Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo dhry_1 en la función main() de dhrystone (CVE-2020-23026)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
Una desreferencia de puntero NULL en la función main() del archivo dhry_1.c de dhrystone versión 2.1, causa una denegación de servicio (DoS)
Vulnerabilidad en ASUS RT-AC52U_B1 (CVE-2021-46109)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
Un saneamiento de entrada no válido conlleva a un problema de tipo Cross Site Scripting (XSS) reflejado en ASUS RT-AC52U_B1 versión 3.0.0.4.380.10931, puede conllevar a un secuestro de la sesión del usuario
Vulnerabilidad en el parámetro booking_type en el plugin Booking Calendar de WordPress (CVE-2021-25040)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin Booking Calendar de WordPress versiones anteriores a 8.9.2, no sanea y escapa del parámetro booking_type antes de devolverlo a una página de administración, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en el parámetro tab en el plugin PowerPack Addons for Elementor de WordPress (CVE-2021-25027)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin PowerPack Addons for Elementor de WordPress versiones anteriores a 2.6.2, no escapa el parámetro tab antes de devolverlo a un atributo en el panel de administración, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en el parámetro backup_timestamp y job_id en el plugin UpdraftPlus WordPress Backup Plugin de WordPress (CVE-2021-25022)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin UpdraftPlus WordPress Backup Plugin de WordPress versiones anteriores a 1.16.66, no sanea y escapa del parámetro backup_timestamp y job_id antes de devolverlo a las páginas de administración, conllevando a problemas de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en el parámetro search en el plugin Chaty de WordPress y el plugin Chaty Pro de WordPress (CVE-2021-25016)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin Chaty de WordPress versiones anteriores a 2.8.3 y el plugin Chaty Pro de WordPress versiones anteriores a 2.8.2, no sanean y escapan el parámetro search antes de devolverlo al panel de administración, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en el parámetro wcj_create_products_xml_result en el plugin Booster for WooCommerce de WordPress (CVE-2021-25001)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin Booster for WooCommerce de WordPress versiones anteriores a 5.4.9, no sanea ni escapa del parámetro wcj_create_products_xml_result antes de devolverlo al panel de administración cuando el módulo Product XML Feeds está habilitado, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en el parámetro wcj_delete_role en el plugin Booster for WooCommerce de WordPress (CVE-2021-25000)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin Booster for WooCommerce de WordPress versiones anteriores a 5.4.9, no sanea ni escapa del parámetro wcj_delete_role antes de devolverlo al panel de administración cuando el módulo General está habilitado, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en el parámetro wcj_notice en el plugin Booster for WooCommerce de WordPress (CVE-2021-24999)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin Booster for WooCommerce de WordPress versiones anteriores a 5.4.9, no sanea ni escapa del parámetro wcj_notice antes de devolverlo al panel de administración cuando el módulo Pdf Invoicing está habilitado, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en los parámetros tab y section en el plugin WooCommerce PDF Invoices & Packing Slips de WordPress (CVE-2021-24991)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin WooCommerce PDF Invoices & Packing Slips de WordPress versiones anteriores a 2.10.5, no escapa de los parámetros tab y section antes de devolverlos a un atributo, conllevando a un problema de tipo Cross-Site Scripting Reflejado en el panel de administración
Vulnerabilidad en el parámetro site-reviews de la acción AJAX glsr_action en el plugin Site Reviews de WordPress (CVE-2021-24973)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin Site Reviews de WordPress versiones anteriores a 5.17.3, no sanea ni escapa el parámetro site-reviews de la acción AJAX glsr_action (disponible para usuarios no autenticados y para cualquier usuario autenticado), permitiéndoles llevar a cabo ataques de tipo Cross-Site Scripting contra administradores registrados que visualicen el panel de herramientas del plugin
Vulnerabilidad en el plugin LiteSpeed Cache de WordPress (CVE-2021-24964)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin LiteSpeed Cache de WordPress versiones anteriores a 4.4.4, no verifica correctamente que las peticiones proceden de servidores QUIC.cloud, permitiendo a atacantes realizar peticiones a determinados endpoints usando un valor de encabezado X-Forwarded-For específico. Además, uno de los endpoints podría ser usado para establecer código CSS si es habilitado un ajuste, que luego será emitido en algunas páginas sin ser saneado y escapado. Combinando estos dos problemas, un atacante no autenticado podría poner cargas útiles de tipo Cross-Site Scripting en las páginas visitadas por los usuarios
Vulnerabilidad en el parámetro qc_res en el plugin LiteSpeed Cache de WordPress (CVE-2021-24963)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
07/01/2022
Descripción:
El plugin LiteSpeed Cache de WordPress versiones anteriores a 4.4.4, no escapa el parámetro qc_res antes de devolverlo al código JS de una página de administración, conllevando a un ataque de tipo Cross-Site Scripting Reflejado

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: