julio 2024 - Página 7 de 135

30 Jul 2024

CVE-2024-41803

Título es

CVE-2024-41803

Mar, 30/07/2024 – 16:15

Tipo

CWE-89

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-41803

Descripción en

Xibo is a content management system (CMS). An SQL injection vulnerability was discovered in the API routes inside the CMS responsible for Filtering DataSets. This allows an authenticated user to to obtain arbitrary data from the Xibo database by injecting specially crafted values in to the API for viewing DataSet data. Users should upgrade to version 3.3.12 or 4.0.14 which fix this issue.

30/07/2024

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

4.90

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://github.com/xibosignage/xibo-cms/commit/39a2fd54b3f08831b0004aa2015bd8a753bc567f.patch

https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-hpc5-mxfq-44hv

https://xibosignage.com/blog/security-advisory-2024-07

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-41802

Título es

CVE-2024-41802

Mar, 30/07/2024 – 16:15

Tipo

CWE-89

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-41802

Descripción en

Xibo is a content management system (CMS). An SQL injection vulnerability was discovered in the API routes inside the CMS responsible for Filtering DataSets. This allows an authenticated user to to obtain and modify arbitrary data from the Xibo database by injecting specially crafted values in to the APIs for importing JSON and importing a Layout containing DataSet data.
Users should upgrade to version 3.3.12 or 4.0.14 which fix this issue

30/07/2024

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

8.10

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

HIGH

Referencias

https://github.com/xibosignage/xibo-cms/commit/b7a5899338cd841a39702e3fcaff76aa0ffe4075

https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-x4qm-vvhp-g7c2

https://xibosignage.com/blog/security-advisory-2024-07

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-7127

Título es

CVE-2024-7127

Mar, 30/07/2024 – 12:15

Tipo

CWE-79

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-7127

Descripción es

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web en Stackposts Social Marketing Tool que permite ataques de Cross-site Scripting (XSS). Al enviar el payload en el nombre de usuario durante el registro, se puede ejecutar más tarde en el panel de la aplicación. Esto podría llevar a la adquisición no autorizada de información (por ejemplo, cookies de un usuario conectado). Después de varios intentos de contactar al proveedor, no recibimos ninguna respuesta. Nuestro equipo ha confirmado la existencia de esta vulnerabilidad. Suponemos que este problema afecta a Social Marketing Tool en todas las versiones.

Descripción en

Improper Neutralization of Input During Web Page Generation vulnerability in Stackposts Social Marketing Tool allows Cross-site Scripting (XSS) attack. By submitting the payload in the username during registration, it can be executed later in the application panel. This could lead to the unauthorised acquisition of information (e.g. cookies from a logged-in user). After multiple attempts to contact the vendor we did not receive any answer. Our team has confirmed the existence of this vulnerability. We suppose this issue affects Social Marketing Tool in all versions.

30/07/2024

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Referencias

https://cert.pl/en/posts/2024/07/CVE-2024-7127/

https://cert.pl/posts/2024/07/CVE-2024-7127/

https://codecanyon.net/comments/30802802

https://stackposts.com/product/stackposts-social-marketing-tool-1

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-6699

Título es

CVE-2024-6699

Mar, 30/07/2024 – 13:15

Tipo

CWE-89

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-6699

Descripción en

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Mikafon Electronic Inc. Mikafon MA7 allows SQL Injection.This issue affects Mikafon MA7: from v3.0 before v3.1.

30/07/2024

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Referencias

https://www.usom.gov.tr/bildirim/tr-24-1105

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-41696

Título es

CVE-2024-41696

Mar, 30/07/2024 – 09:15

Tipo

CWE-200

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-41696

Descripción es

Complemento del portal WEB Priority PRI para Priority ERP on prem- CWE-200: exposición de información confidencial a un actor no autorizado

Descripción en

Priority

PRI WEB Portal Add-On for Priority ERP on prem

– CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

30/07/2024

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

7.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

HIGH

Referencias

https://www.gov.il/en/Departments/faq/cve_advisories

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-41695

Título es

CVE-2024-41695

Mar, 30/07/2024 – 09:15

Tipo

CWE-22

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-41695

Descripción es

Cybonet – CWE-22: Limitación inadecuada de un nombre de ruta a un directorio restringido

Descripción en

Cybonet – CWE-22: Improper Limitation of a Pathname to a Restricted Directory

30/07/2024

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

7.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

HIGH

Referencias

https://www.gov.il/en/Departments/faq/cve_advisories

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-41694

Título es

CVE-2024-41694

Mar, 30/07/2024 – 09:15

Tipo

CWE-200

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-41694

Descripción es

Cybonet – CWE-200: Exposición de información confidencial a un actor no autorizado

Descripción en

Cybonet – CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

30/07/2024

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

5.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://www.gov.il/en/Departments/faq/cve_advisories

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-41693

Título es

CVE-2024-41693

Mar, 30/07/2024 – 09:15

Tipo

CWE-80

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-41693

Descripción es

Mashov – CWE-80: Neutralización inadecuada de etiquetas HTML relacionadas con scripts en una página web (XSS básico)

Descripción en

Mashov – CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)

30/07/2024

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

6.10

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://www.gov.il/en/Departments/faq/cve_advisories

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-41141

Título es

CVE-2024-41141

Mar, 30/07/2024 – 09:15

Gravedad 2.0 Txt

Pendiente de análisis

Título en

CVE-2024-41141

Descripción es

Existe una vulnerabilidad de cross-site scripting almacenado en EC-CUBE Web API Plugin. Cuando hay varios usuarios que utilizan la función de administración de OAuth y uno de ellos ingresa algún valor diseñado en la página de administración de OAuth, se puede ejecutar un script arbitrario en el navegador web del otro usuario que accedió a la página de administración.

Descripción en

Stored cross-site scripting vulnerability exists in EC-CUBE Web API Plugin. When there are multiple users using OAuth Management feature and one of them inputs some crafted value on the OAuth Management page, an arbitrary script may be executed on the web browser of the other user who accessed the management page.

30/07/2024

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

Pendiente de análisis

Referencias

https://jvn.jp/en/jp/JVN26225832/

https://www.ec-cube.net/info/weakness/20240701/web_api_plugin.php

Enviar en el boletín

Off

30 Jul 2024

CVE-2024-7226

Título es

CVE-2024-7226

Mar, 30/07/2024 – 09:15

Tipo

CWE-352

Gravedad v2.0

5.00

Gravedad 2.0 Txt

MEDIUM

Título en

CVE-2024-7226

Descripción es

Se encontró una vulnerabilidad en SourceCodester Medicine Tracker System 1.0. Ha sido declarada problemática. Esta vulnerabilidad afecta a código desconocido del archivo /classes/Users.php?f=save_user del componente Password Change Handler. La manipulación conduce a cross-site request forgery. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-272806 es el identificador asignado a esta vulnerabilidad.

Descripción en

A vulnerability was found in SourceCodester Medicine Tracker System 1.0. It has been declared as problematic. This vulnerability affects unknown code of the file /classes/Users.php?f=save_user of the component Password Change Handler. The manipulation leads to cross-site request forgery. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. VDB-272806 is the identifier assigned to this vulnerability.

30/07/2024

Vector CVSS:3.1

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Vector CVSS:2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)

4.30

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)

MEDIUM

Referencias

https://github.com/Xu-Mingming/cve/blob/main/CSRF2.md

https://vuldb.com/?ctiid_272806=