Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en unas peticiones index.php?m=activity en la biblioteca lib/DataGrid.php en el parámetro parametersactivity:ActivityDataGrid en OpenCATS (CVE-2021-25294)
Gravedad:
AltaAlta
Publication date: 18/01/2021
Last modified:
26/01/2021
Descripción:
OpenCATS versiones hasta 0.9.5-3, deserializa de manera no segura unas peticiones index.php?m=activity, conllevando a una ejecución de código remota. Esto ocurre porque la biblioteca lib/DataGrid.php llama sin serializar para el parámetro parametersactivity:ActivityDataGrid. La cadena de explotación de la inyección de objetos PHP puede explotar un método mágico __destruct en guzzlehttp
Vulnerabilidad en OpenCATS (CVE-2021-25295)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
26/01/2021
Descripción:
OpenCATS versiones hasta 0.9.5-3, presenta múltiples problemas de tipo Cross-site Scripting (XSS)
Vulnerabilidad en el parámetro GET en directorios /icons/ en el Portal de Inicio de Sesión en TOTOLINK-A702R- (CVE-2020-27368)
Gravedad:
BajaBaja
Publication date: 14/01/2021
Last modified:
26/01/2021
Descripción:
Una Indexación de Directorios en el Portal de Inicio de Sesión del Portal de Inicio de Sesión de TOTOLINK-A702R- versión V1.0.0-B20161227.1023, permite a un atacante acceder a directorios /icons/ por medio del parámetro GET

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la clase GetEuaLogDownloadAction en NEC ESMPRO Manager (CVE-2020-27859)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
26/01/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de NEC ESMPRO Manager versión 6.42. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro de la clase GetEuaLogDownloadAction. El problema resulta de una falta de comprobación apropiada de una ruta suministrada por el usuario antes de usarla en operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto de SYSTEM. Fue ZDI-CAN-9607
Vulnerabilidad en McAfee Agent (MA) para Windows (CVE-2020-7343)
Gravedad:
BajaBaja
Publication date: 18/01/2021
Last modified:
26/01/2021
Descripción:
Una vulnerabilidad de falta de Autorización en McAfee Agent (MA) para Windows versiones anteriores a 5.7.1, permite a usuarios locales bloquear las actualizaciones de productos de McAfee al manipular un directorio usado por MA para archivos temporales. El producto seguiría funcionando con archivos de detección desactualizados
Vulnerabilidad en los archivos DGN en Open Design Alliance Drawings SDK (CVE-2021-25173)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
24/02/2021
Descripción:
Se detectó un problema en Open Design Alliance Drawings SDK versiones anteriores a 2021.12. Se presenta una vulnerabilidad de asignación de la memoria con un tamaño excesivo al leer archivos DGN malformados, lo que permite a los atacantes causar un bloqueo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Vulnerabilidad en unas conexiones XPC en el demonio de inicio de Malwarebytes en macOS (CVE-2020-25533)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
26/01/2021
Descripción:
Se detectó un problema en Malwarebytes versiones anteriores a 4.0 en macOS. Una aplicación maliciosa pudo llevar a cabo una acción privilegiada dentro del demonio de inicio de Malwarebytes. El servicio privilegiado comprobó inapropiadamente unas conexiones XPC al confiar en el PID en lugar del token de auditoría. Un atacante puede crear una situación en la que es usado el mismo PID para ejecutar dos programas diferentes en momentos diferentes, al aprovechar una condición de carrera durante un uso de posix_spawn diseñado