Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en un archivo de programa en la estación de trabajo de Rockwell Automation Arena Simulation Software (CVE-2019-13519)
    Severidad: ALTA
    Fecha de publicación: 27/01/2020
    Fecha de última actualización: 17/12/2024
    Un archivo de programa creado con fines maliciosos abierto por parte de un usuario desprevenido de Rockwell Automation Arena Simulation Software versión 16.00.00 y anteriores, puede resultar en una exposición limitada de la información relacionada con la estación de trabajo apuntada. Rockwell Automation ha publicado la versión 16.00.01 de Arena Simulation Software para abordar las vulnerabilidades reportadas.
  • Vulnerabilidad en un archivo de programa en la estación de trabajo de Rockwell Automation Arena Simulation Software (CVE-2019-13521)
    Severidad: ALTA
    Fecha de publicación: 27/01/2020
    Fecha de última actualización: 17/12/2024
    Un archivo de programa diseñado con fines maliciosos abierto por parte de un usuario desprevenido de Rockwell Automation Arena Simulation Software versión 16.00.00 y anteriores, puede resultar en una exposición limitada de la información relacionada con la estación de trabajo apuntada. Rockwell Automation ha publicado la versión 16.00.01 de Arena Simulation Software para abordar las vulnerabilidades reportadas.
  • Vulnerabilidad en Rockwell Automation Arena Simulation Software (CVE-2019-13510)
    Severidad: ALTA
    Fecha de publicación: 15/08/2019
    Fecha de última actualización: 17/12/2024
    Rockwell Automation Arena Simulation Software versiones 16.00.00 y anteriores, contiene una vulnerabilidad de USO DE MEMORIA PREVIAMENTE LIBERADA CWE-416. Un archivo Arena diseñado maliciosamente abierto por parte de un usuario desprevenido puede resultar en el bloqueo de la aplicación o la ejecución de código arbitrario.
  • Vulnerabilidad en un archivo Arena en Rockwell Automation Arena Simulación Software (CVE-2019-13527)
    Severidad: ALTA
    Fecha de publicación: 24/09/2019
    Fecha de última actualización: 17/12/2024
    En Rockwell Automation Arena Simulación Software Cat. 9502-Axe, versiones 16.00.00 y anteriores, un archivo Arena diseñado con fines maliciosos abierto por parte de un usuario desprevenido puede resultar en el uso de un puntero que no ha sido inicializado.
  • Vulnerabilidad en Rockwell Automation Arena Simulation Software (CVE-2019-13511)
    Severidad: BAJA
    Fecha de publicación: 15/08/2019
    Fecha de última actualización: 17/12/2024
    Rockwell Automation Arena Simulation Software versiones 16.00.00 y anteriores, contienen una EXPOSICIÓN DE INFORMACIÓN CWE-200. Un archivo Arena creado con fines maliciosos abierto por parte de un usuario desprevenido puede resultar en la exposición limitada de la información relacionada con la estación de trabajo de destino.
  • Vulnerabilidad en Rockwell Automation en Arena Simulation (CVE-2023-27854)
    Severidad: ALTA
    Fecha de publicación: 27/10/2023
    Fecha de última actualización: 17/12/2024
    Se informó a Rockwell Automation en Arena Simulation de una vulnerabilidad de ejecución de código arbitrario que potencialmente podría permitir que un usuario malintencionado envíe código arbitrario no autorizado al software mediante el uso de un desbordamiento del búfer de memoria. El actor de la amenaza podría entonces ejecutar código malicioso en el sistema afectando la confidencialidad, integridad y disponibilidad del producto. El usuario necesitaría abrir un archivo malicioso proporcionado por el atacante para que se ejecute el código.
  • Vulnerabilidad en Rockwell Automation Arena Simulation (CVE-2023-27858)
    Severidad: ALTA
    Fecha de publicación: 27/10/2023
    Fecha de última actualización: 17/12/2024
    Rockwell Automation Arena Simulation contiene una vulnerabilidad de ejecución de código arbitrario que podría permitir que un usuario malintencionado envíe código no autorizado al software mediante el uso de un puntero no inicializado en la aplicación. El actor de la amenaza podría entonces ejecutar código malicioso en el sistema afectando la confidencialidad, integridad y disponibilidad del producto. El usuario necesitaría abrir un archivo malicioso proporcionado por el atacante para que se ejecute el código.
  • Vulnerabilidad en Tenable Network Security, Inc. (CVE-2024-1683)
    Severidad: ALTA
    Fecha de publicación: 23/02/2024
    Fecha de última actualización: 17/12/2024
    Existe una vulnerabilidad de inyección de DLL en la que un atacante local autenticado y con pocos privilegios podría modificar archivos de aplicaciones en el host TIE Secure Relay, lo que podría permitir la anulación de la configuración y la ejecución de nuevos servicios de Secure Relay.
  • Vulnerabilidad en IBM Cognos Analytics Mobile Server (CVE-2022-34357)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2024
    Fecha de última actualización: 17/12/2024
    IBM Cognos Analytics Mobile Server 11.1.7, 11.2.4 y 12.0.0 es vulnerable a una denegación de servicio debido a una limitación de velocidad débil o ausente. Al realizar solicitudes http ilimitadas, es posible que un solo usuario agote los recursos del servidor durante un período de tiempo, haciendo que el servicio no esté disponible para otros usuarios legítimos. ID de IBM X-Force: 230510.
  • Vulnerabilidad en NLnet Labs Unbound (CVE-2024-1931)
    Severidad: ALTA
    Fecha de publicación: 07/03/2024
    Fecha de última actualización: 17/12/2024
    NLnet Labs Unbound versión 1.18.0 hasta la versión 1.19.1 incluida contiene una vulnerabilidad que puede causar denegación de servicio mediante una determinada ruta de código que puede conducir a un bucle infinito. Unbound 1.18.0 introdujo una característica que elimina los registros EDE de las respuestas con un tamaño superior al tamaño de búfer anunciado por el cliente. Sin embargo, antes de eliminar todos los registros EDE, intentaría ver si recortar los campos de texto adicionales en esos registros daría como resultado un tamaño aceptable y al mismo tiempo conservaría los códigos EDE. Debido a una condición no marcada, el código que recorta el texto de los registros EDE podría repetirse indefinidamente. Esto sucede cuando Unbound responde con información EDE adjunta en una respuesta positiva y el tamaño del búfer del cliente es menor que el espacio necesario para incluir registros EDE. La vulnerabilidad sólo puede activarse cuando se utiliza la opción 'ede: yes'; configuración no predeterminada. A partir de la versión 1.19.2, el código se corrige para evitar bucles indefinidos.
  • Vulnerabilidad en Android (CVE-2024-0044)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 17/12/2024
    En createSessionInternal de PackageInstallerService.java, existe una posible ejecución como cualquier aplicación debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-0045)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2024
    Fecha de última actualización: 17/12/2024
    En smp_proc_sec_req de smp_act.cc, existe una posible lectura fuera de los límites debido a una validación de entrada incorrecta. Esto podría conducir a la divulgación de información remota (próxima/adyacente) sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en kernel de Linux (CVE-2021-47142)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2024
    Fecha de última actualización: 17/12/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: se soluciona un problema de use-after-free que parece que nos olvidamos de configurar ttm->sg en NULL. Se produce pánico a continuación [1235.844104] falla de protección general, probablemente para la dirección no canónica 0x6b6b6b6b6b6b7b4b: 0000 [#1] SMP DEBUG_PAGEALLOC NOPTI [1235.989074] Seguimiento de llamadas: [1235.991751] sg_free_table+0x17/0x20 [ 123 5.995667] amdgpu_ttm_backend_unbind.cold+0x4d/0xf7 [amdgpu] [ 1236.002288] amdgpu_ttm_backend_destroy+0x29/0x130 [amdgpu] [ 1236.008464] ttm_tt_destroy+0x1e/0x30 [ttm] [ 1236.013066] ttm_bo_cleanup_memtype_use+0x51/0xa 0 [ttm] [ 1236.018783] ttm_bo_release+0x262/0xa50 [ttm] [ 1236.023547] ttm_bo_put+0x82/0xd0 [ttm] [ 1236.027766] amdgpu_bo_unref+0x26/0x50 [amdgpu] [ 1236.032809] amdgpu_amdkfd_gpuvm_alloc_memory_of_gpu+0x7aa/0xd90 [amdgpu] [ 123 6.040400] kfd_ioctl_alloc_memory_of_gpu+0xe2/0x330 [amdgpu] [ 1236.046912] kfd_ioctl+0x463/0x690 [ amdgpu]
  • Vulnerabilidad en kernel de Linux (CVE-2021-47144)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2024
    Fecha de última actualización: 17/12/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/amdgpu: corrige la fuga de refcount [Por qué] el objeto gema rfb->base.obj[0] se obtiene según num_planes en amdgpufb_create, pero no se coloca según num_planes en amdgpufb_create num_planes [Cómo] poner rfb->base.obj[0] en amdgpu_fbdev_destroy según num_planes
  • Vulnerabilidad en Rockwell Automation Arena Simulation (CVE-2024-21912)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 17/12/2024
    Una vulnerabilidad de ejecución de código arbitrario en Rockwell Automation Arena Simulation podría permitir que un usuario malintencionado inserte código no autorizado en el software. Esto se hace escribiendo más allá del área de memoria designada, lo que provoca una infracción de acceso. Una vez dentro, el actor de la amenaza puede ejecutar código dañino en el sistema. Esto afecta la confidencialidad, integridad y disponibilidad del producto. Para desencadenar esto, el usuario tendría que abrir, sin saberlo, un archivo malicioso compartido por el actor de la amenaza.
  • Vulnerabilidad en Rockwell Automation Arena Simulation (CVE-2024-21913)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 17/12/2024
    Una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico en el software Rockwell Automation Arena Simulation podría permitir que un usuario malintencionado inserte código no autorizado en el software al sobrepasar los límites de la memoria, lo que desencadena una infracción de acceso. Una vez dentro, el actor de la amenaza puede ejecutar código dañino en el sistema. Esto afecta la confidencialidad, integridad y disponibilidad del producto. Para desencadenar esto, el usuario tendría que abrir, sin saberlo, un archivo malicioso compartido por el actor de la amenaza.
  • Vulnerabilidad en Rockwell Automation Arena Simulation (CVE-2024-21918)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 17/12/2024
    Una vulnerabilidad del búfer de memoria en el software Rockwell Automation Arena Simulation podría permitir que un usuario malintencionado inserte código no autorizado en el software corrompiendo la memoria y provocando una infracción de acceso. Una vez dentro, el actor de la amenaza puede ejecutar código dañino en el sistema. Esto afecta la confidencialidad, integridad y disponibilidad del producto. Para desencadenar esto, el usuario tendría que abrir, sin saberlo, un archivo malicioso compartido por el actor de la amenaza.
  • Vulnerabilidad en Rockwell Automation Arena Simulation (CVE-2024-21919)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 17/12/2024
    Un puntero no inicializado en el software de Rockwell Automation Arena Simulation podría permitir que un usuario malintencionado inserte código no autorizado en el software aprovechando el puntero una vez que esté correctamente. Una vez dentro, el actor de la amenaza puede ejecutar código dañino en el sistema. Esto afecta la confidencialidad, integridad y disponibilidad del producto. Para desencadenar esto, el usuario tendría que abrir, sin saberlo, un archivo malicioso compartido por el actor de la amenaza.
  • Vulnerabilidad en Rockwell Automation Arena Simulation (CVE-2024-21920)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 17/12/2024
    Una vulnerabilidad del búfer de memoria en Rockwell Automation Arena Simulation podría permitir que un actor de amenazas lea más allá de los límites de memoria previstos. Esto podría revelar información confidencial e incluso provocar que la aplicación falle, lo que provocaría una condición de denegación de servicio. Para desencadenar esto, el usuario tendría que abrir, sin saberlo, un archivo malicioso compartido por el actor de la amenaza.
