Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security) (CVE-2021-2013)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security). Las versiones compatibles que están afectadas son 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de HTTP comprometer a Oracle BI Publisher. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle BI Publisher, así como también una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle BI Publisher y capacidad no autorizada para causar una negación parcial servicio (DOS parcial) de Oracle BI Publisher. CVSS 3.1 Puntuación Base 7.6 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L)
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: BI Platform Security) (CVE-2021-2005)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: BI Platform Security). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle Business Intelligence Enterprise Edition, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Puntuación Base 4.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N)
Vulnerabilidad en el producto Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Web Dashboards) (CVE-2021-2003)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Web Dashboards). Las versiones compatibles que están afectadas son 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de HTTP comprometer a Business Intelligence Enterprise Edition. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Business Intelligence Enterprise Edition, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Business Intelligence Enterprise Edition, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Business Intelligence Enterprise Edition. CVSS 3.1 Puntuación Base 5.4 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el componente Unified Audit de Oracle Database Server (CVE-2021-2000)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el componente Unified Audit de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1, 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado que tenga privilegio de Cuenta SYS con acceso de red por medio de Oracle Net comprometer a Unified Audit. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Unified Audit. CVSS 3.1 Puntuación Base 2.4 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N)
Vulnerabilidad en el producto Oracle ZFS Storage Appliance Kit de Oracle Systems (componente: RAS subsystems) (CVE-2021-1999)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle ZFS Storage Appliance Kit de Oracle Systems (componente: RAS subsystems). La versión compatible que está afectada es la 8.8. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle ZFS Storage Appliance Kit comprometer a Oracle ZFS Storage Appliance Kit. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle ZFS Storage Appliance Kit, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles del Oracle ZFS Storage Appliance Kit. CVSS 3.1 Puntuación Base 5.0 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:N/I:H/A:N)
Vulnerabilidad en el producto Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications (componente: Report) (CVE-2021-1997)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications (componente: Report). La versión compatible que está afectada es 9.1.0. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de HTTP comprometer a Oracle Hospitality Reporting and Analytics. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Oracle Hospitality Reporting and Analytics, así como en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Hospitality Reporting and Analytics. CVSS 3.1 Puntuación Base 8.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services) (CVE-2021-1996)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services). Las versiones compatibles que están afectadas son 10.3.6.0.0 y 12.1.3.0.0. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 2.4 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services) (CVE-2021-1995)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services). Las versiones compatibles que están afectadas son 10.3.6.0.0 y 12.1.3.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)
Vulnerabilidad en IBM Security Guardium (CVE-2020-4921)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
IBM Security Guardium versiones 10.6 y 11.2, es vulnerable a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, lo que podría permitir al atacante visualizar, agregar, modificar o eliminar información en la base de datos del back-end.  IBM X-Force ID: 191398
Vulnerabilidad en IBM Security Guardium (CVE-2020-4688)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
IBM Security Guardium versiones 10.6 y 11.2, podrían permitir a un atacante local ejecutar comandos arbitrarios en el sistema como un usuario sin privilegios, causado por una vulnerabilidad de inyección de comandos. IBM X-Force ID: 186700
