Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un comentario HTML en una plantilla Smarty en el comando \MediaWiki\Shell\Shell:: en la extensión Widgets para MediaWiki (CVE-2020-35625)
Gravedad:
MediaMedia
Publication date: 21/12/2020
Last modified:
21/07/2021
Descripción:
Se detectó un problema en la extensión Widgets para MediaWiki versiones hasta 1.35.1. Cualquier usuario con la capacidad de editar páginas dentro del espacio de nombres de Widgets podría llamar a cualquier función estática dentro de cualquier clase (definida en PHP o MediaWiki) por medio de un comentario HTML diseñado, relacionado con una plantilla Smarty. Por ejemplo, una persona del grupo Widget Editors podría usar \MediaWiki\Shell\Shell::command dentro de un comentario
Vulnerabilidad en un nombre de usuario en la extensión CasAuth para MediaWiki (CVE-2020-35623)
Gravedad:
MediaMedia
Publication date: 21/12/2020
Last modified:
21/07/2021
Descripción:
Se detectó un problema en la extensión CasAuth para MediaWiki versiones hasta 1.35.1. Debido a una comprobación inapropiada del nombre de usuario, permitió la suplantación del usuario con manipulaciones triviales de determinados caracteres dentro de un nombre de usuario determinado. Un usuario común es capaz de iniciar sesión como un "bureaucrat user" que presenta un nombre de usuario similar, como es demostrado por los nombres de usuario que solo difieren en (1) símbolos de anulación bidireccionales o (2) espacios en blanco
Vulnerabilidad en el "os/exec" de Go en Hugo (CVE-2020-26284)
Gravedad:
AltaAlta
Publication date: 21/12/2020
Last modified:
23/12/2020
Descripción:
Hugo es un generador de sitios estáticos rápido y flexible integrado en Go. Hugo depende del "os/exec" de Go para determinadas funcionalidades por ejemplo, para la representación de documentos Pandoc si estos binarios se encuentran en el sistema "%PATH%" en Windows. En Hugo anterior a versión 0.79.1, si un archivo malicioso con el mismo nombre ("exe" o "bat") se encuentra en el directorio de trabajo actual en el momento de ejecutar "hugo", el comando malicioso será invocado en lugar del sistema. Los usuarios de Windows que ejecutan "hugo" dentro de sitios de Hugo no confiables están afectados. Los usuarios deben actualizar a Hugo versión v0.79.1. Aparte de evitar los sitios de Hugo que no confiables, no existe una solución alternativa
Vulnerabilidad en GuestInfo en el proceso vmx en VMware ESX, VMware Workstation, VMware Fusion y VMware Cloud Foundation (CVE-2020-3999)
Gravedad:
BajaBaja
Publication date: 21/12/2020
Last modified:
21/07/2021
Descripción:
VMware ESXi (versiones 7.0 anteriores a ESXi70U1c-17325551), VMware Workstation (versiones 16.x anteriores a 16.0 y versiones 15.x anteriores a 15.5.7), VMware Fusion (versiones 12.x anteriores a 12.0 y versiones 11.x anteriores a 11.5.7) y VMware Cloud Foundation contienen una vulnerabilidad de denegación de servicio debido a una comprobación inapropiada de la entrada en GuestInfo. Un actor malicioso con acceso privilegiado de usuario normal para una máquina virtual puede bloquear el proceso vmx de la máquina virtual y causar una condición de denegación de servicio
Vulnerabilidad en el panel Admin Login en EgavilanMedia ECM Address Book (CVE-2020-35276)
Gravedad:
AltaAlta
Publication date: 21/12/2020
Last modified:
23/12/2020
Descripción:
EgavilanMedia ECM Address Book versión 1.0, está afectada por una inyección SQL. Un atacante puede pasar por alto el panel Admin Login por medio de una SQLi y conseguir acceso Admin y agregar o eliminar cualquier usuario
Vulnerabilidad en la ejecución de código con paquetes en diversos dispositivos WAGO (CVE-2020-12522)
Gravedad:
AltaAlta
Publication date: 17/12/2020
Last modified:
23/12/2020
Descripción:
La vulnerabilidad reportada permite a un atacante que tiene acceso de red al dispositivo ejecutar código con paquetes especialmente diseñados en WAGO Serie PFC 100 (750-81xx/xxx-xxx), Series PFC 200 (750-82xx/xxx-xxx), Series Wago Touch Panel 600 Standard Line (762-4xxx), Series Wago Touch Panel 600 Advanced Line (762-5xxx), Series Wago Touch Panel 600 Marine Line (762-6xxx) con versiones de firmware anteriores a FW10 incluyéndola
Vulnerabilidad en HCL BigFix Inventory (CVE-2020-14254)
Gravedad:
MediaMedia
Publication date: 16/12/2020
Last modified:
21/07/2021
Descripción:
Los conjuntos de cifrado TLS-RSA no están deshabilitados en HCL BigFix Inventory versiones hasta v10.0.2. Si TLS versión 2.0 y los cifrados seguros no están habilitados, un atacante puede registrar el tráfico de forma pasiva y luego descifrarlo
Vulnerabilidad en la cookie de sesión en una sesión https en BigFix Inventory (CVE-2020-14248)
Gravedad:
MediaMedia
Publication date: 16/12/2020
Last modified:
23/12/2020
Descripción:
BigFix Inventory versiones hasta v10.0.2, no establece el indicador de seguridad para la cookie de sesión en una sesión https, lo que puede causar que la cookie se envíe en peticiones http y facilita a unos atacantes remotos capturar esta cookie
Vulnerabilidad en una llamada de función PKCS#11 serializada en el protocolo RPC en p11-kit (CVE-2020-29362)
Gravedad:
MediaMedia
Publication date: 16/12/2020
Last modified:
11/01/2021
Descripción:
Se detectó un problema en p11-kit versiones 0.21.1 hasta 0.23.21. Se ha detectado una lectura excesiva de búfer en la región heap de la memoria en el protocolo RPC usado por los comandos remotos del servidor p11-kit y la biblioteca cliente. Cuando la entidad remota suministra una matriz de bytes por medio de una llamada de función PKCS#11 serializada, la entidad receptora puede permitir la lectura de hasta 4 bytes de memoria más allá de la asignación de la pila

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el analizador HTTP/1.1 asincrónico async-h1 para Rust (crates.io) (CVE-2020-26281)
Gravedad:
MediaMedia
Publication date: 21/12/2020
Last modified:
16/02/2021
Descripción:
async-h1 es un analizador HTTP/1.1 asincrónico para Rust (crates.io). Se presenta una vulnerabilidad de tráfico no autorizado de peticiones en async-h1 anterior a la versión 2.3.0. Esta vulnerabilidad afecta a cualquier servidor web que use async-h1 detrás de un proxy inverso, incluyendo todas estas aplicaciones de Tide. Si el servidor no lee el cuerpo de una petición que es más larga que una longitud de búfer, async-h1 intentará leer una petición posterior del contenido del cuerpo comenzando en ese desplazamiento en el cuerpo. Una forma de explotar esta vulnerabilidad sería que un adversario diseñe una petición de modo que el cuerpo contenga una petición que no sería detectada por un proxy inverso, lo que le permitirá falsificar encabezados forwarded/x-forwarded. Si una aplicación confiaba en la autenticidad de estos encabezados, podría ser engañada por la petición de tráfico no autorizado. Otra posible preocupación con esta vulnerabilidad es que si un proxy inverso envía múltiples peticiones de clientes http a lo largo de la misma conexión keep-alive, sería posible que la petición de tráfico no autorizado especifique un contenido largo y capture la petición de otro usuario en su cuerpo. Este contenido podría ser capturado en una petición post hacia un endpoint que permita que el contenido posteriormente sea recuperado por el adversario. Esto se ha abordado en async-h1 2.3.0 y se han eliminado las versiones anteriores
Vulnerabilidad en MediaWiki:Mainpage en la Página Special:MyLanguage/Main en MediaWiki (CVE-2020-35477)
Gravedad:
MediaMedia
Publication date: 18/12/2020
Last modified:
21/07/2021
Descripción:
MediaWiki versiones anteriores a 1.35.1, bloquea los intentos legítimos de ocultar las entradas del registro en algunas situaciones. Si uno establece MediaWiki:Mainpage en la Página Special:MyLanguage/Main, visita una entrada de registro en Special:Log y alterna la casilla de comprobación "Change visibility of selected log entries" (o una casilla de comprobación de etiquetas) junto a ella, se presenta un redireccionamiento a action=historysubmit de la página principal (en lugar del comportamiento deseado en el que aparece un formulario de revisión-eliminación)
Vulnerabilidad en MediaWiki (CVE-2020-35480)
Gravedad:
MediaMedia
Publication date: 18/12/2020
Last modified:
21/07/2021
Descripción:
Se detectó un problema en MediaWiki versiones anteriores a 1.35.1. Una falta de usuarios (cuentas que no existen) y usuarios ocultos (cuentas que se han ocultado explícitamente por ser abusivas o similares) que el visualizador no puede observar son manejadas de forma diferente, exponiendo la información confidencial sobre el estado oculto a los visualizadores sin privilegios. Esto se presenta en varias rutas de código
Vulnerabilidad en el archivo BlockLogFormatter.php en la función Language::translateBlockExpiry en MediaWiki (CVE-2020-35479)
Gravedad:
MediaMedia
Publication date: 18/12/2020
Last modified:
27/12/2020
Descripción:
MediaWiki versiones anteriores a 1.35.1, permite un ataque de tipo XSS por medio del archivo BlockLogFormatter.php. En la función Language::translateBlockExpiry en sí mismo no escapa en todas las rutas de código. Por ejemplo, la devolución de la función Language::userTimeAndDate es siempre no segura para HTML en un valor de mes. Esto afecta a MediaWiki versiones 1.12.0 y posteriores
Vulnerabilidad en el protocolo RPC en un CK_ATTRIBUTE en p11-kit (CVE-2020-29363)
Gravedad:
MediaMedia
Publication date: 16/12/2020
Last modified:
07/01/2021
Descripción:
Se detectó un problema en p11-kit versiones 0.23.6 hasta 0.23.21. Se ha detectado un desbordamiento de búfer en la región heap de la memoria en el protocolo RPC usado por los comandos remotos del servidor p11-kit y la biblioteca cliente. Cuando la entidad remota proporciona una matriz de bytes serializados en un CK_ATTRIBUTE, es posible que la entidad receptora no asigne una longitud suficiente para que el búfer almacene el valor deserializado
Vulnerabilidad en el uso de la respuesta FTP PASV en curl (CVE-2020-8284)
Gravedad:
MediaMedia
Publication date: 14/12/2020
Last modified:
23/09/2021
Descripción:
Un servidor malicioso puede usar la respuesta FTP PASV para engañar a curl versiones 7.73.0 y anteriores, para que se conecte de nuevo a una dirección IP y puerto determinados, y de esta manera potencialmente hacer que curl extraiga información sobre servicios que de otro modo serían privados y no divulgados, por ejemplo, haciendo escaneo de puerto y extracciones del banner de servicio
Vulnerabilidad en cgi-bin/awstats.pl?config= en AWStats (CVE-2020-35176)
Gravedad:
MediaMedia
Publication date: 11/12/2020
Last modified:
08/01/2021
Descripción:
En AWStats versiones hasta 7.8, cgi-bin/awstats.pl?config= acepta un nombre de ruta absoluto parcial (omitiendo el inicio /etc), aunque solo estaba destinado a leer un archivo en el formato /etc/awstats/awstats.conf. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2017-1000501 y CVE-2020-29600
Vulnerabilidad en el envío de un archivo INI en ini.parse en el paquete ini (CVE-2020-7788)
Gravedad:
AltaAlta
Publication date: 11/12/2020
Last modified:
21/07/2021
Descripción:
Esto afecta al paquete ini versiones anteriores a 1.3.6. Si un atacante envía un archivo INI malicioso a una aplicación que lo analiza con ini.parse, contaminará el prototipo de la aplicación. Esto puede ser explotado aún más dependiendo del contexto
Vulnerabilidad en el codificador jpc de jasper (CVE-2020-27828)
Gravedad:
MediaMedia
Publication date: 11/12/2020
Last modified:
03/02/2021
Descripción:
Se presenta un fallo en el codificador jpc de jasper en versiones anteriores a 2.0.23. Una entrada diseñada proporcionada a jasper por un atacante podría causar una escritura arbitraria fuera de límites. Esto podría afectar potencialmente la confidencialidad de los datos, la integridad o la disponibilidad de la aplicación
Vulnerabilidad en el archivo drivers/tty/tty_jobctrl.c en el subsistema tty del kernel de Linux (CVE-2020-29661)
Gravedad:
AltaAlta
Publication date: 09/12/2020
Last modified:
09/03/2021
Descripción:
Se detectó un problema de bloqueo en el subsistema tty del kernel de Linux versiones hasta 5.9.13. El archivo drivers/tty/tty_jobctrl.c, permite un ataque de uso de la memoria previamente liberada contra TIOCSPGRP, también se conoce como CID-54ffccbf053b
Vulnerabilidad en un archivo en el formato /etc/awstats/awstats.conf en cgi-bin/awstats.pl?config= en AWStats (CVE-2020-29600)
Gravedad:
AltaAlta
Publication date: 07/12/2020
Last modified:
04/03/2021
Descripción:
En AWStats versiones hasta 7.7, cgi-bin/awstats.pl?config= acepta un nombre de ruta absoluto, aunque su intención es que solo lea un archivo en el formato /etc/awstats/awstats.conf. NOTA: este problema se presenta debido a una corrección incompleta para el CVE-2017-1000501
Vulnerabilidad en el nombre de archivo :// en Archive_Tar (CVE-2020-28949)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
24/09/2021
Descripción:
Archive_Tar versiones hasta 1.4.10, presenta una desinfección del nombre de archivo :// solo para abordar los ataques phar y, por lo tanto, cualquier otro ataque de empaquetado de flujo (tal y como file:// para sobrescribir archivos) aún puede tener éxito
Vulnerabilidad en PHAR: en Archive_Tar (CVE-2020-28948)
Gravedad:
MediaMedia
Publication date: 19/11/2020
Last modified:
24/09/2021
Descripción:
Archive_Tar versiones hasta 1.4.10, permite un ataque de no serialización porque phar: está bloqueado pero PHAR: no está bloqueado
Vulnerabilidad en el directorio temporal del sistema en sistemas similares a Unix en Eclipse Jetty (CVE-2020-27216)
Gravedad:
MediaMedia
Publication date: 23/10/2020
Last modified:
05/08/2021
Descripción:
En Eclipse Jetty versiones 1.0 hasta 9.4.32.v20200930, versiones 10.0.0.alpha1 hasta 10.0.0.beta2 y versiones 11.0.0.alpha1 hasta 11.0.0.beta2O, en sistemas similares a Unix, el directorio temporal del sistema es compartido entre todos los usuarios en ese sistema. Un usuario colocado puede observar el proceso de creación de un subdirectorio temporal en el directorio temporal compartido y correr para completar la creación del subdirectorio temporal. Si el atacante gana la carrera, tendrá permiso de lectura y escritura en el subdirectorio usado para descomprimir las aplicaciones web, incluyendo sus archivos jar WEB-INF/lib y archivos JSP. Si alguna vez es ejecutado algún código fuera de este directorio temporal, esto puede conllevar a una vulnerabilidad de escalada de privilegios local
Vulnerabilidad en valores de parámetros para "syncPointList" en McAfee ePolicy Orchistrator (ePO) (CVE-2020-7318)
Gravedad:
BajaBaja
Publication date: 14/10/2020
Last modified:
23/12/2020
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting en McAfee ePolicy Orchistrator (ePO) versiones anteriores a 5.10.9 Update 9, permite a administradores inyectar script web o HTML arbitrario por medio de múltiples parámetros en los que las entradas del administrador no han sido saneadas correctamente
Vulnerabilidad en la comprobación de las formas de sus argumentos en la implementación de "SparseFillEmptyRowsGrad" en Tensorflow (CVE-2020-15194)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
17/08/2021
Descripción:
En Tensorflow versiones anteriores a 1.15.4, 2.0.3, 2.1.2, 2.2.1 y 2.3.1, la implementación de "SparseFillEmptyRowsGrad" presenta una comprobación incompleta de las formas de sus argumentos. Aunque se accede a "reverse_index_map_t" y "grad_values_t" con un patrón similar, solo "reverse_index_map_t" se comprueba que tenga la forma adecuada. Por lo tanto, los usuarios maliciosos pueden pasar un "grad_values_t" incorrecto para desencadenar un fallo de aserción en "vec", causando la denegación de servicio en las instalaciones de servicio. El problema es parcheado en el commit 390611e0d45c5793c7066110af37c8514e6a6c54 y es publicado en TensorFlow versiones 1.15.4, 2.0.3, 2.1.2, 2.2.1 o 2.3.1
Vulnerabilidad en los archivos drivers/char/random.c y kernel/time/timer.c en la red RNG en el kernel de Linux (CVE-2020-16166)
Gravedad:
MediaMedia
Publication date: 30/07/2020
Last modified:
21/07/2021
Descripción:
El kernel de Linux versiones hasta 5.7.11, permite a atacantes remotos realizar observaciones que ayudan a obtener información confidencial sobre el estado interno de la red RNG, también se conoce como CID-f227e3ec3b5c. Esto está relacionado con los archivos drivers/char/random.c y kernel/time/timer.c
Vulnerabilidad en el canal rdpegfx en los rectángulos de entrada del servidor en FreeRDP (CVE-2020-15103)
Gravedad:
BajaBaja
Publication date: 27/07/2020
Last modified:
23/12/2020
Descripción:
En FreeRDP versiones anteriores o igual a 2.1.2, se presenta un desbordamiento de enteros debido a una falta de saneamiento de entrada en el canal rdpegfx. Todos los clientes de FreeRDP están afectados. Los rectángulos de entrada del servidor no son comprobados contra las coordenadas de la superficie local y se aceptan ciegamente. Un servidor malicioso puede enviar datos que bloquearán al cliente más adelante (argumentos de longitud no válidos a un "memcpy"). Esto ha sido corregido en la versión 2.2.0. Como solución alternativa, deje de usar argumentos de línea de comandos /gfx, /gfx-h264 y /network:auto
Vulnerabilidad en MediaWiki (CVE-2020-15005)
Gravedad:
BajaBaja
Publication date: 24/06/2020
Last modified:
21/07/2021
Descripción:
En MediaWiki en versiones anteriores a la 1.31.8, 1.32.x y 1.33.x versiones anteriores a la 1.33.4, y 1.34.x en versiones anteriores a la 1.34.2, los wikis privados que se encuentran detrás de un servidor de almacenamiento en caché que utiliza la función de seguridad de autorización de imágenes img_auth.php pueden haber tenido sus archivos almacenados en caché públicamente, de modo que cualquier usuario no autorizado pueda verlos. Esto ocurre porque el control de la caché y las cabeceras de Vary se manejaron mal
Vulnerabilidad en /wp-admin en la página temas en WordPress (CVE-2020-4049)
Gravedad:
BajaBaja
Publication date: 12/06/2020
Last modified:
23/12/2020
Descripción:
En las versiones afectadas de WordPress, cuando se cargan temas, el nombre de la carpeta temas puede ser diseñada en una manera que podría conllevar a una ejecución de JavaScript en /wp-admin en la página temas. Esto requiere un administrador para cargar el tema, y ??es un ataque de tipo self-XSS de baja gravedad. Esto ha sido parcheado en la versión 5.4.2, junto con todas las versiones afectadas anteriormente por medio de una versión menor (versiones 5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34)
Vulnerabilidad en un appender SMTP en una conexión SMTPS en Apache Log4j (CVE-2020-9488)
Gravedad:
MediaMedia
Publication date: 27/04/2020
Last modified:
17/06/2021
Descripción:
Una comprobación inapropiada del certificado con una discordancia de host en el appender SMTP de Apache Log4j. Esto podría permitir que una conexión SMTPS sea interceptada por un ataque de tipo "man-in-the-middle" que podría filtrar cualquier mensaje de registro enviado por medio de ese appender.
Vulnerabilidad en la decodificación un flujo de bytes en el ZlibDecoders en Netty (CVE-2020-11612)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
21/07/2021
Descripción:
El ZlibDecoders en Netty versiones 4.1.x anteriores a 4.1.46, permite una asignación de memoria ilimitada mientras decodifican un flujo de bytes de ZlibEncoded. Un atacante podría enviar una secuencia de bytes de ZlibEncoded grande hacia el servidor de Netty, forzando al servidor a asignar toda su memoria liberada a un único decodificador.
Vulnerabilidad en Bootstrap (CVE-2019-8331)
Gravedad:
MediaMedia
Publication date: 20/02/2019
Last modified:
22/07/2021
Descripción:
En Bootstrap, en versiones anteriores a la 3.4.1 y versiones 4.3.x anteriores a la 4.3.1, es posible Cross-Site Scripting (XSS) en los atributos de data-template tooltip o popover.
Vulnerabilidad en LOGO! 8 BM (CVE-2017-12735)
Gravedad:
MediaMedia
Publication date: 30/08/2017
Last modified:
23/12/2020
Descripción:
Se ha identificado una vulnerabilidad en LOGO! 8 BM (incl. Variantes SIPLUS) (Todas las versiones anteriores a la V8.3). Un atacante que realiza un ataque Man-in-the-Middle entre LOGO! BM y otros dispositivos podrían potencialmente descifrar y modificar el tráfico de la red.
Vulnerabilidad en función Gfx::getPos en el analizador PDF en Xpdf, Poppler, CUPS, kdegraphics, y posiblemente otros productos (CVE-2010-3702)
Gravedad:
AltaAlta
Publication date: 05/11/2010
Last modified:
23/12/2020
Descripción:
La función Gfx::getPos en el analizador PDF en Xpdf versión anterior a 3.02 PL5, Poppler versión 0.8.7 y posiblemente otras versiones hasta la 0.15.1, CUPS, kdegraphics, y posiblemente otros productos permite que los atacantes dependiendo del contexto generen una denegación de servicio (bloqueo) por medio de vectores desconocidos que desencadenan una desreferencia de puntero no inicializada.
Vulnerabilidad en Red Hat Enterprise Linux 3 y 4, Desbordamiento de entero (CVE-2008-1374)
Gravedad:
MediaMedia
Publication date: 03/04/2008
Last modified:
23/12/2020
Descripción:
Desbordamiento de entero en el filtro pdftops de CUPS en Red Hat Enterprise Linux 3 y 4, cuando corren en plataformas de 64-bits, permite a atacantes remotos ejecutar código de su elección a través de ficheros PDF manipulados. NOTA: esta cuestión es debida a un parche incompleto para CVE-2004-0888.
Vulnerabilidad en StreamPredictor::StreamPredictor (CVE-2007-3387)
Gravedad:
MediaMedia
Publication date: 30/07/2007
Last modified:
23/12/2020
Descripción:
Un desbordamiento de enteros en la función StreamPredictor::StreamPredictor en xpdf versión 3.02, tal como es usado en (1) poppler anterior a versión 0.5.91, (2) gpdf anterior a versión 2.8.2, (3) kpdf, (4) kdegraphics, (5) CUPS, ( 6) PDFedit, y otros productos, podrían permitir que los atacantes remotos ejecuten código arbitrario por medio de un archivo PDF creado que causa un desbordamiento del búfer en la región stack de la memoria, en la función StreamPredictor::getNextLine.
Vulnerabilidad en el servicio CUPS, usado en SUSE Linux y otras distribuciones de Linux. (CVE-2007-4045)
Gravedad:
MediaMedia
Publication date: 27/07/2007
Last modified:
23/12/2020
Descripción:
El servicio CUPS, tal y como es usado en SUSE Linux versiones anteriores a 20070720 y otras distribuciones de Linux, permite a atacantes remotos causar una denegación de servicio por medio de vectores no especificados relacionados con una corrección incompleta para CVE-2007-0720 que introdujo un problema diferente de denegación de servicio en la negociación SSL.