CVE-2024-43409

CVE-2024-43409

Título es
CVE-2024-43409

Mar, 20/08/2024 – 15:15

Tipo
CWE-284

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-43409

Descripción en
Ghost is a Node.js content management system. Improper authentication on some endpoints used for member actions would allow an attacker to perform member-only actions, and read member information. This security vulnerability is present in Ghost v4.46.0-v5.89.4. v5.89.5 contains a fix for this issue.

20/08/2024
20/08/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
6.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Referencias

  • https://github.com/TryGhost/Ghost/commit/dac25612520b571f58679764ecc27109e641d1db

  • https://github.com/TryGhost/Ghost/security/advisories/GHSA-78×2-cwp9-5j42

    • Enviar en el boletín
    Off

    CVE-2024-43406

    CVE-2024-43406

    Título es
    CVE-2024-43406

    Mar, 20/08/2024 – 15:15

    Tipo
    CWE-89

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-43406

    Descripción en
    LF Edge eKuiper is a lightweight IoT data analytics and stream processing engine running on resource-constraint edge devices. A user could utilize and exploit SQL Injection to allow the execution of malicious SQL query via Get method in sqlKvStore. This vulnerability is fixed in 1.14.2.

    20/08/2024
    20/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    8.80

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://github.com/lf-edge/ekuiper/commit/1a9c745649438feaac357d282959687012b65503

  • https://github.com/lf-edge/ekuiper/security/advisories/GHSA-r5ph-4jxm-6j9p

    • Enviar en el boletín
    Off

    CVE-2024-7054

    CVE-2024-7054

    Título es
    CVE-2024-7054

    Mar, 20/08/2024 – 11:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-7054

    Descripción es
    El complemento Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘close_text’ en todas las versiones hasta la 1.19.0 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

    Descripción en
    The Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘close_text’ parameter in all versions up to, and including, 1.19.0 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

    20/08/2024
    20/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/changeset/3137126/

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/73524687-7703-4912-aad5-2a31122ba9b2?source=cve

    • Enviar en el boletín
    Off

    El rescate del yate Bayesian en imágenes

    Se busca en Palermo a las seis personas que siguen desaparecidas tras el naufragio del yate Bayesian, propiedad del empresario tecnológico Mike Lynch (también desaparecido en estos momentos), que se hundió frente a Porticello el 19 de agosto. El velero se hundió a 50 metros de profundidad. Según las primeras reconstrucciones, lo más probable es que la catástrofe se debiera a un violento torbellino, que golpeó violentamente el casco hacia las 4 de la madrugada y provocó su hundimiento.

    La situación de los desaparecidos

    En estos momentos coordina las actividades de rescate el jefe de la protección civil siciliana, Salvo Cocina, quien ha confirmado que a bordo del Bayesian viajaban un total de 22 personas: de ellas, 15 ya han sido rescatadas, y entre ellas se encuentra la esposa de Lynch, Angela Bacares. Una es la víctima confirmada, el cocinero de a bordo Ricardo Tomas, cuyo cuerpo ha sido recuperado, mientras que seis personas siguen desaparecidas. Entre los que siguen desaparecidos se encuentran el propietario del barco, Mike Lynch, con su hija Hannah, de 18 años, el abogado del bufete Clifford Chance, Chris Morvillo, con su esposa Nada, y el presidente del banco Morgan Stanley International, Jonathan Bloomer y su esposa Judy.

    Búsqueda y rescate

    Hasta el momento, los buzos implicados en el naufragio del Bayesian han conseguido llegar hasta el puente del barco y no han podido ir más allá. De hecho, como ha señalado Luca Cari, jefe de comunicaciones de emergencia de la comandancia general de los bomberos, las actividades son difíciles de llevar a cabo debido a los espacios reducidos y, además, dada la presencia en algunos lugares de cables eléctricos, sigue siendo difícil para los rescatistas avanzar. «Es un ‘Costa Concordia’ en pequeño», comentó Cari al margen de las actividades de rescate, » dentro del barco los espacios son muy reducidos y si encuentras un obstáculo es muy complicado avanzar, al igual que es muy difícil encontrar rutas alternativas».

    Artículo publicado originalmente en WIRED Italia. Adaptado por Mauricio Serfatty Godoy.

    CVE-2024-25009

    CVE-2024-25009

    Título es
    CVE-2024-25009

    Mar, 20/08/2024 – 12:15

    Tipo
    CWE-20

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-25009

    Descripción en
    Ericsson Packet Core Controller (PCC) contains a vulnerability in Access and Mobility Management Function (AMF) where improper input validation can lead to denial of service which may result in service degradation.

    20/08/2024
    20/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://www.ericsson.com/en/about-us/security/psirt/security-bulletin-ericsson-packet-core-controller-pcc-august-2024

    • Enviar en el boletín
    Off

    CVE-2024-41697

    CVE-2024-41697

    Título es
    CVE-2024-41697

    Mar, 20/08/2024 – 12:15

    Tipo
    CWE-80

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-41697

    Descripción en
    Priority – CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)

    20/08/2024
    20/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.10

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://www.gov.il/en/Departments/faq/cve_advisories

    • Enviar en el boletín
    Off

    CVE-2024-41699

    CVE-2024-41699

    Título es
    CVE-2024-41699

    Mar, 20/08/2024 – 12:15

    Tipo
    CWE-552

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-41699

    Descripción en
    Priority – CWE-552: Files or Directories Accessible to External Parties

    20/08/2024
    20/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://www.gov.il/en/Departments/faq/cve_advisories

    • Enviar en el boletín
    Off

    CVE-2024-41698

    CVE-2024-41698

    Título es
    CVE-2024-41698

    Mar, 20/08/2024 – 12:15

    Tipo
    CWE-200

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-41698

    Descripción en
    Priority – CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

    20/08/2024
    20/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://www.gov.il/en/Departments/faq/cve_advisories

    • Enviar en el boletín
    Off

    CVE-2024-41700

    CVE-2024-41700

    Título es
    CVE-2024-41700

    Mar, 20/08/2024 – 12:15

    Tipo
    CWE-200

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-41700

    Descripción en
    Barix – CWE-200 Exposure of Sensitive Information to an Unauthorized Actor

    20/08/2024
    20/08/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://www.gov.il/en/Departments/faq/cve_advisories

    • Enviar en el boletín
    Off

    CVE-2024-43202

    CVE-2024-43202

    Título es
    CVE-2024-43202

    Mar, 20/08/2024 – 08:15

    Tipo
    CWE-94

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-43202

    Descripción es
    Exposición de la ejecución remota de código en Apache Dolphinscheduler. Este problema afecta a Apache DolphinScheduler: versiones anteriores a 3.2.2. Recomendamos a los usuarios que actualicen Apache DolphinScheduler a la versión 3.2.2, que soluciona el problema.

    Descripción en
    Exposure of Remote Code Execution in Apache Dolphinscheduler.

    This issue affects Apache DolphinScheduler: before 3.2.2.

    We recommend users to upgrade Apache DolphinScheduler to version 3.2.2, which fixes the issue.

    20/08/2024
    20/08/2024
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://github.com/apache/dolphinscheduler/pull/15758

  • https://lists.apache.org/thread/nlmdp7q7l7o3l27778vxc5px24ncr5r5

  • https://lists.apache.org/thread/qbhk9wqyxhrn4z7m4m343wqxpwg926nh

  • https://www.cve.org/CVERecord?id=CVE-2023-49109

    • Enviar en el boletín
    Off