Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en enlaces hacia una URL web en Dell Wyse Management Suite (CVE-2020-29498)
Gravedad:
MediaMedia
Publication date: 04/01/2021
Last modified:
06/01/2021
Descripción:
Dell Wyse Management Suite versiones anteriores a 3.1, contienen una vulnerabilidad de redireccionamiento abierto. Un atacante remoto no autenticado podría potencialmente explotar esta vulnerabilidad para redireccionar a los usuarios de la aplicación hacia una URL web arbitraria al engañar a usuarios víctimas para hacer clic sobre enlaces diseñados maliciosamente. La vulnerabilidad podría ser usada para conducir ataques de phishing que causan que usuarios visiten sin saberlo sitios maliciosos.
Vulnerabilidad en la etiqueta del dispositivo en el acceso a datos en el navegador web en el contexto de la aplicación en Dell Wyse Management Suite (CVE-2020-29497)
Gravedad:
BajaBaja
Publication date: 04/01/2021
Last modified:
06/01/2021
Descripción:
Dell Wyse Management Suite versiones anteriores a 3.1, contienen una vulnerabilidad de tipo cross-site scripting almacenado. Un usuario malicioso autenticado remoto con pocos privilegios podría explotar esta vulnerabilidad para almacenar código HTML o JavaScript malicioso en la etiqueta del dispositivo. Cuando los usuarios víctimas acceden a los datos enviados mediante sus navegadores, el código malicioso es ejecutado por el navegador web en el contexto de la aplicación vulnerable.
Vulnerabilidad en creación del Usuario Final en el acceso a datos en el navegador web en el contexto de la aplicación en Dell Wyse Management Suite (CVE-2020-29496)
Gravedad:
BajaBaja
Publication date: 04/01/2021
Last modified:
06/01/2021
Descripción:
Dell Wyse Management Suite versiones anteriores a 3.1, contienen una vulnerabilidad de tipo cross-site scripting almacenado. Un usuario malicioso autenticado remoto con altos privilegios podría potencialmente explotar esta vulnerabilidad para almacenar código HTML o JavaScript malicioso mientras crea el Usuario Final. Cuando los usuarios víctimas acceden a los datos enviados a través de sus navegadores, el código malicioso es ejecutado por el navegador web en el contexto de la aplicación vulnerable.
Vulnerabilidad en archivos confidenciales en el servidor en Veno File Manager (CVE-2020-22550)
Gravedad:
MediaMedia
Publication date: 04/01/2021
Last modified:
06/01/2021
Descripción:
Veno File Manager versiones 3.5.6, está afectado por una vulnerabilidad de salto de directorios. El uso del salto permite a un atacante descargar archivos confidenciales desde el servidor.
Vulnerabilidad en el archivo de esquema en el paquete djv (CVE-2020-28464)
Gravedad:
AltaAlta
Publication date: 04/01/2021
Last modified:
06/01/2021
Descripción:
Esto afecta al paquete djv versiones anteriores a 2.1.4. Al controlar el archivo de esquema, un atacante puede ejecutar código JavaScript arbitrario en la máquina víctima.
Vulnerabilidad en la función principal en el paquete asciitable.js (CVE-2020-7771)
Gravedad:
AltaAlta
Publication date: 04/01/2021
Last modified:
06/01/2021
Descripción:
El paquete asciitable.js versiones anteriores a 1.0.3, es vulnerable a la Contaminación de Prototipos por medio de la función principal.
Vulnerabilidad en la función timeReportActions::executeExport en el archivo core/apps/ qdPM/modules/timeReport/actions/actions.class.php en qdPM (CVE-2020-26165)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
qdPM versiones hasta 9.1, permite una inyección de objetos PHP por medio de la función timeReportActions::executeExport en el archivo core/apps/qdPM/modules/timeReport/actions/actions.class.php porque una deserialización es usada.
Vulnerabilidad en un nombre de ruta en un directorio restringido en QTS en los dispositivos QNAP (CVE-2018-19945)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se ha reportado de una vulnerabilidad que afecta a los dispositivos QNAP anteriores que ejecutan QTS versión 4.3.4 a la 4.3.6. Causada por limitaciones inapropiadas de un nombre de ruta en un directorio restringido, esta vulnerabilidad permite cambiar el nombre de archivos arbitrarios en el sistema de destino, si se explota. QNAP ya ha corregido esta vulnerabilidad en las siguientes versiones: QTS versión 4.3.6.0895 build 20190328 (y posterior) QTS versión 4.3.4.0899 build 20190322 (y posterior) Este problema no afecta a QTS versión 4.4.x o QTS versión 4.5.x.