  • Vulnerabilidad en Rockwell Automation Arena Simulation (CVE-2024-2929)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 17/12/2024
    Una vulnerabilidad de corrupción de memoria en el software Rockwell Automation Arena Simulation podría permitir que un usuario malintencionado inserte código no autorizado en el software corrompiendo la memoria y provocando una infracción de acceso. Una vez dentro, el actor de la amenaza puede ejecutar código dañino en el sistema. Esto afecta la confidencialidad, integridad y disponibilidad del producto. Para desencadenar esto, el usuario tendría que abrir, sin saberlo, un archivo malicioso compartido por el actor de la amenaza.
  • Vulnerabilidad en GStreamer (CVE-2023-37327)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento de enteros en el análisis de archivos FLAC de GStreamer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe en el análisis de archivos de audio FLAC. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros antes de asignar un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20775.
  • Vulnerabilidad en GStreamer (CVE-2023-37328)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico en el análisis de archivos PGS de GStreamer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe en el análisis de archivos de subtítulos PGS. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20994.
  • Vulnerabilidad en GStreamer (CVE-2023-37329)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento del búfer de almacenamiento dinámico en el análisis de archivos GStreamer SRT. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. El fallo específico existe en el análisis de archivos de subtítulos SRT. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20968.
  • Vulnerabilidad en GStreamer (CVE-2023-38103)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento de enteros en el análisis de archivos GStreamer RealMedia. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe en el análisis de fragmentos de MDPR. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros antes de asignar un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21443.
  • Vulnerabilidad en GStreamer (CVE-2023-38104)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento de enteros en el análisis de archivos GStreamer RealMedia. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe en el análisis de fragmentos de MDPR. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros antes de asignar un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21444.
  • Vulnerabilidad en GStreamer (CVE-2023-40474)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento de enteros en el análisis de archivos MXF de GStreamer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe en el análisis de archivos de video MXF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros antes de asignar un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21660.
  • Vulnerabilidad en GStreamer (CVE-2023-40475)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento de enteros en el análisis de archivos MXF de GStreamer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe en el análisis de archivos de video MXF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros antes de asignar un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21661.
  • Vulnerabilidad en Android (CVE-2024-0024)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En varios métodos de UserManagerService.java, existe la posibilidad de que no se persistan o no se apliquen restricciones de usuario debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en Android (CVE-2024-0025)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En sendIntentSender de ActivityManagerService.java, existe un posible inicio de actividad en segundo plano debido a un error lógico. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-0026)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En múltiples funciones de SnoozeHelper.java, existe una posible denegación de servicio persistente debido al agotamiento de los recursos. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-0027)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En múltiples funciones de SnoozeHelper.java, existe una forma posible de provocar un bucle de arranque debido al agotamiento de los recursos. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-0042)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En TBD de TBD, existe una posible confusión entre los certificados OEM y DRM debido a un uso incorrecto de las criptomonedas. Esto podría provocar una omisión local de la protección de contenido DRM sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-0043)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En varias ubicaciones, existe una posible concesión de escucha de notificaciones a una aplicación que se ejecuta en el perfil de trabajo debido a un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en Android (CVE-2024-23704)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En onCreate de WifiDialogActivity.java, existe una forma posible de evitar la restricción DISALLOW_ADD_WIFI_CONFIG debido a una falta de verificación de permiso. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-23705)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En varias ubicaciones, es posible que no se persistan o no se apliquen restricciones de usuario debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en Android (CVE-2024-23706)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En varias ubicaciones, existe una posible omisión de los permisos de datos de salud debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-23707)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En varias ubicaciones, existe una posible omisión de permisos debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en Android (CVE-2024-23708)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En múltiples funciones de NotificationManagerService.java, existe una manera posible de no mostrar un mensaje de brindis cuando se ha accedido a un mensaje del portapapeles. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2024-23709)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En varias ubicaciones, existe una posible escritura fuera de los límites debido a un desbordamiento de búfer de almacenamiento dinámico. Esto podría conducir a la divulgación remota de información sin necesidad de privilegios de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en afirmarPackageWithSharedUserIdIsPrivileged de InstallPackageHelper.java (CVE-2024-23710)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En afirmarPackageWithSharedUserIdIsPrivileged de InstallPackageHelper.java, existe una posible ejecución de código de aplicación arbitrario como una aplicación privilegiada debido a un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en AppOpsService.java (CVE-2024-23712)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En múltiples funciones de AppOpsService.java, existe una forma posible de saturar el contenido de /data/system/appops_accesses.xml debido al agotamiento de los recursos. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en migrarNotificationFilter de NotificationManagerService.java (CVE-2024-23713)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/12/2024
    En migrarNotificationFilter de NotificationManagerService.java, existe una posible falla al persistir la configuración de notificaciones debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en EXIF de GStreamer (CVE-2024-4453)
    Severidad: ALTA
    Fecha de publicación: 22/05/2024
    Fecha de última actualización: 17/12/2024
    Vulnerabilidad de ejecución remota de código de desbordamiento de enteros en el análisis de metadatos EXIF de GStreamer. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de GStreamer. Se requiere la interacción con esta librería para aprovechar esta vulnerabilidad, pero los vectores de ataque pueden variar según la implementación. La falla específica existe en el análisis de metadatos EXIF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un desbordamiento de enteros antes de asignar un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. . Era ZDI-CAN-23896.
