Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el endpoint de la API REST de Cisco Data Center Network Manager (DCNM) (CVE-2021-1233)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en la CLI del Software Cisco SD-WAN, podría permitir a un atacante local autenticado acceder a información confidencial en un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada de las peticiones que son enviadas hacia la herramienta iperf. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada a la herramienta iperf, que se incluye en el Software Cisco SD-WAN. Una explotación con éxito podría permitir al atacante obtener cualquier archivo del sistema de archivos de un dispositivo afectado
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1274)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante no autenticado remoto ejecutar ataques de denegación de servicio (DoS) contra un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web del Software Cisco SD-WAN vManage (CVE-2021-1349)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web del Software Cisco SD-WAN vManage, podría permitir a un atacante remoto autenticado conducir ataques de inyección de lenguaje de consulta de Cifrado en un sistema afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada por parte de la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas a la interfaz de un sistema afectado. Una explotación con éxito podría permitir al atacante conseguir información confidencial
Vulnerabilidad en los roles de administración de usuarios de Cisco DNA Center (CVE-2021-1303)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en los roles de administración de usuarios de Cisco DNA Center, podría permitir a un atacante remoto autenticado ejecutar comandos no autorizados en un dispositivo afectado. La vulnerabilidad es debido a la aplicación inapropiada de acciones para los roles de usuario asignados. Un atacante podría explotar esta vulnerabilidad al autenticarse como usuario con un rol de observador y ejecutar comandos en el dispositivo afectado. Una explotación con éxito podría permitir que un usuario con el rol de Observador ejecutar comandos para visualizar información de diagnóstico de los dispositivos que administra Cisco DNA Center
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1301)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante no autenticado remoto ejecutar ataques contra un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1300)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante no autenticado remoto ejecutar ataques contra un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1299)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante autenticado llevar a cabo ataques de inyección de comandos contra un dispositivo afectado, lo que podría permitir al atacante tomar determinadas acciones con privilegios root en el dispositivo. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1298)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante autenticado conducir ataques de inyección de comandos contra un dispositivo afectado, lo que podría permitirle al atacante tomar determinadas acciones con privilegios root en el dispositivo. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM) (CVE-2021-1286)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM), podrían permitir a un atacante remoto con privilegios de operador de red conducir un ataque de tipo cross-site scripting (XSS) o un ataque de descarga de archivo reflejado (RFD) contra un usuario de la interfaz. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en el subsistema de registro de Cisco Data Center Network Manager (DCNM) (CVE-2021-1283)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
26/01/2021
Descripción:
Una vulnerabilidad en el subsistema de registro de Cisco Data Center Network Manager (DCNM), podría permitir a un atacante local autenticado visualizar información confidencial en un archivo de registro del sistema que debería estar restringido. La vulnerabilidad se presenta porque la información confidencial no se enmascara apropiadamente antes de que se escriba en los archivos de registro del sistema. Un atacante podría explotar esta vulnerabilidad si se autentica en un dispositivo afectado e inspecciona un archivo de registro del sistema específico. Una explotación con éxito podría permitir al atacante visualizar información confidencial en el archivo de registro del sistema. Para explotar esta vulnerabilidad, el atacante debería tener credenciales de usuario válidas
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1279)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante no autenticado remoto ejecutar ataques de denegación de servicio (DoS) contra un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1278)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante no autenticado remoto ejecutar ataques de denegación de servicio (DoS) contra un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en determinadas peticiones HTTPS de la API en Cisco Data Center Network Manager (DCNM) (CVE-2021-1277)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
26/01/2021
Descripción:
Múltiples vulnerabilidades en Cisco Data Center Network Manager (DCNM), podrían permitir a un atacante falsificar un host confiable o construir un ataque de tipo man-in-the-middle para extraer información confidencial o alterar determinadas peticiones de la API. Estas vulnerabilidades son debido a una comprobación de certificados insuficiente cuando se establecen peticiones HTTPS con el dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en determinadas peticiones HTTPS de la API en Cisco Data Center Network Manager (DCNM) (CVE-2021-1276)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
26/01/2021
Descripción:
Múltiples vulnerabilidades en Cisco Data Center Network Manager (DCNM), podrían permitir a un atacante falsificar un host confiable o construir un ataque de tipo man-in-the-middle para extraer información confidencial o alterar determinadas peticiones de la API. Estas vulnerabilidades son debido a una comprobación de certificados insuficiente cuando se establecen peticiones HTTPS con el dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los productos Cisco SD-WAN (CVE-2021-1273)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en los productos Cisco SD-WAN, podrían permitir a un atacante no autenticado remoto ejecutar ataques de denegación de servicio (DoS) contra un dispositivo afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en el envío de una petición HTTP en la funcionalidad de comprobación de sesión de la aplicación web de Cisco Data Center Network Manager (DCNM) (CVE-2021-1272)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en la funcionalidad de comprobación de sesión de Cisco Data Center Network Manager (DCNM), podría permitir a un atacante no autenticado remoto omitir los controles de acceso y conducir un ataque de tipo server-side request forgery (SSRF) en un sistema objetivo. Esta vulnerabilidad es debido a una comprobación insuficiente de los parámetros en una petición HTTP específica por parte de un atacante. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia un usuario autenticado de la aplicación web de DCNM. Una explotación con éxito podría permitir al atacante omitir los controles de acceso y conseguir acceso no autorizado a la aplicación Device Manager, que proporciona acceso a los dispositivos de red administrados por el sistema
Vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Web Security Appliance (WSA) (CVE-2021-1271)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Web Security Appliance (WSA), podría permitir a un atacante remoto autenticado conducir un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario de la interfaz de un dispositivo afectado. La vulnerabilidad se presenta porque la interfaz de administración basada en web no comprueba apropiadamente la entrada suministrada por el usuario. Un atacante podría explotar esta vulnerabilidad insertando datos maliciosos en un campo de datos específico en una interfaz afectada. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada
Vulnerabilidad en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM) (CVE-2021-1270)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM), podrían permitir a un atacante remoto autenticado visualizar, modificar y eliminar datos sin la debida autorización. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM) (CVE-2021-1269)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM), podrían permitir a un atacante remoto autenticado visualizar, modificar y eliminar datos sin la debida autorización. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en varias llamadas a la API en la funcionalidad del archivo de configuración de Cisco DNA Center (CVE-2021-1265)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en la funcionalidad del archivo de configuración de Cisco DNA Center, podría permitir a cualquier atacante remoto autenticado en el nivel de privilegio obtener la configuración en ejecución sin máscara completa de los dispositivos administrados. La vulnerabilidad es debido a que los archivos del archivo de configuración se almacenan en texto sin cifrar, que pueden recuperarse mediante varias llamadas de la API. Un atacante podría explotar esta vulnerabilidad si se autentica en el dispositivo y ejecuta una serie de llamadas de la API. Una explotación con éxito podría permitir al atacante recuperar las configuraciones en ejecución sin mascara completamente de los dispositivos administrados
Vulnerabilidad en una llamada a la API en la herramienta Command Runner de Cisco DNA Center (CVE-2021-1264)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en la herramienta Command Runner de Cisco DNA Center, podría permitir a un atacante remoto autenticado conducir un ataque de inyección de comandos. La vulnerabilidad es debido a una comprobación insuficiente de la entrada por parte de la herramienta Command Runner. Un atacante podría explotar esta vulnerabilidad al proporcionar una entrada diseñada durante la ejecución del comando o mediante una llamada a la API de command runner. Una explotación con éxito podría permitir al atacante ejecutar comandos de la CLI arbitrarios en dispositivos administrados por Cisco DNA Center
Vulnerabilidad en el endpoint de la API REST de Cisco Data Center Network Manager (DCNM) (CVE-2021-1255)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en el punto final de la API REST de Cisco Data Center Network Manager (DCNM) podrían permitir a un atacante remoto autenticado ver, modificar y eliminar datos sin la debida autorización. Para obtener más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM) (CVE-2021-1253)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM), podrían permitir a un atacante remoto con privilegios de operador de red conducir un ataque de tipo cross-site scripting (XSS) o un ataque de descarga de archivo reflejado (RFD) contra un usuario de la interfaz. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en la autenticación para la implementación de las API de propósito general de Cisco Email Security Appliance (ESA), Cisco Content Security Management Appliance (SMA) y Cisco Web Security Appliance (WSA) (CVE-2021-1129)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
27/01/2021
Descripción:
Una vulnerabilidad en la autenticación para la implementación de las API de propósito general de Cisco Email Security Appliance (ESA), Cisco Content Security Management Appliance (SMA) y Cisco Web Security Appliance (WSA), podría permitir a un atacante no autenticado remoto acceder a información general del sistema y determinada información de configuración de un dispositivo afectado. La vulnerabilidad se presenta porque no se requiere un token de autenticación seguro al autenticarse en la API de propósito general. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada para información de la API de propósito general en un dispositivo afectado. Una explotación con éxito podría permitir al atacante obtener información del sistema y la configuración del dispositivo afectado, resultando en una divulgación de información no autorizada
Vulnerabilidad en la clase GetEuaLogDownloadAction en NEC ESMPRO Manager (CVE-2020-27859)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
26/01/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de NEC ESMPRO Manager versión 6.42. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro de la clase GetEuaLogDownloadAction. El problema resulta de una falta de comprobación apropiada de una ruta suministrada por el usuario antes de usarla en operaciones de archivo. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto de SYSTEM. Fue ZDI-CAN-9607
Vulnerabilidad en procesamiento de archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25175)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
04/03/2021
Descripción:
Se detectó un problema en el SDK de dibujos de Open Design Alliance anterior a la versión 2021.11. Existe un problema de conversión de tipos al renderizar archivos .DXF y .DWG malformados. Esto puede permitir que los atacantes provoquen un fallo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Vulnerabilidad en procesamiento de archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25177)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
02/03/2021
Descripción:
Se detectó un problema en el SDK de dibujos de Open Design Alliance anterior a la versión 2021.11. Existe un problema de confusión de tipos al renderizar archivos .DXF y .DWG malformados. Esto puede permitir a los atacantes provocar un fallo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Vulnerabilidad en procesamiento de archivos .DXF y .DWG en Open Design Alliance Drawings SDK (CVE-2021-25176)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
04/03/2021
Descripción:
Se detectó un problema en el SDK de dibujos de Open Design Alliance anterior a la versión 2021.11. Existe una derivación de puntero nulo al renderizar archivos .DXF y .DWG malformados. Esto puede permitir a los atacantes provocar un fallo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)