Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro originator de API/api/Asset en Damstra Smart Asset (CVE-2020-26525)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
06/10/2020
Descripción:
Damstra Smart Asset versión 2020.7, presenta una inyección SQL por medio del parámetro originator de API/api/Asset. Esto permite forzar a la base de datos y al servidor para iniciar conexiones remotas a servidores DNS de terceros
Vulnerabilidad en una respuesta de servidor en la página de inicio de sesión en Damstra Smart Asset (CVE-2020-26526)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
06/10/2020
Descripción:
Se detectó un problema en Damstra Smart Asset versión 2020.7. Es posible enumerar nombres de usuario válidos en la página de inicio de sesión. La aplicación envía una respuesta de servidor diferente cuando el nombre de usuario no es válido que cuando el nombre de usuario es válido ("Unable to find an APIDomain" versus "Wrong email or password")
Vulnerabilidad en las funciones load() en el paquete js-yaml en el paquete shiba (CVE-2020-7738)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
06/10/2020
Descripción:
Todas las versiones del paquete shiba son vulnerables a una ejecución de código arbitraria debido al uso predeterminado de la función load() del paquete js-yaml en lugar de su reemplazo seguro, safeLoad()
Vulnerabilidad en el parámetro POST sortfield en el archivo rpc.php en la función json_encode_safe en openmediavault (CVE-2020-26124)
Gravedad:
AltaAlta
Publication date: 02/10/2020
Last modified:
06/10/2020
Descripción:
openmediavault versiones anteriores a 4.1.36 y versiones 5.x anteriores a 5.5.12, permite ataques de inyección de código PHP autenticado, por medio del parámetro POST sortfield del archivo rpc.php, porque la función json_encode_safe no es usada en config/databasebackend.inc. Una explotación con éxito permite una ejecución de comandos arbitraria en el sistema operativo subyacente como root

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: