Noticias de Seguridad

Vulnerabilidades críticas en el complemento LatePoint de WordPress

LatePoint, un complemento ampliamente utilizado en WordPress, se especializa en la gestión de reservas y citas en línea. A pesar de su popularidad y funcionalidad, se han descubierto vulnerabilidades críticas que podrían comprometer la seguridad de los sitios web que lo utilizan. Estas fallas permiten a atacantes no autenticados realizar acciones maliciosas, como cambiar contraseñas de usuarios y acceder a cuentas administrativas, lo que podría resultar en el compromiso total de la plataforma. A continuación, se describen dichas vulnerabilidades: CVEProducto AfectadoVersión AfectadaSoluciónCVE-2024-8943LatePointTodas hasta la 5.0.12Actualizar a la versión 5.0.13 o posterior.CVE-2024-8911LatePointTodas hasta la 5.0.11Actualizar a la versión 5.0.12 o posterior….

Vulnerabilidades críticas en el complemento de inicio de sesión en WeChat Social para WordPress

El complemento de inicio de sesión social de WeChat para WordPress permite a los usuarios autenticarse utilizando sus cuentas de WeChat. Sin embargo, este complemento presenta múltiples vulnerabilidades críticas que podrían comprometer la seguridad del sitio. Las vulnerabilidades identificadas permiten que atacantes no autenticados realicen acciones no autorizadas, incluyendo la carga de archivos arbitrarios, lo que puede derivar en la ejecución remota de código en el servidor. Productos y versiones afectadas: Recomendaciones: Referencias:

Vulnerabilidad crítica en el complemento WordPress & WooCommerce Affiliate Program

El complemento WordPress & WooCommerce Affiliate Program es una herramienta popular utilizada para gestionar programas de afiliados en sitios de WordPress, permitiendo a los propietarios de sitios web crear y administrar redes de afiliados de manera eficiente. Sin embargo, se ha detectado una vulnerabilidad crítica que permite a atacantes no autenticados iniciar sesión como cualquier usuario. Esto plantea un riesgo significativo, ya que los atacantes podrían realizar acciones maliciosas, comprometiendo la seguridad y la integridad del sitio. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:

Vulnerabilidad crítica en Echo RSS Feed Post Generator para WordPress

WordPress es una plataforma de gestión de contenidos ampliamente utilizada que permite a los usuarios crear y gestionar sitios web de manera eficiente. Recientemente, se ha identificado una vulnerabilidad crítica en el complemento Echo RSS Feed Post Generator, que podría permitir a atacantes no autenticados escalar privilegios y registrarse como administradores. Esta vulnerabilidad afecta a todos los usuarios que utilicen este complemento en sus sitios, lo que pone en riesgo la seguridad de sus datos y la integridad de sus sistemas. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:

Vulnerabilidad crítica en el Plugin TI WooCommerce Wishlist

El plugin TI WooCommerce Wishlist, utilizado ampliamente en sitios de WordPress, enfrenta una grave vulnerabilidad de seguridad que pone en riesgo a más de 100,000 sitios web. Esta falla permite a usuarios no autenticados ejecutar consultas SQL arbitrarias, lo que podría darles control total sobre los sitios afectados. Es crucial que los administradores de estos sitios tomen medidas inmediatas para protegerse contra posibles ataques. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:

Vulnerabilidades en NVIDIA Container Toolkit

NVIDIA ha identificado y abordado varias vulnerabilidades críticas en su herramienta de gestión de contenedores, NVIDIA Container Toolkit (CTK), una plataforma ampliamente utilizada para contenedores acelerados por GPU. La explotación de estas fallas podría comprometer la seguridad de los entornos donde se implementan contenedores acelerados, afectando tanto a los desarrolladores como a las organizaciones que dependen de GPU para aplicaciones de alta demanda. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: https://securityonline.info/cve-2024-0132-cvss-9-0-critical-vulnerabilities-found-in-nvidia-container-toolkit https://nvidia.custhelp.com/app/answers/detail/a_id/5582 https://cwe.mitre.org/data/definitions/367.html

Vulnerabilidad Crítica de Ejecución Remota de Comandos en Zimbra.

Zimbra es una plataforma de colaboración que ofrece servicios de correo electrónico, calendario y administración de contactos. Recientemente, se ha descubierto una vulnerabilidad crítica que permite la ejecución remota de código (RCE) en los servidores de Zimbra, la cual está siendo activamente explotada por atacantes a través de correos electrónicos especialmente diseñados. Una explotación exitosa puede llevar al atacante obtener acceso no autorizado, escalar de privilegios y comprometer la integridad y confidencialidad del sistema afectado. Para explotar esta vulnerabilidad, los atacantes pueden aprovechar ciertos patrones detectables mediante búsquedas automatizadas como Shodan. Se han desarrollado pruebas de concepto (PoC) y scripts…

TeamViewer corrige vulnerabilidades de elevación de privilegios

TeamViewer, la popular herramienta de acceso remoto, lanza actualización para corregir dos vulnerabilidades de severidad ALTA que afecta a su cliente remoto para Windows. Ambas vulnerabilidades se deben a una verificación inadecuada de firmas criptográficas durante la instalación de controladores específicos, lo que permite a un atacante con acceso local no privilegiado elevar sus privilegios y ejecutar código malicioso en la máquina afectada. Estas fallas de seguridad afectan a la instalación de controladores de VPN y controladores de impresora a través del componente TeamViewer_service.exe de los clientes remotos de TeamViewer. Productos afectados, versiones afectadas y corregidas Productos afectados Versiones afectadas…

Vulnerabilidad de escalada de privilegios en el firmware de Ubiquiti AirMax

Se ha identificado una vulnerabilidad en el firmware de Ubiquiti AirMax, que permite a los atacantes con acceso físico obtener un shell de comando privilegiado a través del puerto de depuración UART. Esta vulnerabilidad representa un riesgo significativo, ya que compromete la confidencialidad, integridad y disponibilidad de los sistemas afectados. CVE-2024-44540 (CVSS 6.6): Esta vulnerabilidad se clasifica como Gestión de privilegios incorrecta (CWE-269) y permite a los atacantes con acceso físico al dispositivo obtener un shell de comando privilegiado. La explotación de esta vulnerabilidad implica una escalada de privilegios, lo que significa que un atacante podría ejecutar comandos con acceso…

Vulnerabilidades detectadas en Google Chrome

Google Chrome, uno de los navegadores más populares a nivel global, lanza una nueva actualización para abordar múltiples vulnerabilidades de alta gravedad. A continuación, se detallan las vulnerabilidades identificadas: Productos y versiones afectadas: Solución: Recomendaciones: Referencias: