Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en kernel de Linux (CVE-2020-36780)
  Severidad: MEDIA
  Fecha de publicación: 28/02/2024
  Fecha de última actualización: 19/03/2025
  En el kernel de Linux, se resolvió la siguiente vulnerabilidad: i2c: sprd: corrige la fuga de referencia cuando falla pm_runtime_get_sync No se espera que el recuento de referencias de PM aumente al regresar en sprd_i2c_master_xfer() y sprd_i2c_remove(). Sin embargo, pm_runtime_get_sync incrementará el recuento de referencias de PM incluso si falla. Olvidarse de poner en funcionamiento resultará en una fuga de referencia aquí. Reemplácelo con pm_runtime_resume_and_get para mantener el contador de uso equilibrado.
  
• Vulnerabilidad en kernel de Linux (CVE-2021-47006)
  Severidad: MEDIA
  Fecha de publicación: 28/02/2024
  Fecha de última actualización: 19/03/2025
  En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ARM: 9064/1: hw_breakpoint: no comprobar directamente el gancho overflow_handler del evento. el commit 1879445dfa7b ("perf/core: establecer el valor predeterminado del evento ::overflow_handler()") establece un valor predeterminado event->overflow_handler en perf_event_alloc(), y reemplace check event->overflow_handler con is_default_overflow_handler(), pero falta uno. Actualmente, bp->overflow_handler no puede ser NULL. Como resultado, enable_single_step() no siempre se invoca. Comentarios de Zhen Lei: https://patchwork.kernel.org/project/linux-arm-kernel/patch/20210207105934.2001-1-thunder.leizhen@huawei.com/
  
• Vulnerabilidad en Melapress WP 2FA (CVE-2022-44595)
  Severidad: MEDIA
  Fecha de publicación: 21/03/2024
  Fecha de última actualización: 19/03/2025
  Una vulnerabilidad de autenticación incorrecta en Melapress WP 2FA permite omitir la autenticación. Este problema afecta a WP 2FA: desde n/a hasta 2.2.0.
  
• Vulnerabilidad en Egehan Security WebPDKS (CVE-2023-6191)
  Severidad: CRÍTICA
  Fecha de publicación: 29/03/2024
  Fecha de última actualización: 19/03/2025
  La neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Egehan Security WebPDKS permite la inyección SQL. Este problema afecta a WebPDKS: hasta 20240329. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  
• Vulnerabilidad en Algoritim E-commerce Software (CVE-2023-6047)
  Severidad: MEDIA
  Fecha de publicación: 29/03/2024
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en el software de comercio electrónico Algoritim permite el XSS reflejado. Este problema afecta al software de comercio electrónico: antes de 3.9.2.
  
• Vulnerabilidad en Artbees JupiterX Core (CVE-2023-38388)
  Severidad: CRÍTICA
  Fecha de publicación: 26/03/2024
  Fecha de última actualización: 19/03/2025
  Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en Artbees JupiterX Core. Este problema afecta a JupiterX Core: desde n/a hasta 3.3.5.
  
• Vulnerabilidad en kernel de Linux (CVE-2024-26795)
  Severidad: MEDIA
  Fecha de publicación: 04/04/2024
  Fecha de última actualización: 19/03/2025
  En el kernel de Linux, se resolvió la siguiente vulnerabilidad: riscv: Sparse-Memory/vmemmap fuera de los límites corrige Offset vmemmap para que la primera página de vmemmap se asigne a la primera página de la memoria física para garantizar que vmemmap Los límites se respetarán durante las operaciones pfn_to_page()/page_to_pfn(). Las macros de conversión producirán direcciones SV39/48/57 correctas para cada DRAM_BASE posible/válida dentro de los límites de la memoria física. v2: Abordar los comentarios de Alex
  
• Vulnerabilidad en artbees JupiterX (CVE-2023-32110)
  Severidad: ALTA
  Fecha de publicación: 17/05/2024
  Fecha de última actualización: 19/03/2025
  Limitación incorrecta de una vulnerabilidad de nombre de ruta a un directorio restringido ("Path Traversal") en artbees JupiterX permite la inclusión de archivos locales PHP. Este problema afecta a JupiterX: desde n/a hasta 3.0.0.
  
• Vulnerabilidad en Artbees JupiterX Core (CVE-2023-38385)
  Severidad: ALTA
  Fecha de publicación: 13/12/2024
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de autorización faltante en Artbees JupiterX Core permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a JupiterX Core: desde la versión 3.0.0 hasta la 3.3.0.
  
