Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el envío de comandos shell en los valores [the "tag" input] y [the "GITHUB_REF" environment variable] en git-tag-annotation-action (CVE-2020-15272)
Gravedad:
MediaMedia
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
En la git-tag-annotation-action (GitHub Action de código abierto) versiones anteriores a 1.0.1, un atacante puede ejecutar comandos de shell arbitrarios (*) si puede controlar el valor de [the "tag" input] o lograr alterar la valor de [the "GITHUB_REF" environment variable]. El problema ha sido parcheado en la versión 1.0.1. Si no usa la entrada "tag", lo más probable es que esté seguro. La variable de entorno "GITHUB_REF" está protegida por el entorno de GitHub Actions, por lo que los ataques desde allí deberían ser imposibles. Si debe utilizar la entrada "tag" y no puede actualizar a "versiones posteriores a 1.0.0", asegúrese de que el valor no esté controlado por otra Acción
Vulnerabilidad en el asistente kpmcore_externalcommand en el servicio D-Bus en /etc/fstab en KDE Partition Manager (CVE-2020-27187)
Gravedad:
AltaAlta
Publication date: 26/10/2020
Last modified:
02/11/2020
Descripción:
Se detectó un problema en KDE Partition Manager versiones 4.1.0 anteriores a 4.2.0. El asistente kpmcore_externalcommand contiene un fallo lógico en el que el servicio que invoca D-Bus no es apropiadamente comprobado. Un atacante en la máquina local puede reemplazar a /etc/fstab, y ejecutar un montaje y otros comandos relacionados con la partición, mientras KDE Partition Manager se está ejecutando. El comando mount puede entonces ser usado para alcanzar privilegios root completos
Vulnerabilidad en AntSword (CVE-2020-18766)
Gravedad:
MediaMedia
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en AntSword versión v2.0.7, puede ejecutar comandos de sistema remotamente
Vulnerabilidad en Aruba Airwave Software (CVE-2020-24631)
Gravedad:
AltaAlta
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
Se detectó una vulnerabilidad de ejecución remota de comandos arbitrarios en Aruba Airwave Software versión(es): Anteriores a 1.3.2
Vulnerabilidad en Aruba Airwave Software (CVE-2020-24632)
Gravedad:
AltaAlta
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
Se detectó una vulnerabilidad de ejecución remota de comandos arbitrarios en Aruba Airwave Software versión(es): Anteriores a 1.3.2
Vulnerabilidad en Aruba Airwave Software (CVE-2020-7124)
Gravedad:
AltaAlta
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
Se detectó una vulnerabilidad de acceso no autorizado remoto en Aruba Airwave Software versión(es): Anteriores a 1.3.2
Vulnerabilidad en Aruba Airwave Software (CVE-2020-7125)
Gravedad:
MediaMedia
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
Se detectó una vulnerabilidad de escalada de privilegios remota en Aruba Airwave Software versión(es): Anteriores a 1.3.2
Vulnerabilidad en Aruba Airwave Software (CVE-2020-7126)
Gravedad:
MediaMedia
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
Se detectó una vulnerabilidad de tipo server-side request forgery (ssrf) en Aruba Airwave Software versión(es): Anteriores a 1.3.2
Vulnerabilidad en el archivo lib/libpam/pam_framework.c en la función parse_user_name en illumos (CVE-2020-27678)
Gravedad:
AltaAlta
Publication date: 26/10/2020
Last modified:
27/10/2020
Descripción:
Se detectó un problema en illumos antes del 22-10-2020, como es usado en OmniOS versiones anteriores a r151030by, r151032ay y r151034y y SmartOS versiones anteriores a 20201022. Se presenta un desbordamiento de búfer en la función parse_user_name en la biblioteca lib/libpam/pam_framework.c
Vulnerabilidad en bugs de seguridad en Firefox ESR, Firefox y Thunderbird (CVE-2020-15683)
Gravedad:
AltaAlta
Publication date: 22/10/2020
Last modified:
02/11/2020
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad informaron bugs de seguridad de la memoria presentes en Firefox versión 81 y Firefox ESR versión 78.3. Algunos de estos bugs mostraron evidencia de corrupción de la memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 78,4, Firefox versiones anteriores a 82 y Thunderbird versiones anteriores a 78,4

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una petición HTTP en webu.c en Motion-Project Motion (CVE-2020-26566)
Gravedad:
MediaMedia
Publication date: 26/10/2020
Last modified:
29/10/2020
Descripción:
Una condición de Denegación de Servicio en Motion-Project Motion versiones 3.2 hasta 4.3.1, permite a usuarios remotos no autenticados causar un fallo de segmentación de webu.c y eliminar el proceso principal por medio de una petición HTTP diseñada