024
    Las versiones de Bridge 13.0.6, 14.0.2 y anteriores se ven afectadas por una vulnerabilidad de lectura fuera de límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Oracle Marketing de Oracle E-Business Suite (CVE-2024-21078)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Marketing de Oracle E-Business Suite (componente: Campaign LOV). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Marketing. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Marketing. CVSS 3.1 Puntaje base 7.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle Marketing de Oracle E-Business Suite (CVE-2024-21079)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Marketing de Oracle E-Business Suite (componente: Campaign LOV). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Marketing. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Marketing. CVSS 3.1 Puntaje base 7.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle BI Publisher de Oracle Analytics (CVE-2024-21082)
    Severidad: CRÍTICA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: Servicios XML). Las versiones compatibles que se ven afectadas son 7.0.0.0.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle BI Publisher. Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle BI Publisher. CVSS 3.1 Puntuación base 9,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle BI Publisher de Oracle Analytics (CVE-2024-21083)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: Script Engine). Las versiones compatibles que se ven afectadas son 7.0.0.0.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante con altos privilegios y acceso a la red a través de HTTP comprometer Oracle BI Publisher. Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle BI Publisher. CVSS 3.1 Puntuación base 7.2 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21106)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para provocar un bloqueo o una falla frecuentemente repetible (DOS completo) de Oracle VM VirtualBox. CVSS 3.1 Puntaje base 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21108)
    Severidad: BAJA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntaje base 3.3 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21109)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle VM VirtualBox. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntaje base 5.9 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21111)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. Nota: Esta vulnerabilidad se aplica únicamente a los hosts de Windows. CVSS 3.1 Puntuación base 7,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21112)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. CVSS 3.1 Puntuación base 8,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21113)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. CVSS 3.1 Puntuación base 8,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21115)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. CVSS 3.1 Puntuación base 8,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21116)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Los ataques exitosos a esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. Nota: Esta vulnerabilidad se aplica únicamente a los hosts Linux. CVSS 3.1 Puntuación base 7,8 (impactos en la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2024-21121)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que se ven afectadas son anteriores a la 7.0.16. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntaje base 6.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N).
  • Vulnerabilidad en Illustrator (CVE-2024-20793)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 05/12/2024
    Las versiones 28.4, 27.9.3 y anteriores de Illustrator se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en GeoVision (CVE-2024-11120)
    Severidad: CRÍTICA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 05/12/2024
    Algunos dispositivos GeoVision al final de su vida útil tienen una vulnerabilidad de inyección de comandos del sistema operativo. Los atacantes remotos no autenticados pueden aprovechar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema en el dispositivo. Además, esta vulnerabilidad ya ha sido explotada por atacantes y hemos recibido informes relacionados.
  • Vulnerabilidad en Tungsten Automation Power (CVE-2024-9760)
    Severidad: BAJA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF PNG de Tungsten Automation Power. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Tungsten Automation Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PNG. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-24476.
  • Vulnerabilidad en Tungsten Automation Power PDF (CVE-2024-9761)
    Severidad: BAJA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Tungsten Automation Power PDF. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Tungsten Automation Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-24477.
  • Vulnerabilidad en Tungsten Automation Power PDF (CVE-2024-9762)
    Severidad: BAJA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos OXPS de Tungsten Automation Power PDF. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Tungsten Automation Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos OXPS. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-24478.
  • Vulnerabilidad en Tungsten Automation Power PDF (CVE-2024-9763)
    Severidad: BAJA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos PDF de Tungsten Automation Power PDF. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Tungsten Automation Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PDF. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-24479.