Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo PermissionManagerService.java en la función updatePermissionSourcePackage en Android (CVE-2021-0307)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función updatePermissionSourcePackage del archivo PermissionManagerService.java, se presenta una posible concesión automática de permisos en el tiempo de ejecución debido a un confused deputy. Esto podría conllevar a una escalada de privilegios local permitiendo a una aplicación maliciosa conseguir acceso silenciosamente a un permiso peligroso sin ser necesario privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-10, Android-11; ID de Android: A-155648771
Vulnerabilidad en el archivo SlicePermissionActivity.java en la función onCreate en Android (CVE-2021-0322)
Gravedad:
BajaBaja
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función onCreate del archivo SlicePermissionActivity.java, se presenta una posible cadena engañosa que se muestra debido a una comprobación inapropiada de la entrada. Esto podría conllevar a una divulgación de información local con privilegios de ejecución User necesarios. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-10, Android-11, Android-9; ID de Android: A-159145361
Vulnerabilidad en el archivo ActivityManagerService.java en la función enforceDumpPermissionForPackage en Android (CVE-2021-0321)
Gravedad:
BajaBaja
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función enforceDumpPermissionForPackage del archivo ActivityManagerService.java, existe una posible manera de determinar si un paquete se instaló debido a una divulgación de información del canal lateral. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-11; ID de Android: A-166667403
Vulnerabilidad en el archivo keystore_keymaster_enforcement.h en las funciones is_device_locked y set_device_locked en Android (CVE-2021-0320)
Gravedad:
BajaBaja
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En las funciones is_device_locked y set_device_locked del archivo keystore_keymaster_enforcement.h, se presenta una posible omisión de los requisitos de la pantalla de bloqueo para las claves vinculadas al keyguard debido a una condición de carrera. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-10, Android-11; ID de Android: A-169933423
Vulnerabilidad en el archivo CompanionDeviceManagerService.java en la función checkCallerIsSystemOr en un dispositivo Bluetooth en Android (CVE-2021-0319)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función checkCallerIsSystemOr del archivo CompanionDeviceManagerService.java, existe una posible manera de obtener la dirección MAC de un dispositivo Bluetooth cercano sin los permisos apropiados debido a una omisión de permisos. Esto podría conllevar a una escalada de privilegios local que otorgue acceso a direcciones MAC cercanas, con privilegios de ejecución User necesarios. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-8.0, Android-8.1, Android-9, Android-10, Android-11; ID de Android: A-167244818
Vulnerabilidad en el archivo SensorEventConnection.cpp en la función appendEventsToCacheLocked en Android (CVE-2021-0318)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función appendEventsToCacheLocked del archivo SensorEventConnection.cpp, se presenta una posible escritura fuera de límites debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-9, Android-8.1, Android-10, Android-11; ID de Android: A-168211968
Vulnerabilidad en el archivo Permission.java en la función createOrUpdate en Android (CVE-2021-0317)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función createOrUpdate del archivo Permission.java y el código relacionado, se presenta una posible escalada de permisos debido a un error lógico. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-10, Android-11, Android-8.0, Android-8.1, Android-9; ID de Android: A-168319670
Vulnerabilidad en el archivo avrc_pars_tg.cc en la función avrc_pars_vendor_cmd en Android (CVE-2021-0316)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función avrc_pars_vendor_cmd del archivo avrc_pars_tg.cc, se presenta una posible escritura fuera de límites debido a que falta una comprobación de límites. Esto podría conllevar a una ejecución de código remota a través de Bluetooth sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-11, Android-8.0, Android-8.1, Android-9, Android-10; ID de Android: A-168802990
