CVE-2024-24974

CVE-2024-24974

Título es
CVE-2024-24974

Lun, 08/07/2024 – 11:15

Tipo
CWE-923

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-24974

Descripción es
El servicio interactivo en OpenVPN 2.6.9 y versiones anteriores permite acceder remotamente al canal del servicio OpenVPN, lo que permite a un atacante remoto interactuar con el servicio interactivo privilegiado OpenVPN.

Descripción en
The interactive service in OpenVPN 2.6.9 and earlier allows the OpenVPN service pipe to be accessed remotely, which allows a remote attacker to interact with the privileged OpenVPN interactive service.

08/07/2024
08/07/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Referencias

  • https://community.openvpn.net/openvpn/wiki/CVE-2024-24974

  • OVPNX vulnerability (CVE-2024-27903, CVE-2024-27459, CVE-2024-24974)



  • https://www.mail-archive.com/openvpn-users@lists.sourceforge.net/msg07534.html

    • Enviar en el boletín
    Off

    CVE-2024-6163

    CVE-2024-6163

    Título es
    CVE-2024-6163

    Lun, 08/07/2024 – 13:15

    Tipo
    CWE-290

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-6163

    Descripción en
    Certain http endpoints of Checkmk in Checkmk

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    5.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://checkmk.com/werk/17011

    • Enviar en el boletín
    Off

    CVE-2024-34602

    CVE-2024-34602

    Título es
    CVE-2024-34602

    Lun, 08/07/2024 – 07:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-34602

    Descripción es
    El uso de intención implícita para comunicaciones confidenciales en Samsung Messages antes de la versión 1 de SMR de julio de 2024 permite a los atacantes locales obtener información confidencial. Se requiere la interacción del usuario para activar esta vulnerabilidad.

    Descripción en
    Use of implicit intent for sensitive communication in Samsung Messages prior to SMR Jul-2024 Release 1 allows local attackers to get sensitive information. User interaction is required for triggering this vulnerability.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    3.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    LOW

    Referencias

  • https://security.samsungmobile.com/securityUpdate.smsb?year=2024&month=07

    • Enviar en el boletín
    Off

    CVE-2024-34603

    CVE-2024-34603

    Título es
    CVE-2024-34603

    Lun, 08/07/2024 – 07:15

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-34603

    Descripción es
    El control de acceso inadecuado en Samsung Message anterior a SMR Jul-2024 Release 1 permite a atacantes locales acceder a datos de ubicación.

    Descripción en
    Improper access control in Samsung Message prior to SMR Jul-2024 Release 1 allows local attackers to access location data.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.00

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://security.samsungmobile.com/securityUpdate.smsb?year=2024&month=07

    • Enviar en el boletín
    Off

    CVE-2024-37389

    CVE-2024-37389

    Título es
    CVE-2024-37389

    Lun, 08/07/2024 – 08:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-37389

    Descripción es
    Apache NiFi 1.10.0 a 1.26.0 y 2.0.0-M1 a 2.0.0-M3 admiten un campo de descripción en la configuración del contexto de parámetros que es vulnerable a Cross site Scripting. Un usuario autenticado, autorizado para configurar un contexto de parámetro, puede ingresar código JavaScript arbitrario, que el navegador del cliente ejecutará dentro del contexto de sesión del usuario autenticado. La mitigación recomendada es actualizar a Apache NiFi 1.27.0 o 2.0.0-M4.

    Descripción en
    Apache NiFi 1.10.0 through 1.26.0 and 2.0.0-M1 through 2.0.0-M3 support a description field in the Parameter Context configuration that is vulnerable to cross-site scripting. An authenticated user, authorized to configure a Parameter Context, can enter arbitrary JavaScript code, which the client browser will execute within the session context of the authenticated user. Upgrading to Apache NiFi 1.27.0 or 2.0.0-M4 is the recommended mitigation.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.60

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://lists.apache.org/thread/yso9fr0wtff53nk046h1o83hdyb1lrxh

    • Enviar en el boletín
    Off

    CVE-2024-38330

    CVE-2024-38330

    Título es
    CVE-2024-38330

    Lun, 08/07/2024 – 02:15

    Tipo
    CWE-427

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-38330

    Descripción en
    IBM System Management for i 7.2, 7.3, and 7.4 could allow a local user to gain elevated privileges due to an unqualified library program call. A malicious actor could cause user-controlled code to run with administrator privilege. IBM X-Force ID: 295227.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

    Gravedad 3.1 (CVSS 3.1 Base Score)
    7.00

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://exchange.xforce.ibmcloud.com/vulnerabilities/295227

  • https://www.ibm.com/support/pages/node/7159615

    • Enviar en el boletín
    Off

    CVE-2024-37528

    CVE-2024-37528

    Título es
    CVE-2024-37528

    Lun, 08/07/2024 – 03:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-37528

    Descripción en
    IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2, 21.0.3, 22.0.1, 22.0.2, 23.0.1, and 23.0.2 is vulnerable to cross-site scripting. This vulnerability allows a privileged user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 294293.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.80

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://exchange.xforce.ibmcloud.com/vulnerabilities/294293

  • https://www.ibm.com/support/pages/node/7159332

    • Enviar en el boletín
    Off

    CVE-2024-31897

    CVE-2024-31897

    Título es
    CVE-2024-31897

    Lun, 08/07/2024 – 03:15

    Tipo
    CWE-918

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-31897

    Descripción en
    IBM Cloud Pak for Business Automation 18.0.0, 18.0.1, 18.0.2, 19.0.1, 19.0.2, 19.0.3, 20.0.1, 20.0.2, 20.0.3, 21.0.1, 21.0.2, 21.0.3, 22.0.1, 22.0.2, 23.0.1, and 23.0.2 vulnerable to server-side request forgery (SSRF). This may allow an authenticated attacker to send unauthorized requests from the system, potentially leading to network enumeration or facilitating other attacks. IBM X-Force ID: 288178.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    4.30

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    MEDIUM

    Referencias

  • https://exchange.xforce.ibmcloud.com/vulnerabilities/288178

  • https://www.ibm.com/support/pages/node/7159332

    • Enviar en el boletín
    Off

    CVE-2024-6539

    CVE-2024-6539

    Título es
    CVE-2024-6539

    Dom, 07/07/2024 – 23:15

    Tipo
    CWE-79

    Gravedad v2.0
    4.00

    Gravedad 2.0 Txt
    MEDIUM

    Título en

    CVE-2024-6539

    Descripción en
    A vulnerability classified as problematic has been found in heyewei SpringBootCMS up to 2024-05-28. Affected is an unknown function of the file /guestbook of the component Guestbook Handler. The manipulation of the argument Content leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. VDB-270450 is the identifier assigned to this vulnerability.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

    Vector CVSS:2.0
    AV:N/AC:L/Au:S/C:N/I:P/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    3.50

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    LOW

    Referencias

  • https://gitee.com/heyewei/SpringBootCMS/issues/IA9D7F

  • https://vuldb.com/?ctiid_270450=

  • https://vuldb.com/?id_270450=

    • Enviar en el boletín
    Off

    CVE-2024-5711

    CVE-2024-5711

    Título es
    CVE-2024-5711

    Lun, 08/07/2024 – 00:15

    Tipo
    CWE-79

    Gravedad 2.0 Txt
    Pendiente de análisis

    Título en

    CVE-2024-5711

    Descripción en
    Cross-site Scripting (XSS) – Stored in GitHub repository stitionai/devika prior to -.

    08/07/2024
    08/07/2024
    Vector CVSS:3.1
    CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

    Gravedad 3.1 (CVSS 3.1 Base Score)
    8.10

    Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
    HIGH

    Referencias

  • https://github.com/stitionai/devika/commit/6acce21fb08c3d1123ef05df6a33912bf0ee77c2

  • https://huntr.com/bounties/6c00ff84-574b-4b4f-bd58-aa7ec1809662

    • Enviar en el boletín
    Off