Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25149)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 10/12/2024
    Liferay Portal 7.2.0 a 7.4.1 y versiones anteriores no compatibles, y Liferay DXP 7.3 anterior al service pack 3, 7.2 anterior al fix pack 15 y versiones anteriores no compatibles no restringen adecuadamente la membresía de un sitio secundario cuando la opción "Limitar membresía a miembros del sitio principal" está habilitada, lo que permite a los usuarios autenticados remotamente agregar usuarios que no son miembros del sitio principal a un sitio secundario. El usuario agregado puede obtener permiso para realizar acciones no autorizadas en el sitio secundario.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25150)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 10/12/2024
    Vulnerabilidad de divulgación de información en el Panel de control en Liferay Portal 7.2.0 a 7.4.2 y versiones anteriores no compatibles, y Liferay DXP 7.3 anterior a la actualización 4, 7.2 anterior al fix pack 19 y las versiones anteriores no compatibles permiten a los usuarios autenticados remotamente obtener el nombre completo de un usuario a partir del título de la página enumerando los nombres de pantalla de los usuarios.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25604)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 10/12/2024
    Liferay Portal 7.2.0 a 7.4.3.4 y versiones anteriores no compatibles, y Liferay DXP 7.4.13, 7.3 anterior al service pack 3, 7.2 anterior al fix pack 17 y versiones anteriores no compatibles no comprueban correctamente los permisos de usuario, lo que permite a los usuarios autenticados remotamente con el permiso de usuario VER para editar su propio permiso a través de la sección Usuarios y organizaciones del Panel de control.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25605)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 10/12/2024
    El módulo Journal en Liferay Portal 7.2.0 a 7.4.3.4 y versiones anteriores no compatibles, y Liferay DXP 7.4.13, 7.3 anteriores al service pack 3, 7.2 anteriores al fix pack 17 y versiones anteriores no compatibles otorga a los usuarios invitados permiso de visualización del contenido web plantillas de forma predeterminada, lo que permite a atacantes remotos ver cualquier plantilla a través de la interfaz de usuario o API.
  • Vulnerabilidad en SourceCodester Petrol Pump Management Software 1.0 (CVE-2024-2058)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 10/12/2024
    Se encontró una vulnerabilidad en SourceCodester Petrol Pump Management Software 1.0. Ha sido declarada crítica. Una función desconocida del archivo /admin/app/product.php es afectada por esta vulnerabilidad. La manipulación de la foto del argumento da lugar a una subida sin restricciones. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-255373.
  • Vulnerabilidad en SourceCodester Petrol Pump Management Software 1.0 (CVE-2024-2059)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 10/12/2024
    Se encontró una vulnerabilidad en SourceCodester Petrol Pump Management Software 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /admin/app/service_crud.php es afectada por esta vulnerabilidad. La manipulación de la foto del argumento da lugar a una subida sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-255374 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Kernel de Linux (CVE-2021-47077)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 10/12/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: qedf: Agregar comprobaciones de puntero en qedf_update_link_speed() Se observó el siguiente seguimiento: [ 14.042059] Seguimiento de llamadas: [ 14.042061] [ 14.042068] qedf_link_update+0x144/0x1f0 [ qedf] [14.042117] qed_link_update+0x5c/0x80 [qed] [14.042135] qed_mcp_handle_link_change+0x2d2/0x410 [qed] [14.042155]? qed_set_ptt+0x70/0x80 [qed] [14.042170]? qed_set_ptt+0x70/0x80 [qed] [14.042186]? qed_rd+0x13/0x40 [qed] [ 14.042205] qed_mcp_handle_events+0x437/0x690 [qed] [ 14.042221] ? qed_set_ptt+0x70/0x80 [qed] [ 14.042239] qed_int_sp_dpc+0x3a6/0x3e0 [qed] [ 14.042245] tasklet_action_common.isra.14+0x5a/0x100 [ 14.042250] __do_softirq+0xe4/0x2f8 [ 14.042253] salida_irq+0xf7/0x100 [ 14.042255] do_IRQ+0x7f/0xd0 [ 14.042257] common_interrupt+0xf/0xf [ 14.042259] API qedf_link_update() está siendo llamada desde QED pero en ese momento shost_data no está inicializado. Esto da como resultado una desreferencia del puntero NULL cuando intentamos desreferenciar shost_data mientras actualizamos las velocidades_compatibles. Agregue una verificación de puntero NULL antes de eliminar la referencia a shost_data.
