Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la Función Add Participants en los parámetros first y last name en LimeSurvey (CVE-2020-25797)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
LimeSurvey versión 3.21.1, está afectado por una vulnerabilidad de tipo cross-site scripting (XSS) en la Función Add Participants (parámetros first y last name). Cuando el participante de la encuesta sea editado, por ejemplo, por un usuario administrativo, el código JavaScript será ejecutado en el navegador.
Vulnerabilidad en el componente Quota en LimeSurvey (CVE-2020-25799)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
LimeSurvey versión 3.21.1, está afectado por una vulnerabilidad de tipo cross-site scripting (XSS) en el componente Quota de la página Survey. Cuando es visualizada una cuota de la encuesta, por ejemplo, por un usuario administrativo, el código JavaScript será ejecutado en el navegador.
Vulnerabilidad en la función MappedRwLockReadGuard en la crate lock_api para Rust (CVE-2020-35911)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
Se detectó un problema en la crate lock_api versiones anteriores a 0.4.2 para Rust. Puede producirse una carrera de datos debido a una falta de solidez de la función MappedRwLockReadGuard.
Vulnerabilidad en la función MappedRwLockWriteGuard en la crate lock_api para Rust (CVE-2020-35912)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
Se detectó un problema en la crate lock_api versiones anteriores a 0.4.2 para Rust. Puede producirse una carrera de datos debido a una falta de solidez de la función MappedRwLockWriteGuard.
Vulnerabilidad en la función RwLockReadGuard en la crate lock_api para Rust (CVE-2020-35913)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
Se detectó un problema en la crate lock_api versiones anteriores a 0.4.2 para Rust. Puede producirse una carrera de datos debido a una falta de solidez de la función RwLockReadGuard.
Vulnerabilidad en la función RwLockWriteGuard en la crate lock_api Rust (CVE-2020-35914)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
Se detectó un problema en la crate lock_api versiones anteriores a 0.4.2 para Rust. Puede producirse una carrera de datos debido a una falta de solidez de la función RwLockWriteGuard.
Vulnerabilidad en el archivo includes/core/is_user.php en NukeViet (CVE-2019-7725)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
El archivo includes/core/is_user.php en NukeViet versiones anteriores a 4.3.04, deserializa la cookie nvloginhash que no es confiable (es decir, el código se basa en el formato de serialización de PHP cuando JSON puede ser usado para eliminar el riesgo).
Vulnerabilidad en el archivo modules/banners/funcs/click.php en una sentencia SQL INSERT en NukeViet (CVE-2019-7726)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
El archivo modules/banners/funcs/click.php en NukeViet versiones anteriores a 4.3.04, presenta una sentencia SQL INSERT con datos de encabezado sin procesar de una petición HTTP (por ejemplo, Referer y User-Agent).
Vulnerabilidad en las bibliotecas library/ajax e interface/super en el archivo interface/super/manage_site_files.php en OpenEMR (CVE-2018-16795)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
05/01/2021
Descripción:
OpenEMR versión 5.0.1.3, permite una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) por medio de las bibliotecas library/ajax e interface/super, como es demostrado mediante el uso del archivo interface/super/manage_site_files.php para cargar un archivo .php.
Vulnerabilidad en una petición HTTP POST a la API de cambio de contraseña en los dispositivos Tenda AC1200 (Modelo AC6) (CVE-2020-28095)
Gravedad:
AltaAlta
Publication date: 30/12/2020
Last modified:
05/01/2021
Descripción:
En los dispositivos Tenda AC1200 (Modelo AC6) versión 15.03.06.51_multi, una petición HTTP POST grande enviada hacia la API de cambio de contraseña desencadenará que el enrutador se bloquee y entre en un bucle de arranque infinito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en múltiples funciones de NHIServiSignAdapter (CVE-2020-25845)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Múltiples funciones de NHIServiSignAdapter no pudieron verificar la ruta de archivo de los usuarios, lo que conlleva que la petición SMB sea redireccionada hacia un host malicioso, resultando en el filtrado de la credencial del usuario.
Vulnerabilidad en la función digest generation de NHIServiSignAdapter (CVE-2020-25846)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
La función digest generation de NHIServiSignAdapter no ha sido verificada para la ruta de archivo de origen, lo que conlleva que petición SMB sea redireccionada hacia un host malicioso, resultando en el filtrado de la credencial del usuario.