Se ha identificado una vulnerabilidad crítica en el componente Runtime UI del módulo Oracle Configurator de Oracle E-Business Suite (EBS) versiones 12.2.3 a 12.2.14. Un atacante sin autenticación puede explotarla remotamente vía HTTP para acceder a datos sensibles. Oracle ha publicado un parche de emergencia para mitigar este fallo.

Vulnerabilidad crítica en MongoDB para Windows permite ejecución de código por DLL hijacking en versiones anteriores a 6.0.25, 7.0.21 y 8.0.5.

Se identificó una vulnerabilidad crítica en Zimbra Collaboration (ZCS) que permite a un atacante con credenciales válidas configurar un nuevo método de autenticación de dos factores (2FA) sin necesidad de validar el token existente, lo que posibilita eludir la protección 2FA y acceder sin autorización a cuentas protegidas.

El Centro de Gestión de Incidentes Informáticos les informa que actores maliciosos lograron acceder y descargar parcialmente documentación (archivos pdf, odt, ods, odp, csv y otros) del CGII almacenada en la nube NextCloud de AGETIC, entre la documentación a la venta están archivos de evaluaciones de seguridad informática y de Planes institucionales de seguridad de la información.

Una vulnerabilidad en Adobe Commerce y Magento Open Source permite a atacantes tomar control de sesiones de clientes sin interacción del usuario.

Error en of_modalias() de Linux permite desbordamiento/lectura fuera de búfer (len negativo) y puede llevar a corrupción de memoria o ejecución remota.

Una vulnerabilidad crítica en MongoDB para Windows permite a un atacante local ejecutar código mediante DLL hijacking si las ACLs de instalación no están correctamente configuradas. Afecta a versiones anteriores a 6.0.25, 7.0.21 y 8.0.5.

Una vulnerabilidad crítica en el componente ServiceWorker de Google Chrome para escritorio (en versiones anteriores a la 140.0.7339.127) permite que un atacante, a través de una página web diseñada con fines maliciosos, provoque errores en la memoria del navegador y los utilice para realizar acciones dañinas en el sistema.

Se ha identificado una vulnerabilidad en Zoom Workplace para Windows en arquitectura ARM (versiones anteriores a la 6.5.0), en la que el instalador carece de comprobaciones de autorización adecuadas. Un usuario autenticado con privilegios bajos podría aprovechar esta falla para elevar privilegios a nivel local.

Se identificó una vulnerabilidad de use-after-free en el controlador peak_usb del kernel de Linux, que permite a un usuario local provocar corrupción de memoria y comprometer la seguridad del sistema.