  • Vulnerabilidad en FortiWeb (CVE-2024-23107)
    Severidad: MEDIA
    Fecha de publicación: 03/06/2024
    Fecha de última actualización: 17/12/2024
    Una exposición de información confidencial a una vulnerabilidad de actor no autorizado [CWE-200] en FortiWeb versión 7.4.0, versión 7.2.4 e inferiores, versión 7.0.8 e inferiores, 6.3 todas las versiones puede permitir que un atacante autenticado lea hashes de contraseñas de otros administradores a través de comandos CLI.
  • Vulnerabilidad en FortiWeb (CVE-2024-23665)
    Severidad: MEDIA
    Fecha de publicación: 03/06/2024
    Fecha de última actualización: 17/12/2024
    Múltiples vulnerabilidades de autorización inadecuada [CWE-285] en FortiWeb versión 7.4.2 y anteriores, versión 7.2.7 y siguientes, versión 7.0.10 y siguientes, versión 6.4.3 y siguientes, versión 6.3.23 y siguientes pueden permitir un atacante autenticado para realizar operaciones ADOM no autorizadas a través de solicitudes manipuladas.
  • Vulnerabilidad en Fortinet FortiWebManager (CVE-2024-23667)
    Severidad: ALTA
    Fecha de publicación: 03/06/2024
    Fecha de última actualización: 17/12/2024
    Una autorización inadecuada en Fortinet FortiWebManager versión 7.2.0 y 7.0.0 hasta 7.0.4 y 6.3.0 y 6.2.3 hasta 6.2.4 y 6.0.2 permite al atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP o CLI.
  • Vulnerabilidad en Fortinet FortiWebManager (CVE-2024-23668)
    Severidad: ALTA
    Fecha de publicación: 03/06/2024
    Fecha de última actualización: 17/12/2024
    Una autorización inadecuada en Fortinet FortiWebManager versión 7.2.0 y 7.0.0 hasta 7.0.4 y 6.3.0 y 6.2.3 hasta 6.2.4 y 6.0.2 permite al atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP o CLI.
  • Vulnerabilidad en Fortinet FortiWebManager (CVE-2024-23670)
    Severidad: ALTA
    Fecha de publicación: 03/06/2024
    Fecha de última actualización: 17/12/2024
    Una autorización inadecuada en Fortinet FortiWebManager versión 7.2.0 y 7.0.0 hasta 7.0.4 y 6.3.0 y 6.2.3 hasta 6.2.4 y 6.0.2 permite al atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP o CLI.
