Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en registros del servidor, encabezado de referencia o historial del navegador en parámetros URL en IBM Security Guardium Data Encryption (GDE) (CVE-2019-4687)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
15/01/2021
Descripción:
IBM Security Guardium Data Encryption (GDE) versión 3.0.0.2, almacena información confidencial en parámetros URL. Esto puede conllevar a una divulgación de información si partes no autorizadas tienen acceso a las URL por medio de registros del servidor, encabezado de referencia o historial del navegador. IBM X-Force ID: 171823.
Vulnerabilidad en IBM Security Guardium Data Encryption (GDE) (CVE-2019-4702)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
15/01/2021
Descripción:
IBM Security Guardium Data Encryption (GDE) versión 3.0.0.2, especifica los permisos para un recurso crítico de seguridad de una manera que permite que ese recurso sea leído o modificado por actores no deseados.
Vulnerabilidad en la sesión de usuario en Combodo iTop (CVE-2020-15220)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
15/01/2021
Descripción:
Combodo iTop es una herramienta de Administración de Servicios de TI basada en web. En iTop versiones anteriores a 2.7.2 y 3.0.0, dos cookies son creadas para la misma sesión, lo que conlleva a la posibilidad de robar una sesión de usuario. Esto es corregido en las versiones 2.7.2 y 3.0.0.
Vulnerabilidad en en la ruta de navegación de la consola en Combodo iTop (CVE-2020-15221)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
15/01/2021
Descripción:
Combodo iTop es una herramienta de Administración de Servicios de TI basada en web. En iTop versiones anteriores a 2.7.2 y 3.0.0, al modificar el almacenamiento local del navegador de destino, una vulnerabilidad de tipo XSS puede ser generada en la ruta de navegación de la consola iTop. Esto es corregido en las versiones 2.7.2 y 3.0.0.
Vulnerabilidad en el parámetro sort en la función ToDoList en REDCap (CVE-2020-26712)
Gravedad:
AltaAlta
Publication date: 12/01/2021
Last modified:
15/01/2021
Descripción:
REDCap versión 10.3.4, contiene una vulnerabilidad de inyección SQL en la función ToDoList por medio del parámetro sort. La aplicación utiliza la adición de una cadena de información del usuario enviado que no está bien comprobada en la consulta de la base de datos, resultando en una vulnerabilidad de inyección SQL donde un atacante puede explotar y comprometer todas las bases de datos
Vulnerabilidad en control de acceso en los endpoints de API en CLA-Assistant (CVE-2021-21471)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
15/01/2021
Descripción:
En CLA-Assistant, versiones anteriores a 2.8.5, debido a un control de acceso inapropiado, un usuario autenticado podría acceder a endpoints de la API que no están destinados a ser usados por el usuario. Esto podría afectar la integridad de la aplicación
Vulnerabilidad en la comprobación de certificados en node-sass (CVE-2020-24025)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
15/01/2021
Descripción:
La comprobación de certificados en node-sass versiones 2.0.0 hasta 4.14.1, está deshabilitada al requerir binarios incluso si el usuario no está especificando una ruta de descarga alternativa

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la línea de comandos del histórico del crm en ClusterLabs crmsh (CVE-2020-35459)
Gravedad:
AltaAlta
Publication date: 12/01/2021
Last modified:
02/02/2021
Descripción:
Se detectó un problema en ClusterLabs crmsh versiones hasta 4.2.1. Los atacantes locales capaces de llamar a "crm history" (cuando se ejecuta "crm") fueron capaces de ejecutar comandos por medio de una inyección de código de shell en la línea de comandos del histórico del crm, potencialmente permitiendo una escalada de privilegios