Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Ocean Extra para WordPress (CVE-2024-1277)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  El complemento Ocean Extra para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de campos personalizados en todas las versiones hasta la 2.2.4 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  
• Vulnerabilidad en Email Encoder – Protect Email Addresses and Phone Numbers para WordPress (CVE-2024-1282)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  El complemento Email Encoder – Protect Email Addresses and Phone Numbers para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento en todas las versiones hasta la 2.2.0 incluida, debido a una sanitización de entrada insuficiente y a un escape de salida del usuario. atributos proporcionados. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  
• Vulnerabilidad en Featured Image from UR (FIFU) para WordPress (CVE-2024-1496)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  El complemento Featured Image from UR (FIFU) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro fifu_input_url en todas las versiones hasta la 4.6.2 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  
• Vulnerabilidad en Schema & Structured Data for WP & AMP para WordPress (CVE-2024-1586)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  El complemento Schema & Structured Data for WP & AMP para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del esquema personalizado en todas las versiones hasta la 1.26 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. De forma predeterminada, el nivel de autenticación requerido es administrador, pero los administradores tienen la capacidad de asignar acceso basado en roles a usuarios tan bajos como suscriptores.
  
• Vulnerabilidad en Honeywell MPA2 Access Panel (CVE-2023-1841)
  Severidad: ALTA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Honeywell MPA2 Access Panel (módulos de servidor web) permite que XSS utilice caracteres no válidos. Este problema afecta a MPA2 Access Panel en todas las versiones anteriores a R1.00.08.05. Honeywell lanzó el paquete de actualización de firmware MPA2 R1.00.08.05 que soluciona esta vulnerabilidad. Esta versión y todas las versiones posteriores corrigen la vulnerabilidad informada.
  
• Vulnerabilidad en Kaspersky (CVE-2024-1619)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  Kaspersky ha solucionado un problema de seguridad en Kaspersky Security 8.0 para Linux Mail Server. El problema era que un atacante podría obligar a un administrador a hacer clic en un enlace malicioso para realizar acciones no autorizadas.
  
• Vulnerabilidad en Cockpit CMS (CVE-2024-2001)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  Una vulnerabilidad de cross-site scripting en Cockpit CMS que afecta a la versión 2.7.0. Esta vulnerabilidad podría permitir que un usuario autenticado cargue un archivo PDF infectado y almacene un payload de JavaScript maliciosa para ejecutarla cuando se cargue el archivo.
  
• Vulnerabilidad en AVEVA Edge (CVE-2023-6132)
  Severidad: ALTA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  La vulnerabilidad, si se explota, podría permitir que una entidad maliciosa con acceso al sistema de archivos logre la ejecución de código arbitrario y una escalada de privilegios engañando a AVEVA Edge para que cargue una DLL insegura.
  
• Vulnerabilidad en HYPR Workforce Access (CVE-2024-0068)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  La vulnerabilidad de resolución de enlace incorrecta antes del acceso a archivos ("siguiente enlace") en HYPR Workforce Access en MacOS permite la manipulación de archivos. Este problema afecta a Workforce Access: versiones anteriores a 8.7.1.
  
• Vulnerabilidad en Nway Pro 9 (CVE-2024-2009)
  Severidad: MEDIA
  Fecha de publicación: 29/02/2024
  Fecha de última actualización: 04/03/2025
  Se encontró una vulnerabilidad en Nway Pro 9. Se ha calificado como problemática. La función ajax_login_submit_form del archivo login\index.php del componente Argument Handler es afectada por esta vulnerabilidad. La manipulación del argumento rsargs[] conduce a la exposición de información a través de mensajes de error. El ataque puede lanzarse de forma remota. VDB-255266 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.