Autor: Jose Alexis Correa Valencia

La API específica en TCBServiSign Windows Version de CHANGING Information Technology no valida correctamente la entrada del lado del servidor. Cuando un usuario visita un sitio web falsificado, atacantes remotos no autenticados pueden hacer que TCBServiSign cargue una DLL desde una ruta arbitraria.

Digiwin EasyFlow .NET carece de un control de acceso adecuado para una funcionalidad específica y la funcionalidad no filtra adecuadamente la entrada del usuario. Un atacante remoto con privilegios regulares puede aprovechar esta vulnerabilidad para descargar archivos arbitrarios desde el servidor remoto.

El complemento Menu Plugin — Superfly Responsive Menu para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 5.0.29 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función ajax_handle_delete_icons(). Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace. Por favor, no, el CSRF fue parcheado en 5.0.28; sin embargo, la protección adecuada contra el cruce de directorios no se introdujo hasta 5.0.30.

En el paquete Elliptic 6.5.6 para Node.js, la maleabilidad de la firma ECDSA se produce porque se permiten firmas codificadas con BER.

En el paquete Elliptic 6.5.6 para Node.js, la maleabilidad de la firma ECDSA se produce porque falta una verificación de si el bit inicial de r y s es cero.

En el paquete Elliptic 6.5.6 para Node.js, la maleabilidad de la firma EDDSA se produce porque falta una verificación de longitud de la firma y, por lo tanto, se pueden eliminar o agregar bytes con valor cero.

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en WP GoToWebinar de Martin Gibson permite Cross-Site Scripting (XSS). Este problema afecta a WP GoToWebinar: desde n/a hasta 15.7.

En Apache Linkis <= 1.5.0, la escalada de privilegios en los servicios de administración básicos donde el usuario atacante es una cuenta de confianza permite el acceso a la información del token de Linkis. Se recomienda a los usuarios actualizar a la versión 1.6.0, que soluciona este problema.

El complemento Element Pack Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'end_redirect_link' en versiones hasta la 5.7.1 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

La seguridad de cifrado de las claves de autorización en CHANGING Information Technology TCBServiSign Windows Version es insuficiente. Cuando un atacante remoto engaña a una víctima para que visite un sitio web malicioso, TCBServiSign tratará ese sitio web como un servidor legítimo e interactuará con él.