• Vulnerabilidad en Mojave Inverter (CVE-2025-26473)
  Severidad: ALTA
  Fecha de publicación: 13/02/2025
  Fecha de última actualización: 19/03/2025
  Mojave Inverter utiliza el método GET para información confidencial.
  
• Vulnerabilidad en ZTE GoldenDB (CVE-2025-26702)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de validación de entrada incorrecta en ZTE GoldenDB permite la manipulación de datos de entrada. Este problema afecta a GoldenDB: desde 6.1.03 hasta 6.1.03.04.
  
• Vulnerabilidad en ZTE GoldenDB (CVE-2025-26703)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de gestión inadecuada de privilegios en ZTE GoldenDB permite la escalada de privilegios. Este problema afecta a GoldenDB: desde 6.1.03 hasta 6.1.03.04.
  
• Vulnerabilidad en ZTE GoldenDB (CVE-2025-26704)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de gestión inadecuada de privilegios en ZTE GoldenDB permite la escalada de privilegios. Este problema afecta a GoldenDB: desde 6.1.03 hasta 6.1.03.05.
  
• Vulnerabilidad en ZTE GoldenDB (CVE-2025-26705)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de gestión inadecuada de privilegios en ZTE GoldenDB permite la escalada de privilegios. Este problema afecta a GoldenDB: desde 6.1.03 hasta 6.1.03.05.
  
• Vulnerabilidad en ZTE GoldenDB (CVE-2025-26706)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de gestión inadecuada de privilegios en ZTE GoldenDB permite la escalada de privilegios. Este problema afecta a GoldenDB: desde 6.1.03 hasta 6.1.03.07.
  
• Vulnerabilidad en rankchecker Rankchecker.io Integration (CVE-2025-28857)
  Severidad: ALTA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  Vulnerabilidad de Cross-Site Request Forgery (CSRF) en rankchecker Rankchecker.io Integration permite XSS almacenado. Este problema afecta a la integración de Rankchecker.io desde n/d hasta la versión 1.0.9.
  
• Vulnerabilidad en CodeVibrant Maintenance Notice (CVE-2025-28859)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de cross-site request forgery (CSRF) en CodeVibrant Maintenance Notice permite cross-site request forgery. Este problema afecta al Aviso de Mantenimiento desde n/d hasta la versión 1.0.5.
  
• Vulnerabilidad en PPDPurveyor Google News Editors Picks Feed Generator (CVE-2025-28860)
  Severidad: ALTA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en PPDPurveyor Google News Editors Picks Feed Generator permite XSS almacenado. Este problema afecta al generador de feeds de Selecciones del editor de Google News: desde n/d hasta la versión 2.1.
  
• Vulnerabilidad en bhzad WP jQuery Persian Datepicker (CVE-2025-28861)
  Severidad: ALTA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en bhzad WP jQuery Persian Datepicker permite XSS almacenado. Este problema afecta a WP jQuery Persian Datepicker desde n/d hasta la versión 0.1.0.
  
• Vulnerabilidad en Venugopal Comment Date and Gravatar remover (CVE-2025-28862)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Venugopal Comment Date and Gravatar remover permite Cross-Site Request Forgery. Este problema afecta al eliminador de comentarios, fechas y Gravatar desde n/d hasta la versión 1.0.
  
• Vulnerabilidad en Carlos Minatti Delete Original Image (CVE-2025-28863)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Carlos Minatti Delete Original Image permite Cross-Site Request Forgery. Este problema afecta a la imagen original de Carlos Minatti desde n/d hasta la versión 0.4.
  
• Vulnerabilidad en Planet Studio Builder para Contact Form 7 de Webconstruct (CVE-2025-28864)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Planet Studio Builder para Contact Form 7 de Webconstruct permite Cross-Site Request Forgery. Este problema afecta a Builder para Contact Form 7 de Webconstruct desde n/d hasta la versión 1.2.2.
  
• Vulnerabilidad en smerriman Login Logger (CVE-2025-28866)
  Severidad: MEDIA
  Fecha de publicación: 11/03/2025
  Fecha de última actualización: 19/03/2025
  La vulnerabilidad de Cross-Site Request Forgery (CSRF) en smerriman Login Logger permite Cross-Site Request Forgery. Este problema afecta al registrador de inicio de sesión desde la versión n/d hasta la 1.2.1.