  • Vulnerabilidad en kernel de Linux (CVE-2023-52503)
    Severidad: ALTA
    Fecha de publicación: 02/03/2024
    Fecha de última actualización: 10/12/2024
    En el kernel de Linux, se resolvió la siguiente vulnerabilidad: tee: amdtee: corrige la vulnerabilidad de Use After Free en amdtee_close_session Existe una posible condición de ejecución en amdtee_close_session que puede causar el Use After Free en amdtee_open_session. Por ejemplo, si una sesión tiene refcount == 1 y un hilo intenta liberar esta sesión mediante: kref_put(&sess->refcount, destroy_session); el recuento de referencias disminuirá y el siguiente paso sería llamar a destroy_session(). Sin embargo, si en otro hilo, se llama a amdtee_open_session() antes de que destroy_session() haya completado la ejecución, alloc_session() puede devolver 'sess' que se liberará más tarde en destroy_session(), lo que conducirá a Use After Free en amdtee_open_session. Para solucionar este problema, trate la disminución de sess->refcount y la eliminación de 'sess' de la lista de sesiones en destroy_session() como una sección crítica, para que se ejecute de forma atómica.
  • Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26271)
    Severidad: ALTA
    Fecha de publicación: 22/10/2024
    Fecha de última actualización: 10/12/2024
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el widget Mi cuenta en Liferay Portal 7.4.3.75 a 7.4.3.111, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 actualización 75 a 92 y 7.3 actualización 32 a 36 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro _com_liferay_my_account_web_portlet_MyAccountPortlet_backURL.
  • Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26272)
    Severidad: ALTA
    Fecha de publicación: 22/10/2024
    Fecha de última actualización: 10/12/2024
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el editor de páginas de contenido en Liferay Portal 7.3.2 a 7.4.3.107, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 35 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro p_l_back_url.
  • Vulnerabilidad en Liferay Portal y DXP (CVE-2024-26273)
    Severidad: ALTA
    Fecha de publicación: 22/10/2024
    Fecha de última actualización: 10/12/2024
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el editor de páginas de contenido en Liferay Portal 7.4.0 a 7.4.3.103, y Liferay DXP 2023.Q4.0 a 2023.Q4.2, 2023.Q3.1 a 2023.Q3.5, 7.4 GA a la actualización 92 y 7.3 actualización 29 a la actualización 35 permite a atacantes remotos (1) cambiar las contraseñas de los usuarios, (2) apagar el servidor, (3) ejecutar código arbitrario en la consola de scripts, (4) y realizar otras acciones administrativas a través del parámetro _com_liferay_commerce_catalog_web_internal_portlet_CommerceCatalogsPortlet_redirect.
  • Vulnerabilidad en Liferay Portal y DXP (CVE-2024-38002)
    Severidad: CRÍTICA
    Fecha de publicación: 22/10/2024
    Fecha de última actualización: 10/12/2024
    El componente workflow en Liferay Portal 7.3.2 a 7.4.3.111, y Liferay DXP 2023.Q4.0 a 2023.Q4.5, 2023.Q3.1 a 2023.Q3.8, 7.4 GA a la actualización 92 y 7.3 GA a la actualización 36 no verifica correctamente los permisos de usuario antes de actualizar una definición de workflow, lo que permite a los usuarios autenticados remotos modificar las definiciones de workflow y ejecutar código arbitrario (RCE) a través de la API sin interfaz gráfica.
  • Vulnerabilidad en Liferay Portal y DXP (CVE-2024-8980)
    Severidad: CRÍTICA
    Fecha de publicación: 22/10/2024
    Fecha de última actualización: 10/12/2024
    La consola de scripts en Liferay Portal 7.0.0 a 7.4.3.101, y Liferay DXP 2023.Q3.1 a 2023.Q3.4, 7.4 GA a la actualización 92, 7.3 GA a la actualización 35, 7.2 GA a través del fixpack 20, 7.1 GA a través del fixpack 28, 7.0 GA a través del fixpack 102 y 6.2 GA a través del fixpack 173 no protege lo suficiente contra ataques de Cross-Site Request Forgery (CSRF), que permiten a atacantes remotos ejecutar scripts de Groovy arbitrarios a través de una URL manipulada o una vulnerabilidad XSS.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10968)
    Severidad: MEDIA
    Fecha de publicación: 07/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /contact_process.php. La manipulación del argumento fnm conduce a una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10969)
    Severidad: MEDIA
    Fecha de publicación: 07/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha calificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/login_process.php del componente Login. La manipulación del argumento unm provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en DedeCMS 5.7.116 (CVE-2024-11138)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en DedeCMS 5.7.116. Afecta a una parte desconocida del archivo /dede/uploads/dede/friendlink_add.php. La manipulación del argumento logoimg provoca una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en EnGenius (CVE-2024-11651)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/network/wifi_schedule. La manipulación del argumento wifi_schedule_day_em_5 conduce a la inyección de comandos. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11652)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha detectado una vulnerabilidad en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/sn_package/sn_https. La manipulación del argumento https_enable provoca la inyección de comandos. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11653)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha detectado una vulnerabilidad en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118. Se ha calificado como crítica. Este problema afecta a algunas funciones desconocidas del archivo /admin/network/diag_traceroute. La manipulación del argumento diag_traceroute provoca la inyección de comandos. El ataque puede ejecutarse de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11654)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118. Afecta a una parte desconocida del archivo /admin/network/diag_traceroute6. La manipulación del argumento diag_traceroute6 conduce a la inyección de comandos. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11655)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha detectado una vulnerabilidad clasificada como crítica en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118. Esta vulnerabilidad afecta al código desconocido del archivo /admin/network/diag_pinginterface. La manipulación del argumento diag_ping conduce a la inyección de comandos. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11656)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad, que se ha clasificado como crítica, en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118. Este problema afecta a algunos procesos desconocidos del archivo /admin/network/diag_ping6. La manipulación del argumento diag_ping6 conduce a la inyección de comandos. El ataque puede iniciarse de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11657)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha detectado una vulnerabilidad clasificada como crítica en los sistemas EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118. Se trata de una función desconocida del archivo /admin/network/diag_nslookup. La manipulación del argumento diag_nslookup provoca la inyección de comandos. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con antelación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11658)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118 y se ha clasificado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/network/ajax_getChannelList. La manipulación del argumento countryCode conduce a la inyección de comandos. El ataque se puede ejecutar de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en EnGenius (CVE-2024-11659)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 10/12/2024
    Se encontró una vulnerabilidad en EnGenius ENH1350EXT, ENS500-AC y ENS620EXT hasta 20241118 y se clasificó como crítica. Este problema afecta a algunas funciones desconocidas del archivo /admin/network/diag_iperf. La manipulación del argumento iperf conduce a la inyección de comandos. El ataque puede ejecutarse de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en code-projects Blood Bank System 1.0 (CVE-2024-12000)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en code-projects Blood Bank System 1.0. Se ha calificado como problemática. Este problema afecta a algunos procesos desconocidos del archivo /controllers/updatesettings.php del componente Setting Handler. La manipulación del argumento firstname provoca Cross-site Scripting. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en code-projects Wazifa System 1.0 (CVE-2024-12001)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en code-projects Wazifa System 1.0. Se ve afectada una función desconocida del archivo /controllers/updatesettings.php del componente Setting Handler. La manipulación del argumento firstname provoca Cross-site Scripting. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en Tenda FH451, FH1201, FH1202 y FH1206 (CVE-2024-12002)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2024
    Fecha de última actualización: 10/12/2024
    Se ha detectado una vulnerabilidad clasificada como problemática en Tenda FH451, FH1201, FH1202 y FH1206 hasta 20241129. Esta vulnerabilidad afecta a la función websReadEvent del archivo /goform/GetIPTV. La manipulación del argumento Content-Length provoca la desreferenciación de un puntero nulo. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Library Management System 1.0 (CVE-2024-12188)
    Severidad: MEDIA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Library Management System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /brains/stu.php. La manipulación del argumento useri conduce a una inyección SQL. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en PHPGurukul Complaint Management System 1.0 (CVE-2024-12228)
    Severidad: MEDIA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Complaint Management System 1.0. Se ve afectada una función desconocida del archivo /admin/user-search.php. La manipulación del argumento search provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en PHPGurukul Complaint Management System 1.0 (CVE-2024-12229)
    Severidad: MEDIA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Complaint Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/complaint-search.php. La manipulación del argumento search conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en PHPGurukul Complaint Management System 1.0 (CVE-2024-12230)
    Severidad: MEDIA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Complaint Management System 1.0. Este problema afecta a algunas funciones desconocidas del archivo /admin/subcategory.php. La manipulación del argumento category provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects Online Notice Board (CVE-2024-12233)
    Severidad: MEDIA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en code-projects Online Notice Board hasta la versión 1.0 y se ha clasificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo /registration.php del componente Profile Picture Handler. La manipulación del argumento img provoca una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Beauty Parlour Management System 1.0 (CVE-2024-12234)
    Severidad: MEDIA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad en 1000 Projects Beauty Parlour Management System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/edit-customer-detailed.php. La manipulación del nombre del argumento provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en TP-Link VN020 F3v(T) TT_V6.2.1021 (CVE-2024-12343)
    Severidad: ALTA
    Fecha de publicación: 08/12/2024
    Fecha de última actualización: 10/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en TP-Link VN020 F3v(T) TT_V6.2.1021. Se ve afectada una función desconocida del archivo /control/WANIPConnection del componente SOAP Request Handler. La manipulación del argumento NewConnectionType provoca un desbordamiento del búfer. El ataque debe realizarse dentro de la red local. El exploit se ha hecho público y puede utilizarse.