El complemento Miniorange OTP Verification with Firebase para WordPress presenta vulnerabilidades críticas que permiten a atacantes no autenticados cambiar contraseñas, escalar privilegios y omitir la autenticación. Se recomienda actualizar de inmediato a la versión 3.6.0 o superior para corregir estos fallos.

Una vulnerabilidad crítica (CVE-2024-4985) en GitHub Enterprise Server permite a atacantes no autenticados eludir la autenticación SAML SSO y obtener acceso administrativo. Afecta versiones anteriores a 3.13.0, y se recomienda actualizar de inmediato o deshabilitar temporalmente SAML SSO y las afirmaciones cifradas.

Se ha descubierto una vulnerabilidad crítica (CVE-2024-9680) en Firefox y Firefox ESR, que permite la ejecución remota de código sin interacción del usuario. Mozilla ha lanzado actualizaciones de emergencia para las versiones afectadas, y se recomienda actualizar de inmediato a Firefox 131.0.2 y Firefox ESR 128.3.1 o 115.16.1 para mitigar el riesgo.

Una vulnerabilidad crítica en Apache Avro Java SDK (CVE-2024-47561) permite la ejecución remota de código en versiones 1.11.3 y anteriores. Se recomienda actualizar a la versión 1.11.4 o 1.12.0 y desinfectar los esquemas Avro para prevenir ataques.

Mozilla ha publicado boletines de seguridad que destacan vulnerabilidades críticas en Firefox, Thunderbird y Firefox ESR, con puntajes CVSS que van de 7.1 a 7.6. Las vulnerabilidades permiten ejecución remota de código, violación de confidencialidad de datos y denegación de servicio. Se recomienda a los usuarios actualizar a las últimas versiones para mitigar estos riesgos.

La vulnerabilidad CVE-2024-7781 en Jupiter X Core permite la omisión de autenticación y toma de cuentas, incluidas las de administrador. Se recomienda actualizar a la versión 4.7.8 para mitigar el riesgo.

Una vulnerabilidad crítica (CVE-2024-6678) en GitLab CE/EE permite a atacantes ejecutar trabajos de pipeline como usuarios arbitrarios. Afecta versiones desde la 8.14 hasta la 17.3.1. GitLab ya ha lanzado actualizaciones para mitigar el riesgo, y se recomienda aplicar los parches de inmediato.

La vulnerabilidad CVE-2024-6386 en el complemento WPML para WordPress permite a atacantes autenticados ejecutar código arbitrario. Se recomienda actualizar a la versión 4.6.13 o superior.

Vulnerabilidades en Microsoft Edge y Google Chrome permiten a atacantes ejecutar código remoto y acceder a información confidencial.

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Antes de las versiones 2.23.6, 2.24.4 y 2.25.2, varios parámetros de solicitud de OGC permiten la ejecución remota de código (RCE) por parte de usuarios no autenticados a través de una entrada especialmente diseñada contra una instalación predeterminada de GeoServer debido a la evaluación insegura de nombres de propiedades como expresiones XPath.