Archivos mensuales: julio 2024

Las versiones SDoP anteriores a la 1.11 no manejan adecuadamente algunos parámetros dentro de los datos de entrada, lo que genera una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria. Cuando se engaña a un usuario del producto afectado para que procese un archivo XML especialmente manipulado, se puede ejecutar código arbitrario en el entorno del usuario.

Existe una vulnerabilidad de Path traversal en SKYSEA Client View Ver.3.013.00 a Ver.19.210.04e. Si se explota esta vulnerabilidad, un usuario que pueda iniciar sesión en el PC donde está instalado el cliente Windows del producto puede ejecutar un archivo ejecutable arbitrario.

Existe una vulnerabilidad de error de validación de origen en SKYSEA Client View Ver.3.013.00 a Ver.19.210.04e. Si se explota esta vulnerabilidad, un usuario que pueda iniciar sesión en el PC donde está instalado el cliente Windows del producto puede ejecutar un proceso arbitrario con privilegios de SYSTEM.

Existe una vulnerabilidad de asignación de privilegios incorrecta en SKYSEA Client View Ver.6.010.06 a Ver.19.210.04e. Si un usuario que puede iniciar sesión en el PC donde está instalado el cliente Windows del producto coloca un archivo DLL especialmente manipulado en una carpeta específica, se puede ejecutar código arbitrario con privilegios de SYSTEM.

Una vulnerabilidad fue encontrada en itsourcecode Society Management System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /admin/student.php. La manipulación del argumento image conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-272613.

Una vulnerabilidad fue encontrada en itsourcecode Society Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/get_balance.php es afectada por esta vulnerabilidad. La manipulación del argumento Student_id conduce a la inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272612.

Se ha encontrado una vulnerabilidad en itsourcecode Society Management System 1.0 y se ha clasificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo check_student.php. La manipulación del argumento student_id provoca una inyección SQL. El ataque puede iniciarse de forma remota. La vulnerabilidad se ha hecho pública y puede utilizarse. El identificador asociado a esta vulnerabilidad es VDB-272615.

Se ha encontrado una vulnerabilidad en Mp3tag hasta la versión 3.26d y se ha clasificado como problemática. Esta vulnerabilidad afecta a código desconocido en la librería tak_deco_lib.dll del componente DLL Handler. La manipulación conduce a una ruta de búsqueda no controlada. Es posible lanzar el ataque en el host local. La vulnerabilidad se ha divulgado al público y puede utilizarse. La actualización a la versión 3.26e puede solucionar este problema. Se recomienda actualizar el componente afectado. VDB-272614 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó al proveedor tempranamente, respondió de manera muy profesional e inmediatamente lanzó una versión corregida del producto afectado.