Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en macOS Ventura, macOS Sonoma y macOS Sequoia (CVE-2024-44160)
  Severidad: MEDIA
  Fecha de publicación: 17/09/2024
  Fecha de última actualización: 11/12/2024
  Se solucionó un problema de desbordamiento de búfer mejorando el manejo de la memoria. Este problema se solucionó en macOS Ventura 13.7, macOS Sonoma 14.7 y macOS Sequoia 15. El procesamiento de una textura manipulada con fines malintencionados puede provocar la finalización inesperada de la aplicación.
  
• Vulnerabilidad en macOS Ventura, visionOS, iOS, iPadOS, macOS Sonoma y macOS Sequoia (CVE-2024-44167)
  Severidad: MEDIA
  Fecha de publicación: 17/09/2024
  Fecha de última actualización: 11/12/2024
  Este problema se solucionó eliminando el código vulnerable. Este problema se solucionó en macOS Ventura 13.7, visionOS 2, iOS 18 y iPadOS 18, macOS Sonoma 14.7 y macOS Sequoia 15. Es posible que una aplicación pueda sobrescribir archivos arbitrarios.
  
• Vulnerabilidad en macOS Ventura, visionOS, watchOS, macOS Sequoia, iOS, iPadOS, macOS Sonoma y tvOS (CVE-2024-44169)
  Severidad: MEDIA
  Fecha de publicación: 17/09/2024
  Fecha de última actualización: 11/12/2024
  El problema se solucionó con una gestión mejorada de la memoria. Este problema se solucionó en macOS Ventura 13.7, iOS 17.7 y iPadOS 17.7, visionOS 2, watchOS 11, macOS Sequoia 15, iOS 18 y iPadOS 18, macOS Sonoma 14.7 y tvOS 18. Es posible que una aplicación pueda provocar la finalización inesperada del sistema.
  
• Vulnerabilidad en iOS y iPadOS (CVE-2024-44202)
  Severidad: MEDIA
  Fecha de publicación: 17/09/2024
  Fecha de última actualización: 11/12/2024
  Se solucionó un problema de autenticación con una mejor gestión del estado. Este problema se solucionó en iOS 18 y iPadOS 18. Se puede acceder a las pestañas de Navegación privada sin autenticación.
  
• Vulnerabilidad en Checkmk (CVE-2024-38860)
  Severidad: MEDIA
  Fecha de publicación: 17/09/2024
  Fecha de última actualización: 11/12/2024
  La neutralización incorrecta de la entrada en Checkmk anterior a las versiones 2.3.0p16 y 2.2.0p34 permite a los atacantes crear enlaces maliciosos que pueden facilitar ataques de phishing.
  
• Vulnerabilidad en Checkmk Exchange MikroTik (CVE-2024-38861)
  Severidad: MEDIA
  Fecha de publicación: 27/09/2024
  Fecha de última actualización: 11/12/2024
  Validación incorrecta de certificados en el complemento Checkmk Exchange MikroTik permite a los atacantes en posición MitM interceptar el tráfico. Este problema afecta a MikroTik: desde la versión 2.0.0 hasta la 2.5.5, desde la versión 0.4a_mk hasta la 2.0a.
  
• Vulnerabilidad en iTunes (CVE-2024-44193)
  Severidad: ALTA
  Fecha de publicación: 02/10/2024
  Fecha de última actualización: 11/12/2024
  Se solucionó un problema de lógica mejorando las restricciones. Este problema se solucionó en iTunes 12.13.3 para Windows. Un atacante local podría elevar sus privilegios.
  
• Vulnerabilidad en Visteon Infotainment (CVE-2024-8356)
  Severidad: ALTA
  Fecha de publicación: 22/11/2024
  Fecha de última actualización: 11/12/2024
  Vulnerabilidad de escalado de privilegios locales en el código de la MCU VIP de Visteon Infotainment que no permite validar la autenticidad de los datos. Esta vulnerabilidad permite a los atacantes locales escalar privilegios en las instalaciones afectadas de los sistemas de Visteon Infotainment. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para explotar esta vulnerabilidad. La falla específica existe dentro del proceso de actualización de firmware del microcontrolador VIP. El proceso no verifica correctamente la autenticidad de la imagen de firmware suministrada antes de programarla en la memoria interna. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de la MCU VIP. Era ZDI-CAN-23758.
  
• Vulnerabilidad en Visteon Infotainment (CVE-2024-8357)
  Severidad: ALTA
  Fecha de publicación: 22/11/2024
  Fecha de última actualización: 11/12/2024
  Vulnerabilidad de escalado de privilegios locales de hardware en el SoC de la aplicación Visteon Infotainment que carece de una raíz de confianza inmutable. Esta vulnerabilidad permite a los atacantes locales escalar privilegios en las instalaciones afectadas de los sistemas de Visteon Infotainment. Aunque se requiere autenticación para explotar esta vulnerabilidad, se puede omitir el mecanismo de autenticación existente. La falla específica existe dentro de la configuración del sistema en chip (SoC) de la aplicación. El problema es el resultado de la falta de una raíz de confianza de hardware configurada correctamente. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto del proceso de arranque. Era ZDI-CAN-23759.
  
• Vulnerabilidad en Visteon Infotainment (CVE-2024-8358)
  Severidad: MEDIA
  Fecha de publicación: 22/11/2024
  Fecha de última actualización: 11/12/2024
  Vulnerabilidad de ejecución remota de código mediante inyección de comando UPDATES_ExtractFile de Visteon Infotainment. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en las instalaciones afectadas de los sistemas de Visteon Infotainment. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la función UPDATES_ExtractFile. Un archivo de actualización de software manipulado puede desencadenar la ejecución de una llamada del sistema compuesta por una cadena proporcionada por el usuario. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Era ZDI-CAN-23422.
  
• Vulnerabilidad en Visteon Infotainment (CVE-2024-8359)
  Severidad: MEDIA
  Fecha de publicación: 22/11/2024
  Fecha de última actualización: 11/12/2024
  Vulnerabilidad de ejecución remota de código mediante inyección de comando REFLASH_DDU_FindFile de Visteon Infotainment. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en las instalaciones afectadas de los sistemas de Visteon Infotainment. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la función REFLASH_DDU_FindFile. Un archivo de actualización de software manipular puede desencadenar la ejecución de una llamada del sistema compuesta por una cadena proporcionada por el usuario. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Era ZDI-CAN-23420.
  
• Vulnerabilidad en code-projects Farmacia 1.0 (CVE-2024-12007)
  Severidad: MEDIA
  Fecha de publicación: 01/12/2024
  Fecha de última actualización: 11/12/2024
  Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Farmacia 1.0. Afecta a una parte desconocida del archivo /visualizar-produto.php. La manipulación del argumento id provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  
• Vulnerabilidad en OpenHarmony v4.1.1 (CVE-2024-10074)
  Severidad: ALTA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  en OpenHarmony v4.1.1 y versiones anteriores se permite que un atacante local haga que el permiso común se actualice a root mediante el uso use after free.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2021-29892)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 podrían permitir que un atacante remoto obtenga información confidencial, debido a que no se ha habilitado correctamente la seguridad de transporte estricta HTTP. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial mediante técnicas de man in the middle.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-25019)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 podrían ser vulnerables a la carga de archivos maliciosos al no validar el tipo de archivo cargado en los archivos adjuntos de las entradas de Journal. Los atacantes pueden aprovechar esta debilidad y cargar archivos ejecutables maliciosos en el sistema que pueden enviarse a las víctimas para realizar otros ataques.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-25035)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 expone detalles del servidor que podrían permitir a un atacante obtener información del entorno de la aplicación para realizar más ataques.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-25036)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 podrían permitir que un usuario autenticado con acceso local omita la seguridad, lo que les permitiría eludir las restricciones impuestas en los campos de entrada.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-40691)
  Severidad: ALTA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 podrían ser vulnerables a la carga de archivos maliciosos al no validar el contenido del archivo cargado en la interfaz web. Los atacantes pueden aprovechar esta debilidad y cargar archivos ejecutables maliciosos en el sistema, que pueden enviarse a la víctima para realizar otros ataques.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-25020)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 es vulnerable a la carga de archivos maliciosos al permitir archivos adjuntos de tipos de archivo sin restricciones en la página de entrada Journal. Los atacantes pueden aprovechar esta debilidad y cargar archivos ejecutables maliciosos en el sistema, que pueden enviarse a las víctimas para realizar otros ataques.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-41775)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 utilizan algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-41776)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 es vulnerable a cross-site request forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-41777)
  Severidad: ALTA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 contiene credenciales codificadas, como una contraseña o una clave criptográfica, que utiliza para su propia autenticación entrante, comunicación saliente a componentes externos o cifrado de datos internos.
  
• Vulnerabilidad en IBM Cognos Controller 11.0.0 y 11.0.1 (CVE-2024-45676)
  Severidad: MEDIA
  Fecha de publicación: 03/12/2024
  Fecha de última actualización: 11/12/2024
  IBM Cognos Controller 11.0.0 y 11.0.1 podrían permitir que un usuario autenticado cargue archivos inseguros debido a una distinción insuficiente del tipo de archivo.