CVE-2024-12614

CVE-2024-12614

Título es
CVE-2024-12614

Jue, 16/01/2025 – 10:15

Tipo
CWE-89

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-12614

Descripción es
El complemento Passwords Manager para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en las acciones AJAX 'pms_save_setting' y 'post_new_pass' en todas las versiones hasta la 1.4.8 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen la configuración de los complementos y agreguen contraseñas.

Descripción en
The Passwords Manager plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'pms_save_setting' and 'post_new_pass' AJAX actions in all versions up to, and including, 1.4.8. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update the plugins settings and add passwords.

16/01/2025
16/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
7.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Referencias

  • https://plugins.trac.wordpress.org/changeset/3221505/passwords-manager/trunk/include/pms-passwords-ajax-action.php

  • https://plugins.trac.wordpress.org/changeset/3221505/passwords-manager/trunk/include/pms-settings-ajax-action.php

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/898c5554-fd02-47a2-a1f9-1c488cfab57e?source=cve

    • Enviar en el boletín
    Off

    CVE-2024-50563

    CVE-2024-50563

    Título es
    CVE-2024-50563

    Jue, 16/01/2025 – 10:15

    Tipo
    CWE-1390

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-50563

    Descripción es
    Una autenticación débil en Fortinet FortiManager Cloud, FortiAnalyzer versiones 7.6.0 a 7.6.1, 7.4.1 a 7.4.3, FortiAnalyzer Cloud versiones 7.4.1 a 7.4.3, FortiManager versiones 7.6.0 a 7.6.1, 7.4.1 a 7.4.3, FortiManager Cloud versiones 7.4.1 a 7.4.3 permite a un atacante ejecutar código o comandos no autorizados a través de un ataque de fuerza bruta.

    Descripción en
    A weak authentication in Fortinet FortiManager Cloud, FortiAnalyzer versions 7.6.0 through 7.6.1, 7.4.1 through 7.4.3, FortiAnalyzer Cloud versions 7.4.1 through 7.4.3, FortiManager versions 7.6.0 through 7.6.1, 7.4.1 through 7.4.3, FortiManager Cloud versions 7.4.1 through 7.4.3 allows attacker to execute unauthorized code or commands via a brute-force attack.

    16/01/2025
    16/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://fortiguard.fortinet.com/psirt/FG-IR-24-221

    • Enviar en el boletín
    Off

    CVE-2024-13387

    CVE-2024-13387

    Título es
    CVE-2024-13387

    Jue, 16/01/2025 – 10:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-13387

    Descripción es
    El complemento WP Responsive Tabs para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto 'wprtabs' del complemento en todas las versiones hasta la 1.2.9 incluida, debido a una desinfección de entrada y escape de salida insuficiente en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

    Descripción en
    The WP Responsive Tabs plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's 'wprtabs' shortcode in all versions up to, and including, 1.2.9 due to insufficient input sanitization and output escaping on user supplied attributes. This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

    16/01/2025
    16/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.40

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3222481%40wp-responsive-tabs&new=3222481%40wp-responsive-tabs

  • https://www.wordfence.com/threat-intel/vulnerabilities/id/39e58875-2f6e-453e-b33f-3d7a2a62b7b6?source=cve

    • Enviar en el boletín
    Off

    CVE-2018-25108

    CVE-2018-25108

    Título es
    CVE-2018-25108

    Jue, 16/01/2025 – 11:15

    Tipo
    CWE-770

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2018-25108

    Descripción en
    An unauthenticated remote attacker can cause a DoS in the controller due to uncontrolled resource consumption.

    16/01/2025
    16/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://cert.vde.com/en/advisories/VDE-2018-013

    • Enviar en el boletín
    Off

    CVE-2024-12226

    CVE-2024-12226

    Título es
    CVE-2024-12226

    Jue, 16/01/2025 – 07:15

    Tipo
    CWE-532

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-12226

    Descripción es
    En las versiones afectadas del agente o trabajador de Octopus Kubernetes, se podían escribir variables confidenciales en el registro del pod del script de Kubernetes en texto plano. Esto se identificó en la versión 2, pero se determinó que esto también se podía lograr en la versión 1 y la solución se aplicó a ambas versiones en consecuencia.

    Descripción en
    In affected versions of the Octopus Kubernetes worker or agent, sensitive variables could be written to the Kubernetes script pod log in clear-text. This was identified in Version 2 however it was determined that this could also be achieved in Version 1 and the fix was applied to both versions accordingly.

    16/01/2025
    16/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    6.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://advisories.octopus.com/post/2024/sa2024-10/

    • Enviar en el boletín
    Off

    CVE-2024-48885

    CVE-2024-48885

    Título es
    CVE-2024-48885

    Jue, 16/01/2025 – 09:15

    Tipo
    CWE-22

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-48885

    Descripción es
    Una limitación incorrecta de una ruta de acceso a un directorio restringido ("path traversal") en Fortinet FortiRecorder versiones 7.2.0 a 7.2.1, 7.0.0 a 7.0.4, FortiWeb versiones 7.6.0, 7.4.0 a 7.4.4, 7.2.0 a 7.2.10, 7.0.0 a 7.0.10, 6.4.0 a 6.4.3, FortiVoice versiones 7.0.0 a 7.0.4, 6.4.0 a 6.4.9, 6.0.0 a 6.0.12 permite a un atacante escalar privilegios a través de paquetes especialmente manipulados.

    Descripción en
    A improper limitation of a pathname to a restricted directory ('path traversal') in Fortinet FortiRecorder versions 7.2.0 through 7.2.1, 7.0.0 through 7.0.4, FortiWeb versions 7.6.0, 7.4.0 through 7.4.4, 7.2.0 through 7.2.10, 7.0.0 through 7.0.10, 6.4.0 through 6.4.3, FortiVoice versions 7.0.0 through 7.0.4, 6.4.0 through 6.4.9, 6.0.0 through 6.0.12 allows attacker to escalate privilege via specially crafted packets.

    16/01/2025
    16/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://fortiguard.fortinet.com/psirt/FG-IR-24-259

    • Enviar en el boletín
    Off

    CVE-2024-45331

    CVE-2024-45331

    Título es
    CVE-2024-45331

    Jue, 16/01/2025 – 09:15

    Tipo
    CWE-266

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-45331

    Descripción es
    Una asignación de privilegios incorrecta en las versiones 7.4.0 a 7.4.3, 7.2.0 a 7.2.5, 7.0.0 a 7.0.13, 6.4.0 a 6.4.15 de Fortinet FortiAnalyzer, las versiones 7.4.0 a 7.4.2, 7.2.0 a 7.2.5, 7.0.0 a 7.0.13, 6.4.0 a 6.4.15 de FortiManager, las versiones 7.4.1 a 7.4.2, 7.2.1 a 7.2.6, 7.0.1 a 7.0.13, 6.4.1 a 6.4.7 de FortiAnalyzer Cloud permite a un atacante escalar privilegios a través de comandos de shell específicos

    Descripción en
    A incorrect privilege assignment in Fortinet FortiAnalyzer versions 7.4.0 through 7.4.3, 7.2.0 through 7.2.5, 7.0.0 through 7.0.13, 6.4.0 through 6.4.15, FortiManager versions 7.4.0 through 7.4.2, 7.2.0 through 7.2.5, 7.0.0 through 7.0.13, 6.4.0 through 6.4.15, FortiAnalyzer Cloud versions 7.4.1 through 7.4.2, 7.2.1 through 7.2.6, 7.0.1 through 7.0.13, 6.4.1 through 6.4.7 allows attacker to escalate privilege via specific shell commands

    16/01/2025
    16/01/2025
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://fortiguard.fortinet.com/psirt/FG-IR-24-127

    • Enviar en el boletín
    Off

    CVE-2025-22916

    CVE-2025-22916

    Título es
    Vulnerabilidad en RE11S v1.11 (CVE-2025-22916)

    Jue, 16/01/2025 – 03:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-22916

    Descripción es
    Se descubrió que RE11S v1.11 contiene un desbordamiento de pila a través del parámetro pppUserName en la función formPPPoESetup.

    Descripción en
    RE11S v1.11 was discovered to contain a stack overflow via the pppUserName parameter in the formPPPoESetup function.

    16/01/2025
    16/01/2025
    15/01/2025
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • http://re11s.com

  • https://github.com/xyqer1/RE11S_1.11-formPPPoESetup-StackOverflow

  • https://www.edimax.com/edimax/global/

    • Enviar en el boletín
    Off

    CVE-2025-22913

    CVE-2025-22913

    Título es
    Vulnerabilidad en RE11S v1.11 (CVE-2025-22913)

    Jue, 16/01/2025 – 03:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-22913

    Descripción es
    Se descubrió que RE11S v1.11 contiene un desbordamiento de pila a través del parámetro rootAPmac en la función formStaDrvSetup.

    Descripción en
    RE11S v1.11 was discovered to contain a stack overflow via the rootAPmac parameter in the formStaDrvSetup function.

    16/01/2025
    16/01/2025
    15/01/2025
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • https://github.com/xyqer1/RE11S_1.11-formStaDrvSetup-StackOverflow

  • https://www.edimax.com/edimax/global/

    • Enviar en el boletín
    Off

    CVE-2025-22912

    CVE-2025-22912

    Título es
    Vulnerabilidad en RE11S v1.11 (CVE-2025-22912)

    Jue, 16/01/2025 – 03:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2025-22912

    Descripción es
    Se descubrió que RE11S v1.11 contenía una vulnerabilidad de inyección de comandos a través del componente /goform/formAccept.

    Descripción en
    RE11S v1.11 was discovered to contain a command injection vulnerability via the component /goform/formAccept.

    16/01/2025
    16/01/2025
    15/01/2025
    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    Pendiente de análisis

    Referencias

  • http://re11s.com

  • https://github.com/xyqer1/RE11S_1.11-formAccept-CommandInjection

  • https://www.edimax.com/edimax/global/

    • Enviar en el boletín
    Off