Vulnerabilidad en el archivo GrantCredentialsPermissionActivity.java en la función onCreate en Android (CVE-2021-0315)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función onCreate del archivo GrantCredentialsPermissionActivity.java, existe una posible manera de convencer al usuario de que otorgue acceso de aplicación a una cuenta debido a un ataque de tapjacking/overlay. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución User necesarios. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-8.1, Android-9, Android-10, Android-11, Android-8.0; ID de Android: A-169763814
Vulnerabilidad en el archivo LayoutUtils.cpp en la función isWordBreakAfter en Android (CVE-2021-0313)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función isWordBreakAfter del archivo LayoutUtils.cpp, existe una posible manera de ralentizar o bloquear un TextView debido a una comprobación inapropiada de la entrada. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-9, Android-10, Android-11, Android-8.0, Android-8.1; ID de Android: A-170968514
Vulnerabilidad en el archivo WAVExtractor.cpp en la función WAVSource::read en Android (CVE-2021-0312)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función WAVSource::read del archivo WAVExtractor.cpp, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-8.1, Android-9, Android-10, Android-11, Android-8.0; ID de Android: A-170583712
Vulnerabilidad en el archivo ESQueue.cpp en la función ElementaryStreamQueue::dequeueAccessUnitH264() en Android (CVE-2021-0311)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función ElementaryStreamQueue::dequeueAccessUnitH264() del archivo ESQueue.cpp, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-9, Android-10, Android-11, Android-8.0, Android-8.1; ID de Android: A-170240631
Vulnerabilidad en el archivo LazyServiceRegistrar.cpp en la función LazyServiceRegistrar en Android (CVE-2021-0310)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función LazyServiceRegistrar del archivo LazyServiceRegistrar.cpp, se presenta una posible corrupción de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-11; ID de Android: A-170212632
Vulnerabilidad en el archivo grantCredentialsPermissionActivity en la función onCreate en Android (CVE-2021-0309)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función onCreate del archivo grantCredentialsPermissionActivity, se presenta un confused deputy. Esto podría conllevar a una divulgación de información local y al acceso a la cuenta sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-8.1, Android-9, Android-10, Android-11, Android-8.0; ID de Android: A-158480899
Vulnerabilidad en el archivo basicmbr.cc en la función ReadLogicalParts en Android (CVE-2021-0308)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función ReadLogicalParts del archivo basicmbr.cc, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-8.1, Android-9, Android-10, Android-11, Android-8.0; ID de Android: A-158063095
Vulnerabilidad en el archivo PermissionManagerService.java en la función addAllPermissions en Android (CVE-2021-0306)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función addAllPermissions del archivo PermissionManagerService.java, se presenta una posible omisión de permisos al actualizar las principales versiones de Android, lo que permite que una aplicación obtenga el permiso android.permission.ACTIVITY_RECOGNITION sin la confirmación del usuario. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-11, Android-8.0, Android-8.1, Android-9, Android-10; Android ID: A-154505240
Vulnerabilidad en el archivo GlobalScreenshot.java en varias funciones en Android (CVE-2021-0304)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En varias funciones del archivo GlobalScreenshot.java, se presenta una posible omisión de permisos debido a un PendingIntent no seguro. Esto podría conllevar a una divulgación de información local de los contactos del usuario con privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-10, Android-8.0, Android-8.1, Android-9; ID de Android: A-162738636
Vulnerabilidad en el archivo packages/services/Car/computepipe/runner/graph/StreamSetObserver.cpp en la función dispatchGraphTerminationMessage() en Android (CVE-2021-0303)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función dispatchGraphTerminationMessage() del archivo packages/services/Car/computepipe/runner/graph/StreamSetObserver.cpp, se presenta un posible uso de la memoria previamente liberada debido a una condición de carrera. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-11; ID de Android: A-170407229
Vulnerabilidad en el archivo tun.c en la función un_get_user en Android (CVE-2021-0342)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función tun_get_user del archivo tun.c, se presenta una posible corrupción de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: kernel de Android; ID de Android: A-146554327
