Boletín de vulnerabilidades

Se detectó un problema en phpList versiones hasta 3.5.4. Una vulnerabilidad de Inyección SQL basada en errores por medio de la sección Import Administrators

NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting (XSS). La aplicación permite a un atacante ejecutar código JavaScript arbitrario por medio del parámetro st[] de la página Reports-Devices.php

NeDi versión 1.9C, es vulnerable a un ataque de tipo cross-site scripting (XSS). La aplicación permite a un atacante ejecutar código JavaScript arbitrario por medio del parámetro dv del archivo Topology-Linked.php

Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). Los atacantes pueden omitir el Factory Reset Protection (FRP) por medio de la API KNOX. El ID de Samsung es SVE-2020-17318 (Julio de 2020)

Se detectó un problema en dispositivos móviles Samsung con versión de software Q(10.0). Los atacantes pueden desencadenar un acceso fuera de límites y restablecer el dispositivo por medio de una imagen de fondo de pantalla 4K porque la función ImageProcessHelper maneja inapropiadamente las comprobaciones de límites. El ID de Samsung es SVE-2020-18056 (Julio de 2020)

Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). StickerProvider permite un salto de directorio para acceder a los archivos del sistema. El ID de Samsung es SVE-2020-17665 (Julio de 2020)

Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0) (chipsets Exynos 7885). El componente Bluetooth Low Energy (BLE) presenta un desbordamiento del búfer con un punto muerto o bloqueo resultante. El ID de Samsung es SVE-2020-16870 (Julio de 2020)

Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). La funcionalidad de registro del kernel permite a atacantes detectar direcciones virtuales por medio de vectores que involucran memoria compartida. El ID de Samsung es SVE-2020-17605 (Julio de 2020)

Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). Los atacantes pueden omitir el Factory Reset Protection (FRP) al inscribir una nueva contraseña de bloqueo. El ID de Samsung es SVE-2020-17328 (Julio de 2020)

Se detectó un problema en dispositivos móviles Samsung con versión de software O(8.x). FactoryCamera no restringe apropiadamente los permisos de tiempo de ejecución. El ID de Samsung es SVE-2020-17270 (Julio de 2020)

Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0). Cameralyzer permite a atacantes escribir archivos en la tarjeta SD. El ID de Samsung es SVE-2020-16830 (Julio de 2020)

En Electron antes de las versiones 6.1.1, 7.2.4, 8.2.4 y 9.0.0-beta21, se presenta una omisión de aislamiento de contexto, quiere decir que el código que se ejecuta en el contexto mundial principal en el renderizador puede alcanzar el contexto de Electron aislado y llevar a cabo acciones privilegiadas. Las aplicaciones que usan "contextIsolation" están afectadas. No existen soluciones alternativas para la aplicación, deben actualizar su versión de Electron para estar protegidos. Esto es corregido en las versiones 6.1.1, 7.2.4, 8.2.4 y 9.0.0-beta21

Antes de HiSuite versión 10.1.0.500, se presenta una vulnerabilidad de secuestro DLL. Esta vulnerabilidad se presenta debido a que algún archivo DLL es cargado por HiSuite inapropiadamente. Y permite a un atacante cargar este archivo DLL de la elección del atacante