Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Microsoft SharePoint (CVE-2021-1641)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
14/01/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Microsoft SharePoint. Este ID de CVE es diferente de CVE-2021-1717
Vulnerabilidad en Windows AppX Deployment Extensions de Microsoft (CVE-2021-1642)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
04/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Windows AppX Deployment Extensions. Este ID de CVE es diferente de CVE-2021-1685
Vulnerabilidad en el Add-on TIBCO EBX para Oracle Hyperion EPM, el Add-on TIBCO EBX Data Exchange y los componentes del Add-on TIBCO EBX Insight (CVE-2020-27148)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
14/01/2021
Descripción:
El Add-on TIBCO EBX para Oracle Hyperion EPM, el Add-on TIBCO EBX Data Exchange y los componentes del Add-on TIBCO EBX Insight de los complementos TIBCO EBX de TIBCO Software Inc. contienen una vulnerabilidad que teóricamente permite a un atacante poco privilegiado con acceso a la red para ejecutar un ataque de Entidad Externa XML (XXE). Las versiones afectadas son TIBCO EBX Add-on de TIBCO Software Inc.: versiones 4.4.2 y por debajo
Vulnerabilidad en QTS y QuTS hero de QNAP (CVE-2020-2508)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
14/01/2021
Descripción:
Se ha reportado una vulnerabilidad de inyección de comandos afecta a QTS y QuTS hero. Si se explota, esta vulnerabilidad permite a atacantes ejecutar comandos arbitrarios en una aplicación comprometida. QNAP ya ha corregido esta vulnerabilidad en las siguientes versiones: QTS 4.5.1.1456 build 20201015 (y posterior) QuTS hero h4.5.1.1472 build 20201031 (y posterior)
Vulnerabilidad en la API de Google Web Toolkit (GWT) en la clase UpdateMemento en SmartBear Collaborator Server (CVE-2020-26118)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
21/07/2021
Descripción:
En SmartBear Collaborator Server versiones hasta 13.3.13302, el uso de la API de Google Web Toolkit (GWT) introduce una vulnerabilidad de deserialización de Java post-autenticación. La clase UpdateMemento de la aplicación acepta un objeto Java serializado directamente del usuario sin sanear apropiadamente. Se puede enviar un objeto malicioso al servidor por medio de un atacante autenticado para ejecutar comandos en el sistema subyacente
Vulnerabilidad en el formulario de inicio de sesión y el formulario de contraseña olvidada en EVOLUCARE ECSIMAGING (CVE-2021-3118)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
14/01/2021
Descripción:
** NO COMPATIBLE CUANDO SE ASIGNÓ ** EVOLUCARE ECSIMAGING (también se conoce como ECS Imaging) versiones hasta 6.21.5, presenta múltiples problemas de inyección SQL en el formulario de inicio de sesión y el formulario de contraseña olvidada (tal y como /req_password_user.php?email=). Esto permite a un atacante robar datos en la base de datos y conseguir acceso a la aplicación. (El componente de la base de datos se ejecuta como root). NOTA: Esta vulnerabilidad solo afecta a los productos que no son compatibles con el mantenedor
Vulnerabilidad en la capa del modo kernel (nvidia.ko) en NVIDIA GPU Display Driver para Linux (CVE-2021-1056)
Gravedad:
BajaBaja
Publication date: 07/01/2021
Last modified:
14/01/2021
Descripción:
NVIDIA GPU Display Driver para Linux, todas las versiones, contiene una vulnerabilidad en la capa del modo kernel (nvidia.ko) en la que no respeta completamente los permisos del sistema de archivos del sistema operativo para proporcionar aislamiento a nivel de dispositivo de GPU, lo que puede conllevar a una denegación de servicio o divulgación de información

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la función selinux_edit_copy_tfiles en sudoedit en el soporte de SELinux RBAC en Sudo (CVE-2021-23240)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
13/09/2021
Descripción:
En la función selinux_edit_copy_tfiles en sudoedit en Sudo versiones anteriores a la 1.9.5, permite a un usuario local poco privilegiado obtener una propiedad del archivo y escalar unos privilegios reemplazando un archivo temporal con un enlace simbólico para un archivo objetivo arbitrario. Esto afecta el soporte de SELinux RBAC en modo permisivo. Las máquinas sin SELinux no son vulnerables
Vulnerabilidad en el archivo plugin/unmarshal/unmarshal.go en GoGo Protobuf (CVE-2021-3121)
Gravedad:
AltaAlta
Publication date: 11/01/2021
Last modified:
18/10/2021
Descripción:
Se detectó un problema en GoGo Protobuf versiones anteriores a 1.3.2. El archivo plugin/unmarshal/unmarshal.go carece de determinada comprobación de índice, también se conoce como el problema "skippy peanut butter"
Vulnerabilidad en el código de análisis de from_slice en la crate multihash para Rust (CVE-2020-35909)
Gravedad:
AltaAlta
Publication date: 31/12/2020
Last modified:
14/01/2021
Descripción:
Se detectó un problema en la crate multihash versiones anteriores a 0.11.3 para Rust. El código de análisis de from_slice puede entrar en pánico por medio de datos no saneados de un servidor de red.