Boletín de vulnerabilidades

Hay múltiples vulnerabilidades de XSS (cross site scripting) en el plugin WP All Import, versión 3.49 para WordPress, vía action=template.NOTA: El proveedor declara que esto no es una vulnerabilidad. WP All Import solo puede ser utilizado por un administrador que ha iniciado sesión, y la acción descrita solo puede ser aprovechada por un administrador que ha iniciado sesión.

** EN DISPUTA ** Vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WP All Import versión 3.4.9 para WordPress mediante pmxi-admin-import custom_type.NOTA: El proveedor declara que esto no es una vulnerabilidad. WP All Import solo puede ser utilizado por un administrador que ha iniciado sesión, y la acción descrita solo puede ser aprovechada por un administrador que ha iniciado sesión.

** EN DISPUTA ** Vulnerabilidad de Cross-Site Scripting (XSS) en el plugin WP All Import versión 3.4.9 para WordPress mediante Add Filtering Options(Add Rule).NOTA: El proveedor declara que esto no es una vulnerabilidad. WP All Import solo puede ser utilizado por un administrador que ha iniciado sesión, y la acción descrita solo puede ser aprovechada por un administrador que ha iniciado sesión.

Una vulnerabilidad de tipo buffer overflow ha sido encontrada en la implementación de getaddrinfo() de Zephyr Project, versiones 1.9.0 y 1.10.0.

Se ha encontrado un error en la función handle_rx() del controlador [vhost_net] en el kernel de Linux. Un invitado virtual malicioso, en condiciones específicas, puede desencadenar una escritura fuera de límites en un bloque kmalloc-8 en un host virtual, lo que podría conducir a una corrupción de la memoria del kernel y al pánico del sistema. Debido a la naturaleza del error, no puede descartarse completamente el escalado de privilegios. Las versiones a partir de la v4.16 son vulnerables.