pgAdmin4 presenta una vulnerabilidad grave de ejecución remota de código (RCE) cuando se ejecuta en modo servidor y se restaura desde archivos dump en formato PLAIN. Esto permite que un atacante inyecte y ejecute comandos arbitrarios en el servidor que aloja pgAdmin, comprometiendo la integridad, confidencialidad y disponibilidad del sistema.

Una vulnerabilidad de “autorización faltante” en Apache OpenOffice (en su componente Calc) permite que un atacante envíe una hoja de cálculo maliciosa que contenga enlaces a “fuentes de datos externas” de forma que dichas fuentes se carguen automáticamente sin que el usuario reciba ningún aviso o permiso.

Se ha identificado una vulnerabilidad de complejidad en expresiones regulares (regex) en clientes de Zoom Workplace anteriores a la versión 6.5.10, lo cual podría permitir a un atacante no autenticado escalar privilegios vía red.

Existe una vulnerabilidad en el Cisco Catalyst Center Virtual Appliance (también llamado Cisco DNA Center) que permite a un atacante autenticado escalar privilegios hasta Administrador mediante peticiones HTTP maliciosas.

Dell Data Lakehouse, en versiones anteriores a la 1.6.0.0, presenta una vulnerabilidad de control de acceso (“Improper Access Control”) que podría permitir a un atacante con altos privilegios y acceso remoto escalar aún más sus privilegios.

Se ha descubierto una vulnerabilidad que permite a un atacante forzar a Docker Compose, al procesar artefactos OCI remotos, a salir del directorio de caché y sobrescribir archivos arbitrarios en la máquina anfitriona, incluso cuando el usuario sólo ejecuta comandos aparentemente de sólo lectura.

Se identificó una vulnerabilidad crítica en Zoom Workplace/Meeting SDK para Android (versiones 6.4.5 y 6.4.13) que permite a un atacante eludir los controles de acceso y ejecutar acciones no autorizadas en la aplicación.

Se ha identificado una vulnerabilidad en el instalador de NVApp de NVIDIA para Windows, que permite a un atacante local con bajos privilegios explotar un problema de ruta de búsqueda no controlada (CWE-427). Esta falla podría permitir la ejecución de código con privilegios elevados.

Se identificó una vulnerabilidad de inyección SQL en el framework Django que afecta las versiones 5.1 (antes de 5.1.14), 4.2 (antes de 4.2.26) y 5.2 (antes de 5.2.8). El fallo permite que un atacante remoto no autenticado manipule consultas SQL a través del uso indebido del parámetro _connector, lo que podría derivar en acceso no autorizado o filtración de datos.

Una falla de autorización permite que un usuario “solo lectura” ejecute llamadas a APIs críticas, escalando privilegios a nivel administrativo en Elastic Cloud Enterprise.