Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

CVE-2020-16046
Gravedad:
MediaMedia
Publication date: 14/01/2021
Last modified:
19/01/2021
Descripción:
Una inyección de script en iOSWeb en Google Chrome en iOS versiones anteriores a 84.0.4147.105, permitía a un atacante remoto ejecutar código arbitrario por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Payments en Google Chrome en Android (CVE-2020-16045)
Gravedad:
MediaMedia
Publication date: 14/01/2021
Last modified:
19/01/2021
Descripción:
Un Uso de la Memoria Previamente Liberada en Payments en Google Chrome en Android versiones anteriores de 87.0.4280.66 permitía a un atacante remoto que había comprometido el proceso del renderizador llevar a cabo potencialmente un escape del sandbox por medio de una página HTML diseñada
Vulnerabilidad en la API de búsqueda asíncrona en Elasticsearch (CVE-2021-22132)
Gravedad:
BajaBaja
Publication date: 14/01/2021
Last modified:
22/02/2021
Descripción:
Elasticsearch versiones 7.7.0 hasta 7.10.1, contienen un fallo de divulgación de información en la API de búsqueda asíncrona. Los usuarios que ejecutan una búsqueda asíncrona almacenarán inapropiadamente los encabezados HTTP. Un usuario de Elasticsearch con la capacidad de leer el índice .tasks podría obtener encabezados de petición confidenciales de otros usuarios en el clúster. Este problema es corregido en Elasticsearch versión 7.10.2
Vulnerabilidad en la configuración de nginx en la ROM AX6 del enrutador Xiaomi (CVE-2020-14097)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
la configuración de nginx en la ROM AX6 del enrutador Xiaomi. (CVE-2020-14097) Una configuración de nginx incorrecta, causa que se descarguen rutas específicas sin autorización. Esto afecta la versión de la ROM AX6 del enrutador Xiaomi versiones anteriores a 1.0.18.
Vulnerabilidad en el inicio de sesión en el enrutador Xiaomi AX1800rom y enrutador Xiaomi RM1800 root (CVE-2020-14098)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
La comprobación de inicio de sesión puede ser omitida usando el problema de que la hora no se sincroniza después de que se reinicia el enrutador. Esto afecta al enrutador Xiaomi AX1800rom versiones anteriores a 1.0.336 y al enrutador Xiaomi RM1800 root versiones anteriores a 1.0.26
Vulnerabilidad en los datos SDK de la interfaz de administración web en el enrutador Xiaomi AX1800rom y enrutador Xiaomi RM1800 root (CVE-2020-14101)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
La compilación de datos SDK de la interfaz de administración web del enrutador causó el filtrado del token. Esto afecta al enrutador Xiaomi AX1800rom versiones anteriores a 1.0.336 y enrutador XiaomiRM1800 root versiones anteriores a 1.0.26
Vulnerabilidad en el enrutador Xiaomi AX1800rom y enrutador Xiaomi RM1800 root (CVE-2020-14102)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una inyección de comando cuando ddns procesa el nombre de host, lo que causa al usuario administrador alcanzar privilegio de root del enrutador. Esto afecta al enrutador Xiaomi AX1800rom versión anterior a 1.0.336 y el enrutador Xiaomi RM1800 root versiones anteriores a 1.0.26
Vulnerabilidad en un mensaje PIM en los productos Huawei CloudEngine (CVE-2020-1865)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites en los productos Huawei CloudEngine. El software lee los datos más allá del final del búfer previsto cuando se analiza determinado mensaje PIM, un atacante adyacente podría enviar mensajes PIM diseñados al dispositivo, una explotación con éxito podría causar una lectura fuera de límites cuando el sistema realiza la operación determinada
Vulnerabilidad en el análisis de mensajes DHCP en diversos equipo de Huawei (CVE-2020-1866)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites en varios productos. El software lee los datos más allá del final del búfer previsto cuando se analizan determinados mensajes DHCP diseñados. Una explotación con éxito podría causar un servicio anormal. versiones afectadas de productos incluyen: NIP6800 versiones V500R001C30, V500R001C30,V500R001C60; SPC500 versiones V500R005C00; S12700 versiones V200R008C00; S2700 versiones V200R008C00; S5700 versiones V200R008C00; S6700 versiones V200R008C00; S7700 versiones V200R008C00; S9700 versiones V200R008C00; Secospace USG6600 versiones V500R001C30; SPC200 versiones V500R001C30; SPC600 versiones V500R001C60; SPC500 versiones V500R005C00; USG9500 versiones V500R001C30; SPC200 versiones V500R001C30; SPC600 versiones V500R001C60; SPC500 versiones V500R005C00; USG9500 versiones V500R001C30; SPC300 versiones V500R001C30; SPC600 versiones V500R001C60 y SPC500 versiones V500R005C00
Vulnerabilidad en el producto SMC2.0 (CVE-2020-9209)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en el producto SMC2.0. Algunos archivos en un directorio de un módulo están ubicados inapropiadamente. No aplica la limitación de directorio. Unos atacantes pueden explotar esta vulnerabilidad al diseñar archivos maliciosos para iniciar una escalada de privilegios. Esto puede comprometer el servicio normal de los productos afectados
Vulnerabilidad en Adobe Illustrator (CVE-2021-21007)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Adobe Illustrator versiones 25.0 (y anteriores) está afectado por un elemento de ruta de búsqueda no controlada que podría resultar en una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Animate (CVE-2021-21008)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Adobe Animate versiones 21.0 (y anteriores) está afectado por un elemento de ruta de búsqueda no controlada que podría resultar en una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en InCopy para Windows (CVE-2021-21010)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
InCopy versiones 15.1.1 (y anteriores) para Windows está afectado por una vulnerabilidad de ruta de búsqueda no controlada que podría resultar en una ejecución de código arbitraria en el contexto del usuario actual. La explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Captivate 2019 (CVE-2021-21011)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Adobe Captivate 2019 versiones 11.5.1.499 (y anteriores) está afectado por una vulnerabilidad de elemento de ruta de búsqueda no controlada que podría conllevar a una escalada de privilegios. Un atacante con permisos para escribir en el sistema de archivos podría aprovechar esta vulnerabilidad para escalar los privilegios
Vulnerabilidad en Adobe Photoshop (CVE-2021-21006)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Adobe Photoshop versiones 22.1 (y anteriores) está afectado por una vulnerabilidad de desbordamiento del búfer de pila cuando se maneja un archivo de fuente especialmente diseñado. Una explotación con éxito podría conllevar a una ejecución de código arbitraria. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1181)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1180)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1179)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1178)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1177)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1176)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1175)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1174)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1173)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1172)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1171)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1170)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en en la interfaz de administración basada en la web de los routers Cisco Small Business (CVE-2021-1169)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en la web de los routers Cisco Small Business RV110W, RV130, RV130W y RV215W podrían permitir a un atacante autenticado y remoto ejecutar un código arbitrario o hacer que un dispositivo afectado se reinicie de forma inesperada. Las vulnerabilidades se deben a una validación inadecuada de los datos suministrados por el usuario en la interfaz de gestión basada en la web. Un atacante podría explotar estas vulnerabilidades enviando peticiones HTTP elaboradas a un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario raíz en el sistema operativo subyacente o hacer que el dispositivo se recargue, lo que resultaría en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que resuelvan estas vulnerabilidades
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1168)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1167)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1165)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1166)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1182)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1183)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1190)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1191)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1200)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1201)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1202)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1203)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1204)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1205)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1217)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en una política de archivos configurada para HTTP en el motor de detección de Snort en Múltiples productos de Cisco (CVE-2021-1223)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples productos de Cisco están afectados por una vulnerabilidad en el motor de detección de Snort que podría permitir a un atacante remoto no autenticado omita una política de archivos configurada para HTTP. La vulnerabilidad es debido al manejo incorrecto de un encabezado de rango HTTP. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes HTTP diseñados a través de un dispositivo afectado. Una explotación con éxito podría permitir al atacante omitir la política de archivos configurada para paquetes HTTP y entregar una carga útil maliciosa.
Vulnerabilidad en TCP Fast Open (TFO) usado en conjunto con el motor de detección Snort en Múltiples productos de Cisco (CVE-2021-1224)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples productos de Cisco están afectados por una vulnerabilidad con TCP Fast Open (TFO) cuando se usan en conjunto con el motor de detección Snort que podría permitir a un atacante remoto no autenticado omitir una política de archivos configurada para HTTP. La vulnerabilidad es debido a la detección incorrecta de la carga útil HTTP si está contenida al menos parcialmente dentro del protocolo de enlace de la conexión TFO. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes TFO diseñados con una carga útil HTTP a través de un dispositivo afectado. Una explotación con éxito podría permitir al atacante omitir la política de archivos configurada para paquetes HTTP y entregar una carga útil maliciosa.
Vulnerabilidad en el componente de registro de auditoría de Cisco (CVE-2021-1226)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Una vulnerabilidad en el componente de registro de auditoría de Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition, Cisco Unified Communications Manager IM & amp; Presence Service, Cisco Unity Connection, Cisco Emergency Responder y Cisco Prime License Manager, podría permitir a un atacante remoto autenticado visualizar información confidencial en texto sin cifrar en un sistema afectado. La vulnerabilidad es debido al almacenamiento de determinadas credenciales no cifradas. Un atacante podría explotar esta vulnerabilidad accediendo a los registros de auditoría en un sistema afectado y obteniendo credenciales a las que normalmente no tiene acceso. Una explotación con éxito podría permitir al atacante usar esas credenciales para detectar y administrar dispositivos de red.
Vulnerabilidad en el motor de detección de aplicaciones de Snort (CVE-2021-1236)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples productos de Cisco están afectados por una vulnerabilidad en el motor de detección de aplicaciones de Snort que podría permitir a un atacante remoto no autenticado omitir las políticas configuradas en un sistema afectado. La vulnerabilidad es debido a un fallo en el algoritmo de detección. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes diseñados que fluirían a través de un sistema afectado. Una explotación con éxito podría permitir al atacante omitir las políticas configuradas y entregar una carga útil maliciosa a la red protegida.
Vulnerabilidad en los componentes Network Access Manager y Web Security Agent de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-1237)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Una vulnerabilidad en los componentes Network Access Manager y Web Security Agent de Cisco AnyConnect Secure Mobility Client para Windows, podría permitir a un atacante local autenticado llevar a cabo un ataque de inyección de DLL. Para explotar esta vulnerabilidad, el atacante debería tener credenciales válidas en el sistema Windows. La vulnerabilidad es debido a una comprobación insuficiente de los recursos que son cargados por la aplicación en el tiempo de ejecución. Un atacante podría explotar esta vulnerabilidad insertando un archivo de configuración en una ruta específica en el sistema que, a su vez, causa que se cargue un archivo DLL malicioso cuando la aplicación se inicia. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en la máquina afectada con privilegios SYSTEM.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1164)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en la actualización en algunos teléfonos inteligentes Huawei (CVE-2020-9138)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de desbordamiento de búfer en la región heap de la memoria en algunos teléfonos inteligentes Huawei. Una explotación con éxito de esta vulnerabilidad puede causar excepciones en el proceso durante la actualización.
Vulnerabilidad en algunos teléfonos inteligentes Huawei (CVE-2020-9139)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de comprobación inapropiada de entrada en algunos teléfonos inteligentes de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar errores de acceso a la memoria y denegación de servicio.
Vulnerabilidad en el acceso al búfer con un valor de longitud en algunos teléfonos inteligentes Huawei (CVE-2020-9140)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad con el acceso al búfer con un valor de longitud incorrecto en algunos teléfonos inteligentes Huawei. Los usuarios no autorizados pueden activar la ejecución del código cuando se produce un desbordamiento del búfer.
Vulnerabilidad en algunos teléfonos inteligentes Huawei (CVE-2020-9141)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de administración de privilegios inapropiada en algunos teléfonos inteligentes Huawei. Una explotación con éxito de esta vulnerabilidad puede causar una divulgación de información y el funcionamiento inapropiado debido a una verificación insuficiente de la autenticidad de los datos.
Vulnerabilidad en el archivo de actualización en algunos teléfonos inteligentes Huawei (CVE-2020-9142)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de desbordamiento del búfer en la región heap de la memoria en algunos teléfonos inteligentes Huawei. Una explotación con éxito de esta vulnerabilidad puede causar un desbordamiento de la pila y una sobrescritura de la memoria cuando el sistema procesa incorrectamente el archivo de actualización.
Vulnerabilidad en algunos teléfonos inteligentes de Huawei (CVE-2020-9143)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de falta de autenticación en algunos teléfonos inteligentes de Huawei. Una explotación con éxito de esta vulnerabilidad puede conllevar a una exposición de información poco confidencial.
Vulnerabilidad en un mensaje de difusión en Huawei P30 (CVE-2020-9203)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de errores de administración de recursos en Huawei P30. Los atacantes locales construyen un mensaje de difusión para alguna aplicación, causando que esta aplicación envíe este mensaje de difusión y afecte la experiencia de uso del cliente.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1159)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1160)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1161)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1162)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W (CVE-2021-1163)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Enrutadores Cisco Small Business RV110W, RV130, RV130W, y RV215W, podrían permitir a un atacante autenticado remoto ejecutar código arbitrario o causar que un dispositivo afectado se reinicie inesperadamente. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente o causar que el dispositivo se recargue, resultando en una condición de denegación de servicio (DoS). Para explotar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado. Cisco no ha publicado actualizaciones de software que aborden estas vulnerabilidades.
Vulnerabilidad en la página Manage Plugins en la funcionalidad line-ending conversion en Nagios XI (CVE-2020-35578)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se detectó un problema en la página Manage Plugins en Nagios XI versiones anteriores a 5.8.0. Debido a que la funcionalidad line-ending conversion es manejada inapropiadamente durante la carga de un plugin, un usuario administrador autenticado y remoto puede ejecutar comandos del sistema operativo.
Vulnerabilidad en algunos teléfonos inteligentes Huawei (CVE-2020-9145)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites en algunos teléfonos inteligentes Huawei. Una explotación con éxito de esta vulnerabilidad puede causar un acceso fuera de límites a la memoria física.
Vulnerabilidad en algunos teléfonos inteligentes Huawei (CVE-2020-9144)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se presenta una vulnerabilidad de desbordamiento de pila en algunos teléfonos inteligentes Huawei, los atacantes pueden explotar esta vulnerabilidad para causar desbordamientos de la pila debido a una restricción inapropiada de operaciones dentro de los límites de un búfer de la memoria.
Vulnerabilidad en los archivos app/admin/controller/api/Update.php y app/wechat/controller/api/Push.php en ThinkAdmin (CVE-2020-23653)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Se detectó una vulnerabilidad no serializada no segura en ThinkAdmin versiones 4.x hasta 6.x en los archivos app/admin/controller/api/Update.php y app/wechat/controller/api/Push.php, que puede conllevar a una ejecución de código remota arbitraria
Vulnerabilidad en un nombre rama en git-big-picture (CVE-2021-3028)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
git-big-picture versiones anteriores a 1.0.0, maneja inapropiadamente los caracteres en un nombre de rama, conllevando a una ejecución de código.
Vulnerabilidad en el archivo global "config.xml" en Jenkins (CVE-2021-21605)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Jenkins versiones 2.274 y anteriores, LTS versiones 2.263.1 y anteriores, permite a usuarios con permiso Agent/Configure elegir nombres de agente que causa que Jenkins anule el archivo global "config.xml".
Vulnerabilidad en su archivo de configuración global en el controlador de Jenkins TraceTronic ECU-TEST Plugin (CVE-2021-21612)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Jenkins TraceTronic ECU-TEST Plugin versiones 2.23.1 y anteriores, almacenan unas credenciales sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde pueden visualizarlas por usuarios con acceso al sistema de archivos del controlador de Jenkins.
Vulnerabilidad en las respuestas del servicio TICS en Jenkins TICS Plugin (CVE-2021-21613)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Jenkins TICS Plugin versiones 2020.3.0.6 y anteriores, no escapan a unas respuestas del servicio TICS, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) explotable por atacantes capaces de controlar el contenido de respuesta del servicio TICS.
Vulnerabilidad en OWASP json-sanitizer (CVE-2021-23899)
Gravedad:
AltaAlta
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
OWASP json-sanitizer versiones anteriores a 1.2.2, puede emitir etiquetas SCRIPT de cierre y delimitadores de sección CDATA para una entrada diseñada. Esto permite a un atacante inyectar HTML o XML arbitrario en documentos insertados
Vulnerabilidad en OWASP json-sanitizer (CVE-2021-23900)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
OWASP json-sanitizer versiones anteriores a 1.2.2, puede generar JSON no válido o lanzar una excepción no declarada para una entrada diseñada. Esto puede conllevar a una denegación del servicio si la aplicación no está preparada para manejar estas situaciones.
Vulnerabilidad en archivo de configuración global en el controlador de Jenkins Bumblebee HP ALM Plugin (CVE-2021-21614)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
Jenkins Bumblebee HP ALM Plugin versiones 4.1.5 y anteriores, almacenan unas credenciales sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde pueden visualizarlas por usuarios con acceso al sistema de archivos del controlador de Jenkins.
Vulnerabilidad en una petición sin un campo _xsrf en el panel de administración en JupyterHub (CVE-2020-36191)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
19/01/2021
Descripción:
JupyterHub versión 1.1.0, permite un ataque de tipo CSRF en el panel de administración por medio de una petición que carece de un campo _xsrf, como es demostrado por una petición /hub/api/user (para agregar o eliminar una cuenta de usuario).
Vulnerabilidad en el atributo aria-label de mod_breadcrumbs en Joomla! (CVE-2021-23124)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Se detectó un problema en Joomla! versiones 3.9.0 hasta 3.9.23. Una falta de escape en el atributo aria-label de mod_breadcrumbs permite ataques XSS
Vulnerabilidad en el endpoint orderPosition de com_modules en Joomla! (CVE-2021-23123)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Se detectó un problema en Joomla! versiones 3.0.0 hasta 3.9.23. Una falta de comprobaciones de ACL en el endpoint orderPosition de com_modules filtran nombres de módulos no publicados y/o inaccesibles
Vulnerabilidad en Remote Procedure Call Runtime de Microsoft (CVE-2021-1666)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota en Remote Procedure Call Runtime. Este ID de CVE es diferente de CVE-2021-1658, CVE-2021-1660, CVE-2021-1664, CVE-2021-1667, CVE-2021-1671, CVE-2021-1673, CVE-2021-1700, CVE-2021-1701
Vulnerabilidad en Diagnostics Hub Standard Collector de Microsoft (CVE-2021-1651)
Gravedad:
AltaAlta
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios del recopilador estándar de Diagnostics Hub. Este ID de CVE es diferente de CVE-2021-1680
Vulnerabilidad en TPM Device Driver de Microsoft (CVE-2021-1656)
Gravedad:
BajaBaja
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una vulnerabilidad de Divulgación de Información del TPM Device Driver
Vulnerabilidad en Windows LUAFV de Microsoft (CVE-2021-1706)
Gravedad:
AltaAlta
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Windows LUAFV
Vulnerabilidad en Microsoft SharePoint Server (CVE-2021-1707)
Gravedad:
AltaAlta
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft SharePoint Server
Vulnerabilidad en Microsoft Office (CVE-2021-1711)
Gravedad:
AltaAlta
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft Office
Vulnerabilidad en Microsoft SharePoint Server (CVE-2021-1718)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Manipulación de Microsoft SharePoint Server
Vulnerabilidad en Microsoft SharePoint (CVE-2021-1719)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Microsoft SharePoint.. Este ID de CVE es diferente de CVE-2021-1712
Vulnerabilidad en Mubu (CVE-2021-3134)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Mubu versión 2.2.1, permite a los usuarios locales alcanzar privilegios para ejecutar comandos, también se conoce como CNVD-2020-68878
Vulnerabilidad en Microsoft Windows Media Foundation (CVE-2021-1710)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft Windows Media Foundation
Vulnerabilidad en la "Test Connection" en la consola de la aplicación Red Hat Single Sign On (CVE-2020-14341)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
La "Test Connection" disponible en la versión v7.x de la consola de la aplicación Red Hat Single Sign On puede permitir a un usuario autorizado causar conexiones SMTP que se intentarán con hosts y puertos arbitrarios para hosts y puertos arbitrarios que elija el usuario, y que se originen la instalación de RHSSO. Al observar las diferencias en los tiempos de estos análisis, un atacante puede obtener información sobre hosts y puertos a los que no tiene acceso para analizar directamente
Vulnerabilidad en el procesamiento cronometrado de texto cifrado PKCS#1 en la API de descifrado RSA en m2crypto (CVE-2020-25657)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
19/01/2021
Descripción:
Se encontró un fallo en todas las versiones publicadas de m2crypto, donde son vulnerables a ataques de sincronización de Bleichenbacher en la API de descifrado RSA por medio del procesamiento cronometrado de texto cifrado PKCS#1 versión v1.5 válido. La mayor amenaza de esta vulnerabilidad es la confidencialidad
Vulnerabilidad en la API de descifrado RSA en python-cryptography (CVE-2020-25659)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
19/01/2021
Descripción:
python-cryptography versión 3.2, es vulnerable a ataques de sincronización de Bleichenbacher en la API de descifrado RSA, por medio del procesamiento cronometrado de texto cifrado PKCS#1 v1.5 válido
Vulnerabilidad en la biblioteca lib/process-promises.js en la entrada principal del paquete ts-process-promises (CVE-2020-7784)
Gravedad:
AltaAlta
Publication date: 08/01/2021
Last modified:
19/01/2021
Descripción:
Esto afecta a todas las versiones del paquete ts-process-promises. El punto de inyección se encuentra en la línea 45 en la entrada principal del paquete en la biblioteca lib/process-promises.js. La vulnerabilidad se demuestra con la siguiente PoC:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en las versiones de Magento en el módulo de pago (CVE-2021-21012)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
11/02/2021
Descripción:
Las versiones de Magento 2.4.1 (y anteriores), 2.4.0-p1 (y anteriores) y 2.3.6 (y anteriores) son vulnerables a una vulnerabilidad de objeto directo inseguro (IDOR) en el módulo de pago. Una explotación exitosa podría llevar a la divulgación de información sensible
Vulnerabilidad en las versiones de Magento en el módulo API de cliente (CVE-2021-21013)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
11/02/2021
Descripción:
Las versiones de Magento 2.4.1 (y anteriores), 2.4.0-p1 (y anteriores) y 2.3.6 (y anteriores) son vulnerables a una vulnerabilidad de objeto directo inseguro (IDOR) en el módulo API de cliente. Una explotación exitosa podría conducir a la divulgación de información sensible
Vulnerabilidad en el Plugin jQuery Validation en jquery-validation (CVE-2021-21252)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
19/02/2021
Descripción:
El Plugin jQuery Validation proporciona una validación directa para sus formularios existentes. Es publicado como un paquete npm "jquery-validation". jquery-validation versiones anteriores a 1.19.3, contiene una o más expresiones regulares que son vulnerables a una ReDoS (Denegación de servicio de expresión regular). Esto es corregido en la versión 1.19.3.
Vulnerabilidad en las páginas de administración del backend en el plugin Elementor Contact Form DB (CVE-2021-3133)
Gravedad:
MediaMedia
Publication date: 12/01/2021
Last modified:
21/01/2021
Descripción:
El plugin Elementor Contact Form DB versiones anteriores a 1.6 para WordPress, permite un ataque de tipo CSRF por medio de las páginas de administración del backend
Vulnerabilidad en el archivo sudo_edit.c en la personalidad sudoedit de Sudo (CVE-2021-23239)
Gravedad:
BajaBaja
Publication date: 12/01/2021
Last modified:
10/02/2021
Descripción:
La personalidad sudoedit de Sudo versiones anteriores a 1.9.5, puede permitir a un usuario local poco privilegiado llevar a cabo pruebas arbitrarias de existencia de directorio al ganar una condición de carrera en el archivo sudo_edit.c al reemplazar un directorio controlado por el usuario por un enlace simbólico a una ruta arbitraria
Vulnerabilidad en una petición GET en los endpoints /login y /change en el paquete Python "Flask-Security-Too" (CVE-2021-21241)
Gravedad:
MediaMedia
Publication date: 11/01/2021
Last modified:
19/01/2021
Descripción:
El paquete Python "Flask-Security-Too" es usado para agregar funcionalidades de seguridad a su aplicación Flask. Es una versión mantenida independientemente de Flask-Security basada en la versión 3.0.0 de Flask-Security. En Flask-Security-Too desde la versión 3.3.0 y versiones anteriores a 3.4.5, los endpoints /login y /change pueden devolver el token de autenticación del usuario autenticado en respuesta a una petición GET. Dado que las peticiones GET no están protegidas con un token CSRF, esto podría conllevar a que un sitio de terceros malicioso adquiera el token de autenticación. La versión 3.4.5 y la versión 4.0.0 están parcheadas. Como solución temporal, si no está utilizando tokens de autenticación, puede establecer el SECURITY_TOKEN_MAX_AGE en "0" (segundos), lo que debería inutilizar el token
Vulnerabilidad en Fasterxml Jackson (CVE-2018-1000873)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
19/01/2021
Descripción:
Fasterxml Jackson, en versiones anteriores a la 2.9.8, contiene una vulnerabilidad CWE-20: validación de entradas incorrecta en Jackson-Modules-Java8 que puede resultar en una denegación de servicio (DoS). Este ataque parece ser explotable si la víctima deserializa entradas maliciosas, en concreto valores muy grandes, en el campo "nanoseconds" de un valor "time". La vulnerabilidad parece haber sido solucionada en la versión 2.9.8.
Vulnerabilidad en jackson-databind (CVE-2017-7525)
Gravedad:
AltaAlta
Publication date: 06/02/2018
Last modified:
25/02/2021
Descripción:
Se ha descubierto un error de deserialización en jackson-databind, en versiones anteriores a la 2.6.7.1, 2.7.9.1 y a la 2.8.9, que podría permitir que un usuario no autenticado ejecute código enviando las entradas maliciosamente manipuladas al método readValue de ObjectMapper.
Vulnerabilidad en FasterXML (CVE-2017-17485)
Gravedad:
AltaAlta
Publication date: 10/01/2018
Last modified:
19/01/2021
Descripción:
FasterXML jackson-databind hasta la versión 2.8.10 y 2.9.x hasta la 2.9.3 permite que se ejecute código de manera remota y no autenticada debido a una solución incompleta de la vulnerabilidad de deserialización CVE-2017-7525. Esto es explotable enviando una entrada JSON manipulada maliciosamente al método readValue de ObjectMapper, omitiendo una lista negra que no es efectiva si las librerías Spring están disponibles en el classpath.
Vulnerabilidad en la implementación ASN1_TFLG_COMBINE en crypto/asn1/tasn_dec.c en OpenSSL (CVE-2015-3195)
Gravedad:
MediaMedia
Publication date: 06/12/2015
Last modified:
19/01/2021
Descripción:
La implementación ASN1_TFLG_COMBINE en crypto/asn1/tasn_dec.c en OpenSSL en versiones anteriores a 0.9.8zh, 1.0.0 en versiones anteriores a 1.0.0t, 1.0.1 en versiones anteriores a 1.0.1q y 1.0.2 en versiones anteriores a 1.0.2e no maneja correctamente los errores provocados por datos X509_ATTRIBUTE malformados, lo que permite a atacantes remotos obtener información sensible de memoria de proceso desencadenando un fallo de decodificación en una aplicación PKCS#7 o CMS.
Vulnerabilidad en pixman_fill_sse2 en pixman-sse2.c (CVE-2013-0800)
Gravedad:
MediaMedia
Publication date: 03/04/2013
Last modified:
19/01/2021
Descripción:
Error de signo de entero en la función pixman_fill_sse2 en pixman-sse2.c en Pixman, distribuido con Cairo y utiliza Mozilla Firefox antes de v20.0, Firefox ESR v17.x antes v17.0.5, Thunderbird antes de v17.0.5, Thunderbird ESR v17.x antes v17.0.5, SeaMonkey antes de v2.17, y otros productos, permite a atacantes remotos ejecutar código arbitrario a través de los valores manipulados que desencadenan intento de uso de un límite de caja (1) negativo o (2) tamaño de caja negativo, lo que lleva a una operación de escritura fuera de rango.