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services) (CVE-2021-1994)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services). Las versiones compatibles que están afectadas son 10.3.6.0.0 y 12.1.3.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 9.8 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en el componente Java VM de Oracle Database Server (CVE-2021-1993)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1, 18c y 19c. La vulnerabilidad difícil de explotar permite a un atacante poco privilegiado que tenga privilegio Create Session con acceso de red por medio de Oracle Net comprometer a Java VM. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Java VM. CVSS 3.1 Puntuación Base 4.8 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N)
Vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware (componente: Core Components) (CVE-2020-14756)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
Vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware (componente: Core Components). Las versiones compatibles que están afectadas son 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de IIOP, T3 comprometer a Oracle Coherence. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Coherence. CVSS 3.1 Puntuación Base 9.8 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en un documento SVG en la funcionalidad de carga de la sección de comentarios en XWiki (CVE-2021-3137)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
22/01/2021
Descripción:
XWiki versión 12.10.2, permite un ataque de tipo XSS por medio de un documento SVG en la funcionalidad de carga de la sección de comentarios
Vulnerabilidad en el archivo /controller.php en OpenEMR (CVE-2020-19364)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
OpenEMR versión 5.0.1, permite a un atacante autenticado cargar y ejecutar scripts PHP maliciosos por medio del archivo /controller.php
Vulnerabilidad en los directorios /libraries y /layout en Vtiger CRM (CVE-2020-19363)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
Vtiger CRM versión v7.2.0, permite a un atacante mostrar archivos ocultos, listar directorios al usar los directorios /libraries y /layout
Vulnerabilidad en el archivo vtigercrm/index.php? en el parámetro view en Vtiger CRM (CVE-2020-19362)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
Una vulnerabilidad de tipo XSS reflejado en Vtiger CRM versión v7.2.0, en el archivo vtigercrm/index.php? mediante el parámetro view puede resultar en que un atacante lleve a cabo acciones maliciosas para usuarios que abren un vínculo diseñado malicioso o una página web de terceros
Vulnerabilidad en el archivo CCAM.php en el parámetro mot1 en Medintux (CVE-2020-19361)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
Una vulnerabilidad de tipo XSS reflejado en el archivo CCAM.php de Medintux versión v2.16.000, al manipular el parámetro mot1 puede resultar en que un atacante lleve a cabo acciones maliciosas para usuarios que abren un enlace diseñado malicioso o una página web de terceros
Vulnerabilidad en el parámetro del archivo fhem/FileLog_logWrapper en FHEM (CVE-2020-19360)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
Una inclusión de archivos locales en FHEM versión 6.0, permite en el parámetro del archivo fhem/FileLog_logWrapper poder permitir a un atacante incluir un archivo, lo que puede conllevar a una divulgación de información confidencial
Vulnerabilidad en logcat en la aplicación My AIA SG (CVE-2020-29598)
Gravedad:
Sin asignarSin asignar
Publication date: 19/01/2021
Last modified:
05/02/2021
Descripción:
La aplicación My AIA SG versión 1.2.6, para Android permite a atacantes obtener credenciales de usuario por medio de logcat debido a un registro excesivo
Vulnerabilidad en Bluetooth Low Energy en el protocolo de comunicación de la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A en SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A (CVE-2020-27269)
Gravedad:
BajaBaja
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
En SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A, el protocolo de comunicación de la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A, carece de medidas de protección de reproducción, lo que permite a los atacantes no autenticados físicamente próximos poder reproducir secuencias de comunicación por medio de Bluetooth Low Energy
Vulnerabilidad en Bluetooth Low Energy en las comprobaciones para los PIN predeterminados en la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A en SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A (CVE-2020-27268)
Gravedad:
BajaBaja
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
En SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A, una vulnerabilidad de control del lado del cliente en la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A, permite a atacantes próximos físicamente omitir las comprobaciones para los PIN predeterminados por medio de Bluetooth Low Energy
Vulnerabilidad en Bluetooth Low Energy en la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A en SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A (CVE-2020-27266)
Gravedad:
BajaBaja
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
En SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A, una vulnerabilidad de control del lado del cliente en la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A, permite a atacantes físicamente próximos omitir las comprobaciones de autenticación del usuario por medio de Bluetooth Low Energy
Vulnerabilidad en el acceso al historial de conexiones en Apache Guacamole (CVE-2020-11997)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
Apache Guacamole versiones 1.2.0 y anteriores, no restringen constantemente el acceso al historial de conexiones según la visibilidad del usuario. Si múltiples usuarios comparten el acceso a la misma conexión, esos usuarios pueden ser capaz de visualizar qué otros usuarios han accedido a esa conexión, así como las direcciones IP desde las que se accedió a esa conexión, inclusive si esos usuarios no tienen permiso para visualizar otros usuarios
Vulnerabilidad en Bluetooth Low Energy en el protocolo de comunicación de la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A en SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A (CVE-2020-27258)
Gravedad:
BajaBaja
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
En SOOIL Developments Co., Ltd Diabecare RS, AnyDana-i y AnyDana-A, una vulnerabilidad de divulgación de información en el protocolo de comunicación de la bomba de insulina y sus aplicaciones móviles AnyDana-i y AnyDana-A permite a atacantes no autenticados extraer el bloqueo del teclado de la bomba. PIN por medio de Bluetooth Low Energy
Vulnerabilidad en el archivo admin/setting.php en el parámetro data [Password] en Pixelimity (CVE-2020-23522)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
09/02/2021
Descripción:
Pixelimity versión 1.0, presenta una vulnerabilidad de tipo cross-site request forgery por medio del parámetro data [Password] en el archivo admin/setting.php
Vulnerabilidad en el paquete gsap (CVE-2020-28478)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
Esto afecta al paquete gsap versiones anteriores a 3.6.0
Vulnerabilidad en el paquete immer (CVE-2020-28477)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
04/02/2021
Descripción:
Esto afecta a todas las versiones del paquete immer
Vulnerabilidad en un parámetro URL en el producto HGiga EIP (CVE-2021-22851)
Gravedad:
AltaAlta
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
El producto HGiga EIP, contiene vulnerabilidad de inyección SQL. Los atacantes pueden inyectar comandos SQL en un parámetro URL específico (página de administración de documentos) para obtener el esquema y los datos de la base de datos
Vulnerabilidad en el control de acceso en el producto HGiga EIP (CVE-2021-22850)
Gravedad:
AltaAlta
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
El producto HGiga EIP carece de un control de acceso ineficaz en determinadas páginas que permiten a atacantes acceder a la base de datos o llevar a cabo funciones privilegiadas
Vulnerabilidad en un parámetro URL en el producto HGiga EIP (CVE-2021-22852)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
El producto HGiga EIP, contiene vulnerabilidad de inyección SQL. Los atacantes pueden inyectar comandos SQL en un parámetro URL específico (registro en línea) para obtener el esquema y los datos de la base de datos
Vulnerabilidad en vectores no especificados en GROWI (CVE-2021-20619)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
22/01/2021
Descripción:
Una vulnerabilidad de tipo Cross-site scripting en GROWI (serie v4.2) versiones anteriores a v4.2.3, permite a atacantes remotos inyectar un script arbitrario por medio de vectores no especificados
Vulnerabilidad en la funcionalidad de carga del avatar en Atlassian Confluence Server y Data Center (CVE-2020-29450)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
22/01/2021
Descripción:
Las versiones afectadas de Atlassian Confluence Server y Data Center permiten a atacantes remotos afectar la disponibilidad de la aplicación por medio de una vulnerabilidad de Denegación de Servicio (DoS) en la funcionalidad de carga del avatar. Las versiones afectadas son anteriores a la versión 7.2.0
Vulnerabilidad en las páginas view.php y list.php en el plugin Source Integration para MantisBT (CVE-2020-36192)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
22/01/2021
Descripción:
Se detectó un problema en el plugin Source Integration versiones anteriores a 2.4.1 para MantisBT. Un atacante puede conseguir acceso al campo Summary de Problemas privados (ya sea marcados como privados o como parte de un proyecto privado), si están adjuntos a un Changeset existente. La información está visible en la página view.php, así como en la página list.php (una ventana emergente en el hipervínculo de identificación de problemas afectados). Además, si el atacante tiene "Update threshold" en la configuración del plugin (establecido en el nivel de acceso de "updater" por defecto), entonces puede vincular cualquier Problema a un Changeset al ingresar el ID del problema, inclusive si no tiene acceso a eso
Vulnerabilidad en Docker Desktop Community en macOS (CVE-2021-3162)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
21/01/2021
Descripción:
Docker Desktop Community versiones anteriores a 2.5.0.0 en macOS, maneja inapropiadamente una comprobación de certificados, conllevando a una escalada de privilegios local
Vulnerabilidad en una sesión de usuarios autenticados en J-Web de Juniper Networks Junos OS (CVE-2021-0210)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Una vulnerabilidad de exposición de la información en J-Web de Juniper Networks Junos OS permite a un atacante no autenticado elevar sus privilegios sobre el sistema objetivo mediante el uso oportunista de una sesión de usuarios autenticados. Este problema afecta a: Juniper Networks Junos OS versiones 12.3 anteriores a 12.3R12-S17; versiones 17.3 anteriores a 17.3R3-S10; versiones 17.4 anteriores a 17.4R2-S12, 17.4R3-S3; versiones 18.1 anteriores a 18.1R3-S11; versiones 18.2 anteriores a 18.2R3-S6; versiones 18.3 anteriores a 18.3R2-S4, 18.3R3-S4; versiones 18.4 anteriores a 18.4R2-S5, 18.4R3-S5; versiones 19.1 anteriores a 19.1R1-S6, 19.1R2-S2, 19.1R3-S3; versiones 19.2 anteriores a 19.2R1-S5, 19.2R3, 19.2R3-S1; versiones 19.3 anteriores a 19.3R2-S4, 19.3R3; versiones 19.4 anteriores a 19.4R1-S3, 19.4R2-S2, 19.4R3; versiones 20.1 anteriores a 20.1R1-S4, 20.1R2; versiones 20.2 anteriores a 20.2R1-S1, 20.2R2
Vulnerabilidad en un mensaje BGP FlowSpec en el servicio Routing Protocol Daemon (RPD) de Junos OS y Junos OS Evolved en Juniper Networks (CVE-2021-0211)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Una comprobación inapropiada de condiciones inusuales o excepcionales en Juniper Networks. El servicio Routing Protocol Daemon (RPD) de Junos OS y Junos OS Evolved permite a un atacante enviar un mensaje BGP FlowSpec válido, causando un cambio inesperado en los anuncios de ruta dentro del dominio BGP FlowSpec que conlleva a interrupciones en el tráfico de la red que causan una condición de Denegación de Servicio (DoS). La recepción continua de estos mensajes de actualización causará una condición sostenida de Denegación de Servicio. Este problema afecta a Juniper Networks: Junos OS: todas las versiones anteriores a 17.3R3-S10 con las excepciones de 15.1X49-D240 en la serie SRX y 15.1R7-S8 en la Serie EX; versiones 17.3 anteriores a 17.3R3-S10; versiones 17.4 anteriores a 17.4R2-S12, 17.4R3-S4; versiones 18.1 anteriores a 18.1R3-S12; versiones 18.2 anteriores a 18.2R2-S8, 18.2R3-S6; versiones 18.3 anteriores a 18.3R3-S4; versiones 18.4 anteriores a 18. 4R1-S8, 18.4R2-S6, 18.4R3-S6; versiones 19.1 anteriores a 19.1R1-S6, 19.1R2-S2, 19.1R3-S3; versiones 19.2 anteriores a 19.2R3-S1; versiones 19.3 anteriores a 19.3R2-S5, 19.3R3-S1; versiones 19.4 anteriores a 19.4R1-S3, 19.4R2-S3, 19.4R3; versiones 20.1 anteriores a 20.1R2; versiones 20.2 anteriores a 20.2R1-S3 20.2R2; versiones 20.3 anteriores a 20.3R1-S1, 20.3R2. Junos OS Evolved: todas las versiones anteriores a 20.3R1-S1-EVO, 20.3R2-EVO
Vulnerabilidad en las credenciales de administrador en Juniper Networks Contrail Networking (CVE-2021-0212)
Gravedad:
AltaAlta
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Una vulnerabilidad de Exposición de Información en Juniper Networks Contrail Networking, permite a un atacante autenticado localmente sea capaz de leer archivos para recuperar las credenciales de administrador almacenadas en texto plano, elevando así sus privilegios sobre el sistema. Este problema afecta: Juniper Networks Contrail Networking versiones anteriores a 1911.31
Vulnerabilidad en la CLI en el comando "request system license update" en el demonio de comprobación de licencias del Juniper Networks Junos OS (CVE-2021-0218)
Gravedad:
AltaAlta
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Una vulnerabilidad de inyección de comandos en el demonio de comprobación de licencias del Juniper Networks Junos OS, que puede permitir a un atacante autenticado localmente con pocos privilegios ejecutar comandos con privilegios root. license-check es un demonio que es usado para administrar licencias en Junos OS. Para actualizar las licencias, un usuario ejecuta el comando "request system license update" por medio de la CLI. Un atacante con acceso a este comando de la CLI puede explotar la vulnerabilidad. Este problema afecta a Juniper Networks Junos OS: versiones 17.3 anteriores a 17.3R3-S9; versiones 17.4 anteriores a 17.4R2-S12, 17.4R3-S3; versiones 18.1 anteriores a 18.1R3-S11; versiones 18.2 anteriores a 18.2R3-S6; versiones 18.3 anteriores a 18.3R3-S4; versiones 18.4 anteriores a 18.4R3-S6; versiones 19.1 anteriores a 19.1R1-S6, 19.1R2-S2, 19.1R3-S3; versiones 19.2 anteriores a 19.2R3-S1; versiones 19.3 anteriores a 19.3R2-S5, 19.3R3; versiones 19.4 anteriores a 19.4R2-S2, 19.4R3; versiones 20.1 anteriores a 20.1R1-S4, 20.1R2; versiones 20.2 anteriores a 20.2R1-S2, 20.2R2
Vulnerabilidad en la CLI en el comando "request system software add validate-on-host" en el subsistema de comprobación de paquetes de instalación del Juniper Networks Junos OS (CVE-2021-0219)
Gravedad:
AltaAlta
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Una vulnerabilidad de inyección de comandos en el subsistema de comprobación de paquetes de instalación del Juniper Networks Junos OS, que puede permitir a un atacante autenticado localmente privilegiado ejecutar comandos con privilegios root. Para comprobar un paquete en Junos antes de la instalación, un administrador ejecuta el comando "request system software add validate-on-host" por medio de la CLI. Un atacante con acceso a este comando de la CLI puede ser capaz de explotar esta vulnerabilidad. Este problema afecta a Juniper Networks Junos OS: todas las versiones anteriores a 17.3R3-S10; versiones 17.4 anteriores a 17.4R2-S12, 17.4R3-S3; versiones 18.1 anteriores a 18.1R3-S11; versiones 18.2 anteriores a 18.2R2-S8, 18.2R3-S6; versiones 18.3 anteriores a 18.3R3-S4; versiones 18.4 anteriores a 18.4R1-S8, 18.4R2-S7, 18.4R3-S6; versiones 19.1 anteriores a 19.1R1-S6, 19.1R2-S2, 19.1R3-S3; versiones 19.2 anteriores a 19.2R3-S1; versiones 19. 3 anteriores a 19.3R2-S5, 19.3R3-S1; versiones 19.4 anteriores a 19.4R2-S2, 19.4R3-S1; versiones 20.1 anteriores a 20.1R2; versiones 20.2 anteriores a 20.2R1-S2, 20.2R2; versiones 20.3 anteriores a 20.3R1-S1, 20.3R2
Vulnerabilidad en los parámetros de autenticación en GitLab Pages para GitLab (CVE-2021-22171)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Una comprobación insuficiente de los parámetros de autenticación en GitLab Pages para GitLab versiones 11.5+, permite a un atacante robar el token de la API de una víctima si hace clic en un enlace diseñado con fines maliciosos
Vulnerabilidad en una expresión regular en la API de NuGet en GitLab (CVE-2021-22168)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Se ha detectado un problema de denegación de servicio de una expresión regular en la API de NuGet afectando a todas las versiones de GitLab desde la versión 12.8
Vulnerabilidad en los encabezados en la página del proyecto en GitLab (CVE-2021-22167)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Se ha detectado un problema en GitLab afectando a todas las versiones desde la 12.1. Los encabezados incorrectos en la página del proyecto específico permiten a un atacante tener un acceso de lectura temporal al repositorio privado
Vulnerabilidad en el parámetro del cuerpo de una petición HTTP media_filter para la interfaz acp en flatCore (CVE-2021-23838)
Gravedad:
BajaBaja
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Se detectó un problema en flatCore versiones anteriores a 2.0.0 build 139. Se identificó una vulnerabilidad de tipo XSS reflejado en el parámetro del cuerpo de una petición HTTP media_filter para la interfaz acp. El parámetro afectado acepta scripts del lado del cliente malicioso sin un saneamiento de la entrada apropiado. Por ejemplo, un usuario malicioso puede aprovechar esta vulnerabilidad para robar cookies de un usuario víctima y llevar a cabo un ataque de secuestro de sesión, que luego puede conllevar a un acceso no autorizado al sitio
Vulnerabilidad en el parámetro del cuerpo una petición HTTP selected_folder para la interfaz acp en flatCore (CVE-2021-23837)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Se detectó un problema en flatCore versiones anteriores a 2.0.0 build 139. Se identificó una inyección SQL ciega basada en tiempo en el parámetro del cuerpo una petición HTTP selected_folder para la interfaz acp. Se encontró que el parámetro afectado (que recupera el contenido del archivo de la carpeta especificada) acepta la entrada de usuarios maliciosos sin un saneamiento apropiado, conllevando entonces a una inyección SQL. La información relacionada con la base de datos puede ser recuperada con éxito
Vulnerabilidad en el parámetro del cuerpo de una petición HTTP prefs_smtp_psw para la interfaz acp en flatCore (CVE-2021-23836)
Gravedad:
BajaBaja
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Se detectó un problema en flatCore versiones anteriores a 2.0.0 build 139. Se identificó una vulnerabilidad de tipo XSS almacenado en el parámetro del cuerpo de una petición HTTP prefs_smtp_psw para la interfaz acp. Un usuario administrador puede inyectar un script malicioso del lado del cliente en el parámetro afectado sin ningún tipo de saneamiento de la entrada. La carga útil inyectada será ejecutada en el navegador de un usuario cada vez que visite la página del módulo afectado
Vulnerabilidad en el parámetro del cuerpo de una petición HTTP docs_file body para la interfaz acp en flatCore (CVE-2021-23835)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
22/01/2021
Descripción:
Se detectó un problema en flatCore versiones anteriores a 2.0.0 compilación 139. Se identificó una vulnerabilidad de divulgación de archivos locales en el parámetro del cuerpo de una petición HTTP docs_file body para la interfaz acp. Esto puede ser explotado con derechos de acceso de administrador. Se encontró que el parámetro afectado (que recupera el contenido del archivo especificado) acepta la entrada de usuarios maliciosos sin un saneamiento apropiado, conllevando entonces a una recuperación de archivos confidenciales del servidor del backend, por ejemplo, /etc/passwd, archivos de la base de datos SQLite, código fuente PHP, etc
Vulnerabilidad en los adaptadores de protocolo AMQP y MQTT de Eclipse Hono (CVE-2020-27220)
Gravedad:
AltaAlta
Publication date: 14/01/2021
Last modified:
22/01/2021
Descripción:
Los adaptadores de protocolo AMQP y MQTT de Eclipse Hono no comprueban si un dispositivo gateway autenticado está autorizado para recibir mensajes de comando y control cuando se ha suscrito solo a comandos para un dispositivo específico. La falta de comprobación implica verificar que el dispositivo de destino del comando esté configurado dando permiso para que el dispositivo gateway actúe en su nombre. Esto significa que un dispositivo autenticado de un determinado inquilino, en particular también un dispositivo que no sea un gateway que actúa como un gateway, puede recibir mensajes de comando y control direccionados hacia un dispositivo diferente del mismo inquilino sin que sean comprobados los permisos correspondientes
Vulnerabilidad en una petición XCOPY en el archivo tcmur_cmd_handler.c en la función xcopy_locate_udev en Open-iSCSI tcmu-runner (CVE-2021-3139)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
22/01/2021
Descripción:
En Open-iSCSI tcmu-runner versiones 1.3.x, 1.4.x y versiones 1.5.x hasta 1.5.2, en la función xcopy_locate_udev en el archivo tcmur_cmd_handler.c carece de una comprobación de restricciones de la capa de transporte, permitiendo a atacantes remotos leer o escribir archivos por medio de un salto de directorio en una petición XCOPY. Por ejemplo, un ataque puede ocurrir en una red si el atacante presenta acceso a un iSCSI LUN. NOTA: en relación con CVE-2020-28374, este es un error similar en un algoritmo diferente.
Vulnerabilidad en el parámetro URL creds en el servidor Web en 1C: Enterprise (CVE-2021-3131)
Gravedad:
MediaMedia
Publication date: 13/01/2021
Last modified:
22/01/2021
Descripción:
El servidor Web en 1C: Enterprise versiones 8 anteriores a 8.3.17.1851, envía credenciales codificadas en base64 en el parámetro URL creds.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API) (CVE-2021-2007)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
17/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 5.6.47 y anteriores, 5.7.29 y anteriores y 8.0.19 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso de red por medio de múltiples protocolos comprometer a MySQL Client. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Client. CVSS 3.1 Puntuación Base 3.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2022)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.32 y anteriores y 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2021)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2020)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges) (CVE-2021-2019)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 2.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2016)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PAM Auth Plugin) (CVE-2021-2014)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PAM Auth Plugin). Las versiones compatibles que están afectadas son 5.7.32 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges) (CVE-2021-2012)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API) (CVE-2021-2011)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
18/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 5.7.32 y anteriores y 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso de red por medio de múltiples protocolos comprometer a MySQL Client. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Client. CVSS 3.1 Puntuación Base 5.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API) (CVE-2021-2010)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
17/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.32 y anteriores y 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Client. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Client y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Client. CVSS 3.1 Puntuación Base 4.2 (Impactos de Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles) (CVE-2021-2009)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2024)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API) (CVE-2021-2006)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Client. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Client. CVSS 3.1 Puntuación Base 5.3 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication) (CVE-2021-2002)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2001)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.30 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-1998)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
19/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Server y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Server. CVSS 3.1 Puntuación Base 3.8 (Impactos de Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Locking) (CVE-2021-2058)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Locking). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL) (CVE-2021-2122)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2088)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta MySQL Server comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2087)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta MySQL Server comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure) (CVE-2021-2081)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2076)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure) (CVE-2021-2072)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2070)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL) (CVE-2021-2061)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2060)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.32 y anteriores y 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2056)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2055)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2048)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server, así como en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 5.0 (Impactos de la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure) (CVE-2021-2046)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Aunque la vulnerabilidad se encuentra en MySQL Server, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.8 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2042)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta MySQL Server comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 2.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services) (CVE-2021-2038)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2036)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
02/03/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Information Schema) (CVE-2021-2032)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Information Schema). Las versiones compatibles que están afectadas son 5.7.32 y anteriores y 8.0.22 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 4.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2031)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2030)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2028)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS:(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
CVE-2021-20190
Gravedad:
AltaAlta
Publication date: 19/01/2021
Last modified:
05/05/2021
Descripción:
Se encontró un fallo en jackson-databind versiones anteriores a 2.9.10.7. FasterXML maneja inapropiadamente la interacción entre los gadgets de serialización y escritura. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en el archivo Tar.php en Archive_Tar (CVE-2020-36193)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
23/04/2021
Descripción:
El archivo Tar.php en Archive_Tar versiones hasta 1.4.11, permite operaciones de escritura con Salto de Directorio debido a una comprobación inadecuada de enlaces simbólicos, un problema relacionado al CVE-2020-28948
Vulnerabilidad en McAfee Agent (MA) para Windows (CVE-2020-7343)
Gravedad:
BajaBaja
Publication date: 18/01/2021
Last modified:
26/01/2021
Descripción:
Una vulnerabilidad de falta de Autorización en McAfee Agent (MA) para Windows versiones anteriores a 5.7.1, permite a usuarios locales bloquear las actualizaciones de productos de McAfee al manipular un directorio usado por MA para archivos temporales. El producto seguiría funcionando con archivos de detección desactualizados
Vulnerabilidad en los dispositivos de Juniper Networks Junos serie EX, Serie QFX y serie de la rama SRX (CVE-2021-0215)
Gravedad:
BajaBaja
Publication date: 15/01/2021
Last modified:
17/03/2021
Descripción:
En los dispositivos de Juniper Networks Junos serie EX, Serie QFX y serie de la rama SRX, ocurre un filtrado de memoria cada vez que la interfaz del puerto del autenticador 802.1X se interrumpe, lo que puede conllevar a que otros procesos, tales como el proceso pfex, responsable del reenvío de paquetes, se bloquee y reinicie. Un administrador puede usar el siguiente comando CLI para monitorear el estado del consumo de memoria: user@device> show task memory detail Consulte https://kb.juniper.net/KB31522 para obtener más detalles. Este problema afecta a Juniper Networks Junos OS: versiones 14.1X53 anteriores a 14.1X53-D54; versiones 15.1X49 anteriores a 15.1X49-D240; versiones 15.1X53 anteriores a 15.1X53-D593; versiones 16.1 anteriores a 16.1R7-S8; versiones17.2 anteriores a 17.2R3-S4; versiones 17.3 anteriores a 17.3R3-S8; versiones 17.4 anteriores a 17.4R2-S11, 17.4R3-S2; versiones 18.1 anteriores a 18.1R3-S10 ; versiones 18.2 anteriores a 18.2R2-S7, 18.2R3-S3; versiones 18.3 anteriores a 18.3R2-S4, 18.3R3-S2; versiones 18.4 anteriores a 18.4R1-S7, 18.4R2-S4, 18.4R3-S2; versiones 19.1 anteriores a 19.1R1-S5, 19.1R2-S2, 19.1R3; versiones 19.2 anteriores a 19.2R1-S5, 19.2R2; versiones 19.3 anteriores a 19.3R2-S3, 19.3R3; versiones 19.4 anteriores a 19.4R1-S2, 19.4R2. Este problema no afecta a Juniper Networks Junos OS versiones OS 12.3, 15.1
Vulnerabilidad en el procesamiento de determinados paquetes DHCP en un servidor de local/relay DHCP configurado en switches de la serie EX y QFX con Juniper Networks Junos OS (CVE-2021-0217)
Gravedad:
BajaBaja
Publication date: 15/01/2021
Last modified:
28/01/2021
Descripción:
Una vulnerabilidad en el procesamiento de determinados paquetes DHCP de clientes adyacentes en switches de la Serie EX y Serie QFX que ejecutan el Juniper Networks Junos OS con un servidor de local/relay DHCP configurado puede conllevar a un agotamiento de la memoria DMA causando una Denegación de Servicio (DoS). Con el tiempo, una explotación de esta vulnerabilidad puede causar que el tráfico deje de ser reenviado o bloquearse un proceso fxpc. Cuando la utilización de la pila de paquetes DMA alcanza el 99%, el sistema se volverá inestable. La utilización de la pila de paquetes DMA puede ser monitoreada mediante el siguiente comando: user@junos# request pfe execute target fpc0 timeout 30 command "show heap" ID Base Total(b) Free(b) Used(b) % Name -- ---------- ----------- ----------- ----------- --- ----------- 0 213301a8 536870488 387228840 149641648 27 Kernel 1 91800000 8388608 3735120 4653488 55 DMA 2 92000000 75497472 74452192 1045280 1 PKT DMA DESC 3 d330000 335544320 257091400 78452920 23 Bcm_sdk 4 96800000 184549376 2408 184546968 99 Packet DMA (--- 5 903fffe0 20971504 20971504 0 0 Blob. Se puede observar una indicación del problema mediante los siguientes mensajes de registro: Dec 10 08:07:00.124 2020 hostname fpc0 brcm_pkt_buf_alloc:523 (buf alloc) failed allocating packet buffer Dec 10 08:07:00.126 2020 hostname fpc0 (buf alloc) failed allocating packet buffer Dec 10 08:07:00.128 2020 hostname fpc0 brcm_pkt_buf_alloc:523 (buf alloc) failed allocating packet buffer Dec 10 08:07:00.130 2020 hostnameC fpc0 (buf alloc) failed allocating packet buffer . Este problema afecta a Juniper Networks Junos SO en la Serie EX y Serie QFX: versiones 17.4R3 anteriores a 17.4R3-S3; versiones 18.1R3 entre 18.1R3-S6 y 18.1R3-S11; versiones 18.2R3 anteriores a 18.2R3-S6; versiones 18.3R3 anteriores a 18.3R3-S4; versiones 18.4R2 anteriores a 18.4R2-S5; versiones 18.4R3 anteriores a 18.4R3-S6; versiones 19.1 entre 19.1R2 y 19.1R3-S3; versiones 19.2 versiones anteriores a 19.2R3-S1; versiones 19.3 anteriores a 19.3R2-S5, 19.3R3; versiones 19.4 anteriores a 19.4R2-S2, 19.4R3; versiones 20.1 anteriores a 20.1R2; versiones 20.2 anteriores a 20.2R1-S2, 20.2R2. Las versiones de Junos OS anteriores a 17.4R3 no están afectadas por esta vulnerabilidad
Vulnerabilidad en una cadena de certificados X.509 en la aplicación ssl en Erlang/OTP (CVE-2020-35733)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
31/03/2021
Descripción:
Se detectó un problema en Erlang/OTP versiones anteriores a 23.2.2. La aplicación ssl versión 10.2, acepta y confía en una cadena de certificados X.509 no válida para una Autoridad de Certificación root confiable
Vulnerabilidad en las aplicaciones en sandbox en el servicio "flatpak-portal" en Flatpak (CVE-2021-21261)
Gravedad:
AltaAlta
Publication date: 14/01/2021
Last modified:
27/01/2021
Descripción:
Flatpak es un sistema para crear, distribuir y ejecutar aplicaciones de escritorio en sandbox en Linux. Se detectó un fallo en el servicio "flatpak-portal" que puede permitir que las aplicaciones en sandbox ejecuten código arbitrario en el sistema host (un escape del sandbox). Este fallo de escape del sandbox está presente en las versiones 0.11.4 y anteriores a las versiones reparadas 1.8.5 y 1.10.0. El servicio D-Bus del portal Flatpak ("flatpak-portal", también conocido por su nombre de servicio D-Bus "org.freedesktop.portal.Flatpak") permite que las aplicaciones en un sandbox de Flatpak inicien sus propios subprocesos en una nueva instancia del sandbox, ya sea con la misma configuración de seguridad que la persona que llama o con una configuración de seguridad más restrictiva. Por ejemplo, esto se usa en navegadores web empaquetados con Flatpak, como Chromium, para iniciar subprocesos que procesarán contenido web no confiable. y dar a esos subprocesos un sandbox más restrictivo que el propio navegador. En versiones vulnerables, el servicio del portal Flatpak pasa las variables de entorno especificadas por la persona que llama hacia procesos que no están en el sandbox en el sistema host y, en particular, al comando "flatpak run" que se usa para iniciar la nueva instancia del sandbox. Una aplicación Flatpak maliciosa o comprometida podría establecer variables de entorno en las que confíe el comando "flatpak run" y usarlas para ejecutar código arbitrario que no se encuentra en un sandbox. Como solución alternativa, esta vulnerabilidad puede ser mitigada evitando que se inicie el servicio "flatpak-portal", pero esa mitigación impedirá que muchas aplicaciones de Flatpak funcionen correctamente. Esto se corrige en las versiones 1.8.5 y 1.10.0
Vulnerabilidad en protobuf (CVE-2015-5237)
Gravedad:
MediaMedia
Publication date: 25/09/2017
Last modified:
28/01/2021
Descripción:
protobuf permite que los usuarios autenticados remotos provoquen un desbordamiento de búfer basado en memoria dinámica (heap).