Vulnerabilidad en la funcionalidad realloc en la crate bumpalo para Rust (CVE-2020-35861)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate bumpalo versiones anteriores a 3.2.1 para Rust. La funcionalidad realloc permite una lectura de memoria desconocida. Los atacantes pueden potencialmente leer claves criptográficas.
Vulnerabilidad en la función remove() en la crate simple-slab para Rust (CVE-2020-35893)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate simple-slab versiones anteriores a 0.3.3 para Rust. La función remove() presenta un error por un paso, causando un filtrado de la memoria y una perdida de la memoria no inicializada.
Vulnerabilidad en la función index() en la crate simple-slab para Rust (CVE-2020-35892)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate simple-slab versiones anteriores a 0.3.3 para Rust. La función index() permite una lectura fuera de límites.
Vulnerabilidad en Index e IndexMut en la crate arr para Rust (CVE-2020-35887)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate arr hasta el 25-08-2020 para Rust. Se presenta un desbordamiento del búfer en Index e IndexMut.
Vulnerabilidad en el tráfico no autorizado de peticiones HTTP en la crate hyper para Rust (CVE-2020-35863)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate hyper versiones anteriores a 0.12.34 para Rust. Un tráfico no autorizado de peticiones HTTP puede ocurrir. Una ejecución de código remota puede ocurrir en determinadas situaciones con un servidor HTTP en la interfaz loopback.
Vulnerabilidad en la conversión de BitVec a BitBox en la crate bitvec para Rust (CVE-2020-35862)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate bitvec versiones anteriores a 0.17.4 para Rust. La conversión de BitVec a BitBox conlleva a un uso de la memoria previamente liberada.
Vulnerabilidad en la API de Cbox en la crate cbox para Rust (CVE-2020-35860)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate cbox hasta el 19-03-2020 para Rust. La API de CBox permite desreferenciar unos punteros sin procesar sin un requerimiento para un código no seguro.
Vulnerabilidad en la crate lucet-runtime-internals para Rust (CVE-2020-35859)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate lucet-runtime-internals versiones anteriores a 0.5.1 para Rust. Maneja inapropiadamente la asignación de sigstack. Unos programas invitados pueden ser capaces de conseguir información confidencial o unos programas invitados pueden experimentar una corrupción de la memoria.
Vulnerabilidad en un mensaje en la crate prost para Rust (CVE-2020-35858)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate prost versiones anteriores a 0.6.1 para Rust. Se presenta un consumo de pila por medio de un mensaje diseñado, causando una denegación de servicio (por ejemplo, x86) o posiblemente una ejecución de código remota (por ejemplo, ARM).
Vulnerabilidad en objetivos null de DNS MX y SRV en la crate trust-dns-server para Rust (CVE-2020-35857)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate trust-dns-server versiones anteriores a 0.18.1 para Rust. Unos objetivos null de DNS MX y SRV son manejados inapropiadamente, causando un consumo de la pila.
Vulnerabilidad en la función __private_get_type_id__ en la crate failure para Rust (CVE-2019-25010)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate failure hasta el 13-11-2019 para Rust. Puede ocurrir una confusión de tipos cuando es anulada la función __private_get_type_id__.
Vulnerabilidad en la API de la función HeaderMap::Drain en la crate http para Rust (CVE-2019-25009)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate http versiones anteriores a 0.1.20 para Rust. La API de la función HeaderMap::Drain puede usar un puntero sin procesar, derrotando la solidez.
Vulnerabilidad en la función HeaderMap::reserve() en la crate http para Rust (CVE-2019-25008)
Gravedad:
Sin asignarSin asignar
Publication date: 31/12/2020
Last modified:
07/03/2021
Descripción:
Se detectó un problema en la crate http versiones anteriores a 0.1.20 para Rust. La función HeaderMap::reserve() presenta un desbordamiento de enteros que permite a atacantes causar una denegación de servicio.
Vulnerabilidad en la función de hash Streebog en la crate streebog para Rust (CVE-2019-25007)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate streebog versiones anteriores a 0.8.0 para Rust. La función de hash Streebog puede causar un pánico.
Vulnerabilidad en la crate flatbuffers para Rust (CVE-2019-25004)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate flatbuffers versiones anteriores a 0.6.1 para Rust. Unos bytes arbitrarios pueden ser reinterpretados como un booleano, derrotando la solidez.
Vulnerabilidad en la función Scalar::check_overflow en la crate libsecp256k1 para Rust (CVE-2019-25003)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate libsecp256k1 versiones anteriores a 0.3.1 para Rust. La función Scalar::check_overflow permite un ataque de canal lateral de sincronización; en consecuencia, unos atacantes pueden conseguir información confidencial.
Vulnerabilidad en la función pop_back() en la crate array-queue para Rust (CVE-2020-35900)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate array-queue versiones hasta 26-09-2020 para Rust. Una llamada a la función pop_back() puede conllevar a un uso de la memoria previamente liberada.
Vulnerabilidad en el envío de tipos que no implementan Send/Sync en ARCache(K,V) en la crate concread para Rust (CVE-2020-35928)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate concread versiones anteriores a 0.2.6 para Rust. Unos atacantes pueden causar una carrera de datos de ARCache(K,V) mediante el envío de tipos que no implementan Send/Sync.
Vulnerabilidad en la función Thex(T) en la crate Thex para Rust (CVE-2020-35927)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate Thex hasta el 08-12-2020 para Rust. La función Thex(T) permite carreras de datos entre subprocesos de tipos non-Send.
Vulnerabilidad en la crate nanorand para Rust (CVE-2020-35926)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate nanorand versiones anteriores a 0.5.1 para Rust. Causó que cualquier generador de números aleatorios (incluso ChaCha) devolviera todos los ceros porque el truncamiento de enteros se manejó inapropiadamente.
Vulnerabilidad en la crate ordered-float para Rust (CVE-2020-35923)
Gravedad:
MediaMedia
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate ordered-float versiones anteriores a 1.1.1 y versiones 2.x anteriores a 2.0.1 para Rust. Un valor de NotNan puede contener un NaN.
Vulnerabilidad en la función std::net::SocketAddr en la crate mio para Rust (CVE-2020-35922)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate mio versiones anteriores a 0.7.6 para Rust. Presenta falsas expectativas sobre la representación de la memoria de la función std::net::SocketAddr.
Vulnerabilidad en la función std::net::SocketAddr en la crate miow para Rust (CVE-2020-35921)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate miow versiones anteriores a 0.3.6 para Rust. Presenta falsas expectativas sobre la representación de la memoria de la función std::net::SocketAddr.
Vulnerabilidad en la función std::net::SocketAddr en la crate socket2 para Rust (CVE-2020-35920)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate socket2 versiones anteriores a 0.3.16 para Rust. Presenta falsas expectativas sobre la representación de la memoria de la función std::net::SocketAddr.
Vulnerabilidad en la función std::net::SocketAddr en la crate net2 para Rust (CVE-2020-35919)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate net2 versiones anteriores a 0.2.36 para Rust. Presenta falsas expectativas sobre la representación de memoria de la función std::net::SocketAddr.
Vulnerabilidad en From(Py(T)) en la crate pyo3 para Rust (CVE-2020-35917)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate pyo3 versiones anteriores a 0.12.4 para Rust. Se presenta un error de reconteo de referencias y uso de la memoria previamente liberada en From(Py(T)).
Vulnerabilidad en la función MutexGuard::map en la crate futures-util para Rust (CVE-2020-35905)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate futures-util versiones anteriores a 0.3.7 para Rust. La función MutexGuard::map puede causar una carrera de datos para determinadas situaciones de cierre (en código seguro).
Vulnerabilidad en la crate crossbeam-channel para Rust (CVE-2020-35904)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate crossbeam-channel versiones anteriores a 0.4.4 para Rust. Presenta expectativas incorrectas sobre la relación entre la asignación de memoria y cuántos elementos del iterador existen.
Vulnerabilidad en la función VecCopy en la crate dync para Rust (CVE-2020-35903)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate dync versiones anteriores a 0.5.0 para Rust. La función VecCopy permite un acceso a elementos desalineados porque u8 no siempre es el tipo en cuestión.
Vulnerabilidad en la crate actix-service para Rust (CVE-2020-35899)
Gravedad:
BajaBaja
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Se detectó un problema en la crate actix-service versiones anteriores a 1.0.6 para Rust. La implementación Cell permite obtener más de una referencia mutable para los mismos datos.
