Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo app/View/GalaxyClusters/view.ctp en la vista de clúster galaxy en MISP (CVE-2021-25324)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
21/01/2021
Descripción:
MISP versión 2.4.136, presenta un XSS Almacenado en la vista del clúster galaxy por medio de un nombre de clúster en el archivo app/View/GalaxyClusters/view.ctp
Vulnerabilidad en el archivo app/View/GalaxyElements/ajax/index.ctp en valores de elementos de clúster galaxy en MISP (CVE-2021-25325)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
21/01/2021
Descripción:
MISP versión 2.4.136, presenta un XSS por medio de valores de elementos del clúster galaxy en el archivo app/View/GalaxyElements/ajax/index.ctp. Los tipos de referencia pueden contener unas URL javascript:
Vulnerabilidad en el botón favorito de la página de inicio del usuario app/View/Elements/global_menu.ctp en MISP (CVE-2021-3184)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
21/01/2021
Descripción:
MISP versión 2.4.136, presenta un XSS por medio de una URL diseñada para el botón favorito de la página de inicio del usuario app/View/Elements/global_menu.ctp
Vulnerabilidad en la interfaz de administración basada en web de Bosch PRAESIDEO y Bosch PRAESENSA (CVE-2020-6776)
Gravedad:
MediaMedia
Publication date: 14/01/2021
Last modified:
21/01/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Bosch PRAESIDEO versiones hasta 4.41 incluyéndola y Bosch PRAESENSA versiones hasta 1.10 incluyéndola, permite a un atacante no autenticado remoto desencadenar acciones en un sistema afectado en nombre de otro usuario (Cross-Site Request Forgery). Esto requiere que la víctima sea engañada para que haga clic en un enlace malicioso o envie un formulario malicioso. Una explotación con éxito permite al atacante llevar a cabo acciones arbitrarias con los privilegios de la víctima, por ejemplo, creando y modificando cuentas de usuario, cambiar los ajustes de configuración del sistema y causar condiciones de DoS. Nota: Para Bosch PRAESIDEO versión 4.31 y posteriores y Bosch PRAESENSA en todas las versiones, el impacto en la confidencialidad se considera bajo porque las credenciales de usuario no son mostradas en la interfaz web
Vulnerabilidad en un ZTE Smart STB (CVE-2021-21722)
Gravedad:
BajaBaja
Publication date: 14/01/2021
Last modified:
21/01/2021
Descripción:
Un ZTE Smart STB está afectado por una vulnerabilidad de filtrado de información. El dispositivo no verificó completamente el registro, por lo que los atacantes podrían usar esta vulnerabilidad para obtener información confidencial del usuario para mayor detección de información y ataques. Esto afecta a: ZXV10 B860A V2.1-T_V0032.1.1.04_jiangsuTelecom
Vulnerabilidad en la interfaz de administración basada en web del software Cisco DNA Center (CVE-2021-1130)
Gravedad:
BajaBaja
Publication date: 13/01/2021
Last modified:
21/01/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web del software Cisco DNA Center, podría permitir a un atacante autenticado remoto conducir un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. La vulnerabilidad se presenta porque la interfaz de administración basada en web no comprueba apropiadamente la entrada suministrada por el usuario. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario para cliquear un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador. Para explotar esta vulnerabilidad, un atacante debería tener credenciales administrativas en el dispositivo afectado.
Vulnerabilidad en una DLL en el servicio SECOMN en los módulos de componentes de software (APO) del modelo Sound Research DCHU (CVE-2020-35686)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
21/01/2021
Descripción:
El servicio SECOMN en los módulos de componentes de software (APO) del modelo Sound Research DCHU versiones hasta 2.0.9.17, entregado en computadoras HP con Windows 10, puede permitir una escalada de privilegios por medio de una DLL falsa. (Como resolución, se enviará Windows Update para que todos los productos afectados se actualicen a 2.0.9.18 o posterior).

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: