Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2023-5190)
  Severidad: MEDIA
  Fecha de publicación: 20/02/2024
  Fecha de última actualización: 28/01/2025
  Vulnerabilidad de redireccionamiento abierto en la página de edición de región de Gestión de Países en Liferay Portal 7.4.3.45 a 7.4.3.101, y Liferay DXP 2023.Q3 antes del parche 6, y 7.4 actualización 45 a 92 permite a atacantes remotos redirigir a los usuarios a URL externas arbitrarias a través de _com_liferay_address_web_internal_portlet_CountriesManagementAdminPortlet_redirect parámetro.
  
• Vulnerabilidad en Liferay DXP (CVE-2023-44308)
  Severidad: MEDIA
  Fecha de publicación: 20/02/2024
  Fecha de última actualización: 28/01/2025
  Vulnerabilidad de redireccionamiento abierto en la página de administración de medios adaptables en Liferay DXP 2023.Q3 antes del parche 6 y 7.4 GA hasta la actualización 92 permite a atacantes remotos redirigir a los usuarios a URL externas arbitrarias a través del parámetro _com_liferay_adaptive_media_web_portlet_AMPortlet_redirect.
  
• Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-26265)
  Severidad: MEDIA
  Fecha de publicación: 20/02/2024
  Fecha de última actualización: 28/01/2025
  El módulo Image Uploader en Liferay Portal 7.2.0 a 7.4.3.15 y versiones anteriores no compatibles, y Liferay DXP 7.4 antes de la actualización 16, 7.3 antes de la actualización 4, 7.2 antes del fixpack 19 y versiones anteriores no compatibles se basa en un parámetro de solicitud para limitar el tamaño de los archivos que se pueden cargar, lo que permite a los usuarios autenticados remotamente cargar archivos arbitrariamente grandes a la carpeta temporal del sistema modificando el parámetro `maxFileSize`.
  
• Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-26267)
  Severidad: MEDIA
  Fecha de publicación: 20/02/2024
  Fecha de última actualización: 28/01/2025
  En Liferay Portal 7.2.0 a 7.4.3.25 y versiones anteriores no compatibles, y Liferay DXP 7.4 antes de la actualización 26, 7.3 antes de la actualización 5, 7.2 antes del fixpack 19 y versiones anteriores no compatibles, el valor predeterminado de la propiedad del portal `http.header.version.verbosity` está configurado en `full`, lo que permite a atacantes remotos identificar fácilmente la versión de la aplicación que se está ejecutando y las vulnerabilidades que afectan a esa versión a través del encabezado de respuesta 'Liferay-Portal`.
  
• Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-26268)
  Severidad: MEDIA
  Fecha de publicación: 20/02/2024
  Fecha de última actualización: 28/01/2025
  Vulnerabilidad de enumeración de usuarios en Liferay Portal 7.2.0 a 7.4.3.26 y versiones anteriores no soportadas, y Liferay DXP 7.4 antes de la actualización 27, 7.3 antes de la actualización 8, 7.2 antes del fixpack 20 y versiones anteriores no soportadas permite a atacantes remotos determinar si una cuenta existen en la aplicación comparando el tiempo de respuesta de la solicitud.
  
• Vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 (CVE-2024-3620)
  Severidad: MEDIA
  Fecha de publicación: 11/04/2024
  Fecha de última actualización: 28/01/2025
  Una vulnerabilidad fue encontrada en SourceCodester Kortex Lite Advocate Office Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /control/adds.php es afectada por esta vulnerabilidad. La manipulación del argumento nombre/género/fecha de nacimiento/correo electrónico/móvil/dirección conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-260276.