Vulnerabilidad en una carga útil al puerto HTTPS en lighttpd en los dispositivos Green Packet WiMax DV-36 (CVE-2018-14067)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
06/01/2021
Descripción:
Los dispositivos Green Packet WiMax DV-360 versión 2.10.14-g1.0.6.1, permiten una inyección de comandos, con una ejecución de comando remota no autenticados, por medio de una carga útil diseñada al puerto HTTPS, porque lighttpd escucha en todas las interfaces de red (incluyendo la Internet externa) por defecto . NOTA: esto puede solaparse al CVE-2017-9980.
Vulnerabilidad en el nombre de host en URI.js (CVE-2020-26291)
Gravedad:
MediaMedia
Publication date: 30/12/2020
Last modified:
06/01/2021
Descripción:
URI.js es una biblioteca de mutación de URL de JavaScript (paquete npm urijs). En URI.js versiones anteriores a 1.19.4, el nombre de host puede ser falsificado usando un carácter barra invertida ("\") seguido de un carácter arroba ("@"). Si el nombre de host es usado en decisiones de seguridad, la decisión puede ser incorrecta. Dependiendo del uso de la biblioteca y la intención del atacante, los impactos pueden incluir omisiones de lista de permisos y bloqueos, ataques SSRF, redireccionamientos abiertos u otros comportamientos no deseados. Por ejemplo, la URL "https://expected-example.com\@observed-example.com" devolverá incorrectamente "observed-example.com" si se usa una versión afectada. Las versiones parcheadas devuelven correctamente "expected-example.com". Las versiones parcheadas coinciden con el comportamiento de otros analizadores que implementan la especificación de URL WHATWG, incluyendo los navegadores web y la clase URL incorporada de Node. La versión 1.19.4 está parcheada contra todas las variantes de carga útil conocidas. La versión 1.19.3 presenta una ruta parcial pero sigue siendo vulnerable a una variante de carga útil.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la funcionalidad iconv en la codificación EUC-KR en la biblioteca GNU C (CVE-2019-25013)
Gravedad:
AltaAlta
Publication date: 04/01/2021
Last modified:
19/03/2021
Descripción:
La funcionalidad iconv en la biblioteca GNU C (también se conoce como glibc o libc6) versiones hasta 2.32, cuando se procesan secuencias de entrada multibyte no válidas en la codificación EUC-KR, puede tener una lectura excesiva del búfer.
Vulnerabilidad en las expresiones en un paquete npm en Vega (CVE-2020-26296)
Gravedad:
BajaBaja
Publication date: 30/12/2020
Last modified:
06/01/2021
Descripción:
Vega es una gramática de visualización, un formato declarativo para crear, guardar y compartir diseños de visualización interactivos. Vega en un paquete npm. En Vega versiones anteriores a 5.17.3, se presenta una vulnerabilidad de tipo XSS en las expresiones de Vega. Mediante una expresión Vega especialmente diseñada, un atacante podría ejecutar javascript arbitrario en la máquina de una víctima. Esto es corregido en la versión 5.17.3
Vulnerabilidad en python (CVE-2019-10160)
Gravedad:
MediaMedia
Publication date: 07/06/2019
Last modified:
06/01/2021
Descripción:
Se descubrió una regresión de seguridad de CVE-2019-9636 en python desde commit con ID d537ab0ff9767ef024f26246899728f0116b1ec3 que afecta a las versiones 2.7, 3.5, 3.6, 3.7 y de v3.8.0a4 a v3.8.0b1, el cual permite a un atacante explotar CVE-2019-9636 violando las partes usuario (user) y contraseña (password) de una URL. Cuando una aplicación analiza las URL proporcionadas por el usuario para almacenar cookies, credenciales de autenticación u otro tipo de información, es posible que un atacante proporcione URL especialmente creadas para que la aplicación ubique información relacionada con el host (por ejemplo, cookies, datos de autenticación) y envíe a un host diferente al que debería, a diferencia de si las URL se analizaron correctamente. El resultado de un ataque puede variar según la aplicación.
Vulnerabilidad en los cifrados DES y Triple DES en los protocolos TLS, SSH e IPSec y otros protocolos y productos (CVE-2016-2183)
Gravedad:
MediaMedia
Publication date: 31/08/2016
Last modified:
06/01/2021
Descripción:
Los cifrados DES y Triple DES, como se usan en los protocolos TLS, SSH e IPSec y otros protocolos y productos, tienen una cota de cumpleaños de aproximadamente cuatro mil millones de bloques, lo que facilita a atacantes remotos obtener datos de texto plano a través de un ataque de cumpleaños contra una sesión cifrada de larga duración, según lo demostrado por una sesión HTTPS usando Triple DES en modo CBC, también conocido como un ataque "Sweet32".