  • Vulnerabilidad en Android (CVE-2023-21113)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En múltiples ubicaciones, existe una posible omisión de permiso debido a un agente confundido. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Android (CVE-2023-21114)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En múltiples ubicaciones, existe una posible omisión de permiso debido a un agente confundido. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en CacheOpPMRExec de cache_km.c (CVE-2024-23695)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En CacheOpPMRExec de cache_km.c, existe una posible escritura fuera de los límites debido a un desbordamiento de enteros. Esto podría conducir a una escalada local de privilegios en el kernel sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en RGXCreateZSBufferKM de rgxta3d.c (CVE-2024-23696)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En RGXCreateZSBufferKM de rgxta3d.c existe una posible ejecución de código arbitrario debido a un uso after free. Esto podría conducir a una escalada local de privilegios en el kernel sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en RGXCreateHWRTData_aux de rgxta3d.c (CVE-2024-23697)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En RGXCreateHWRTData_aux de rgxta3d.c existe una posible ejecución de código arbitrario debido a un uso after free. Esto podría conducir a una escalada local de privilegios en el kernel sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en RGXFWChangeOSidPriority de rgxfwutils.c (CVE-2024-23698)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En RGXFWChangeOSidPriority de rgxfwutils.c, existe una posible ejecución de código arbitrario debido a una verificación de límites faltantes. Esto podría conducir a una escalada local de privilegios en el kernel sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en DevmemXIntUnreserveRange de devicemem_server.c (CVE-2024-23711)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En DevmemXIntUnreserveRange de devicemem_server.c, existe una posible ejecución de código arbitrario debido a un error lógico en el código. Esto podría conducir a una escalada local de privilegios en el kernel sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en newServiceInfoLocked de AutofillManagerServiceImpl.java (CVE-2024-31310)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En newServiceInfoLocked de AutofillManagerServiceImpl.java, existe una manera posible de ocultar una aplicación de servicio de Autocompletar habilitada en la configuración del servicio de Autocompletar debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en Android (CVE-2024-31312)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En varias ubicaciones, existe una posible fuga de información debido a la falta de una verificación de permiso. Esto podría llevar a la divulgación de información local exponiendo los medios reproducidos sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en availableToWriteBytes de MessageQueueBase.h (CVE-2024-31313)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En availableToWriteBytes de MessageQueueBase.h, existe una posible escritura fuera de los límites debido a una verificación de límites incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en ShortcutService.java (CVE-2024-31314)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En múltiples funciones de ShortcutService.java, existe una posible DOS persistente debido al agotamiento de recursos. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en ManagedServices.java (CVE-2024-31315)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En múltiples funciones de ManagedServices.java, existe una forma posible de ocultar una aplicación con acceso a notificaciones en la configuración de notificaciones de dispositivos y aplicaciones debido a una validación de entrada incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en onResult de AccountManagerService.java (CVE-2024-31316)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En onResult de AccountManagerService.java, existe una forma posible de realizar un inicio de actividad en segundo plano arbitrario debido a una falta de coincidencia de paquetes. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en ZygoteProcess.java (CVE-2024-31317)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En múltiples funciones de ZygoteProcess.java, existe una manera posible de lograr la ejecución de código como cualquier aplicación a través de WRITE_SECURE_SETTINGS debido a una deserialización insegura. Esto podría conducir a una escalada local de privilegios con privilegios de ejecución del usuario necesarios. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en CompanionDeviceManagerService.java (CVE-2024-31318)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En CompanionDeviceManagerService.java, existe una forma posible de emparejar un dispositivo complementario sin la aceptación del usuario debido a que falta una verificación de permiso. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en updateNotificationChannelFromPrivilegedListener de NotificationManagerService.java (CVE-2024-31319)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 17/12/2024
    En updateNotificationChannelFromPrivilegedListener de NotificationManagerService.java, existe una posible fuga de datos entre usuarios debido a un diputado confundido. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.
  • Vulnerabilidad en Easy Mega Menu Plugin for WordPress – ThemeHunk para WordPress (CVE-2024-8434)
    Severidad: MEDIA
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 17/12/2024
    El complemento Easy Mega Menu Plugin for WordPress – ThemeHunk para WordPress, es vulnerable al acceso no autorizado debido a la falta de una comprobación de capacidad en varias funciones conectadas mediante AJAX en todas las versiones hasta la 1.0.9 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, realicen acciones como actualizar la configuración del complemento.
  • Vulnerabilidad en Rockwell Automation Arena® (CVE-2024-11156)
    Severidad: ALTA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 17/12/2024
    Existe una vulnerabilidad de ejecución de código de “out of bounds read” en Rockwell Automation Arena® que podría permitir que un actor de amenazas escriba más allá de los límites de la memoria asignada en un archivo DOE. Si se explota, un actor de amenazas podría aprovechar esta vulnerabilidad para ejecutar código arbitrario. Para explotar esta vulnerabilidad, un usuario legítimo debe ejecutar el código malicioso manipulado por el actor de amenazas.
  • Vulnerabilidad en Rockwell Automation Arena® (CVE-2024-12130)
    Severidad: ALTA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 17/12/2024
    Existe una vulnerabilidad de ejecución de código de “out of bounds read” en Rockwell Automation Arena® que podría permitir que un actor de amenazas manipule un archivo DOE y obligue al software a leer más allá de los límites de una memoria asignada. Si se explota, un actor de amenazas podría aprovechar esta vulnerabilidad para ejecutar código arbitrario. Para explotar esta vulnerabilidad, un usuario legítimo debe ejecutar el código malicioso manipulado por el actor de amenazas.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43712)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que podría permitir a un atacante ejecutar código arbitrario en el contexto del navegador de la víctima. Este problema se produce cuando los datos de una fuente controlable por el usuario se desinfectan de forma incorrecta antes de usarse en el modelo de objetos de documento (DOM) de una página web, lo que lleva a la ejecución de secuencias de comandos maliciosas. Para explotar este problema es necesaria la interacción del usuario, como engañar a la víctima para que haga clic en un vínculo o navegue a un sitio web malicioso.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43713)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima necesitaría acceder a una URL o página manipulada con la secuencia de comandos maliciosa.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43714)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en una página vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43715)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en un formulario comprometido.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43716)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43717)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43718)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43719)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL o una entrada del usuario manipuladas, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima necesitaría acceder a la URL o entrada manipulada.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43720)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que podría aprovecharse para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular el entorno DOM en el navegador de la víctima, un atacante puede inyectar secuencias de comandos maliciosas que se ejecutan en el navegador de la víctima. Para aprovechar este problema es necesaria la interacción del usuario, normalmente siguiendo un vínculo malicioso.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43723)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace o una página maliciosos.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43724)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Para aprovechar este problema se requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43725)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43726)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43727)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43728)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43729)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de autorización incorrecta que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43730)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43731)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de autorización incorrecta que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43732)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que podría permitir a un atacante ejecutar código arbitrario en el contexto del navegador de la víctima. Este problema se produce cuando los scripts del lado del cliente de una aplicación web procesan datos de una fuente maliciosa para actualizar el DOM. Para explotar este problema es necesaria la interacción del usuario, como convencer a la víctima de que haga clic en un vínculo malicioso.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43733)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en un formulario comprometido.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43734)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43735)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de tipo Cross-Site Scripting (XSS). Si un atacante logra convencer a una víctima de que visite una URL que haga referencia a una página vulnerable, se puede ejecutar contenido JavaScript malicioso dentro del contexto del navegador de la víctima.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43736)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43737)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43738)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que podría permitir a un atacante ejecutar código arbitrario en el contexto del navegador de la víctima. Este problema se produce cuando una aplicación web procesa datos de una fuente maliciosa y, posteriormente, los escribe en la página web sin la limpieza adecuada, lo que permite la ejecución de código de secuencia de comandos no deseado o la alteración de la interfaz de usuario prevista. La interacción del usuario es necesaria ya que la víctima debe visitar una página maliciosa o ver un enlace creado con fines malintencionados.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43739)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43740)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43742)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43743)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43744)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43745)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de tipo Cross-Site Scripting (XSS). Si un atacante logra convencer a una víctima de que visite una URL que haga referencia a una página vulnerable, se puede ejecutar contenido JavaScript malicioso dentro del contexto del navegador de la víctima.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43746)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43747)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43748)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43749)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43750)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43751)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43752)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43754)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que podría permitir a un atacante ejecutar código arbitrario en el contexto del navegador de la víctima. Este problema se produce cuando los scripts del lado del cliente de una aplicación web procesan datos de una fuente maliciosa para actualizar el DOM. Para explotar este problema es necesaria la interacción del usuario, como convencer a la víctima de que haga clic en un vínculo malicioso.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-43755)
    Severidad: BAJA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de validación de entrada incorrecta que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. Para aprovechar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52816)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52817)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52818)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 17/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.