Vulnerabilidad en el archivo AuthenticationClient.java en la función onAuthenticated en Android (CVE-2020-27059)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
En la función onAuthenticated del archivo AuthenticationClient.java, se presenta un posible ataque de tipo tapjacking al requerir la huella digital del usuario debido a una ventana superpuesta. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android; Versiones: Android-8.0, Android-8.1, Android-9, Android-10, 11; ID de Android: A-159249069
Vulnerabilidad en el archivo K7TSMngr.exe en K7Computing Pvt Ltd K7AntiVirus Premium (CVE-2018-9333)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
K7Computing Pvt Ltd K7AntiVirus Premium versión 15.1.0.53, está afectado por: un Desbordamiento de Búfer. El impacto es: ejecutar código arbitrario (local). El componente es: el archivo K7TSMngr.exe
Vulnerabilidad en K7Computing Pvt Ltd K7AntiVirus Premium (CVE-2018-9332)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
K7Computing Pvt Ltd K7AntiVirus Premium versión 15.01.00.53, está afectado por: un Control de Acceso Incorrecto. El impacto es: alcanzar privilegios (local)
Vulnerabilidad en el archivo K7TSMngr.exe en K7Computing Pvt Ltd K7Antivirus Premium (CVE-2018-8726)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
K7Computing Pvt Ltd K7Antivirus Premium versión 15.1.0.53, está afectado por: Desbordamiento de Búfer. El impacto es: ejecutar código arbitrario (local). El componente es: Archivo K7TSMngr.exe
Vulnerabilidad en el archivo K7TSMngr.exe en K7Computing Pvt Ltd K7AntiVirus Premium (CVE-2018-8725)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
K7Computing Pvt Ltd K7AntiVirus Premium versión 15.01.00.53, está afectado por: un Desbordamiento del Búfer. El impacto es: ejecutar código arbitrario (local). El componente es: el archivo K7TSMngr.exe
Vulnerabilidad en el archivo K7TSMngr.exe en K7Computing Pvt Ltd K7AntiVirus Premium (CVE-2018-8724)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
K7Computing Pvt Ltd K7AntiVirus Premium versión 15.1.0.53, está afectado por: un Control de acceso incorrecto. El impacto es: alcanzar privilegios (local). El componente es: el archivo K7TSMngr.exe
Vulnerabilidad en la biblioteca K7Sentry.sys en K7Computing Pvt Ltd K7Antivirus Premium (CVE-2018-8044)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
K7Computing Pvt Ltd K7Antivirus Premium versión 15.1.0.53, está afectado por: un Control de acceso incorrecto. El impacto es: una Ejecución de Procesos Locales (local). El componente es: la biblioteca K7Sentry.sys
Vulnerabilidad en K7TSMngr.exe en K7Computing K7AntiVirus Premium (CVE-2018-11246)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
K7TSMngr.exe en K7Computing K7AntiVirus Premium versión 15.1.0.53, presenta una fuga de la memoria
Vulnerabilidad en un enlace en al archivo cConn.jsp en el parámetro ur en Web Compliance Manager en Quest Policy Authority (CVE-2020-35206)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
13/01/2021
Descripción:
** NO COMPATIBLE CUANDO SE ASIGNÓ ** Una vulnerabilidad de tipo XSS reflejado en Web Compliance Manager en Quest Policy Authority versión 8.1.2.200, permite a atacantes inyectar código malicioso en el navegador por medio de un enlace especialmente diseñado en el archivo cConn.jsp por medio del parámetro ur. NOTA: Esta vulnerabilidad solo afecta a los productos que no son compatibles con el mantenedor
Vulnerabilidad en un archivo .mkv en la función EbmlTypeDispatcher::send en VideoLAN VLC media player (CVE-2020-26664)
Gravedad:
MediaMedia
Publication date: 08/01/2021
Last modified:
13/01/2021
Descripción:
Una vulnerabilidad en la función EbmlTypeDispatcher::send en VideoLAN VLC media player versión 3.0.11, permite a atacantes desencadenar un desbordamiento del búfer en la región heap de la memoria por medio de un archivo .mkv diseñado
Vulnerabilidad en la aplicación One Touch en un URI /tmp/var/passwd o /tmp/home/wan_stat en los dispositivos D-Link DSL-2888A (CVE-2020-24577)
Gravedad:
MediaMedia
Publication date: 08/01/2021
Last modified:
13/01/2021
Descripción:
Se detectó un problema en los dispositivos D-Link DSL-2888A con versiones de firmware anteriores a AU_2.31_V1.1.47ae55. La aplicación One Touch revela información confidencial, tal y como la contraseña de inicio de sesión de administrador en el hash y el nombre de usuario de la conexión del proveedor de Internet y la contraseña en texto sin cifrar, en el cuerpo de respuesta de la aplicación para un URI /tmp/var/passwd o /tmp/home/wan_stat

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: