Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la Interfaz de Usuario Web en los productos de IBM Jazz Foundation (CVE-2021-20357)
Gravedad:
BajaBaja
Publication date: 27/01/2021
Last modified:
29/01/2021
Descripción:
Los productos de IBM Jazz Foundation, son vulnerables a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 194963
Vulnerabilidad en control de acceso en IBM Security Guardium (CVE-2020-4952)
Gravedad:
AltaAlta
Publication date: 27/01/2021
Last modified:
29/01/2021
Descripción:
IBM Security Guardium versión 11.2, podría permitir a un usuario autenticado conseguir acceso root debido a un control de acceso inapropiado. IBM X-Force ID: 192028
Vulnerabilidad en la Interfaz de Usuario Web en los productos de IBM Jazz Foundation (CVE-2020-4865)
Gravedad:
BajaBaja
Publication date: 27/01/2021
Last modified:
29/01/2021
Descripción:
Los productos de IBM Jazz Foundation, son vulnerables a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 190741
Vulnerabilidad en la Interfaz de Usuario Web en los productos de IBM Jazz Foundation (CVE-2020-4855)
Gravedad:
BajaBaja
Publication date: 27/01/2021
Last modified:
29/01/2021
Descripción:
Los productos de IBM Jazz Foundation, son vulnerables a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 190457
Vulnerabilidad en la visita de un sitio web en los productos de IBM Jazz Foundation (CVE-2020-4547)
Gravedad:
BajaBaja
Publication date: 27/01/2021
Last modified:
29/01/2021
Descripción:
Los productos de IBM Jazz Foundation, podrían permitir a un atacante remoto secuestrar la acción de clic de la víctima. Al persuadir a una víctima para visitar un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de clic de la víctima y posiblemente iniciar nuevos ataques contra la víctima. IBM X-Force ID: 183315
Vulnerabilidad en la Interfaz de Usuario Web en los productos de IBM Jazz Foundation (CVE-2020-4524)
Gravedad:
BajaBaja
Publication date: 27/01/2021
Last modified:
29/01/2021
Descripción:
Los productos de IBM Jazz Foundation, son vulnerables a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 182434
Vulnerabilidad en los encabezados de respuesta en IBM Security Guardium (CVE-2020-4189)
Gravedad:
MediaMedia
Publication date: 27/01/2021
Last modified:
29/01/2021
Descripción:
IBM Security Guardium versión 11.2, divulga información confidencial en los encabezados de respuesta que podría ser usada en futuros ataques contra el sistema. IBM X-Force ID: 174850
Vulnerabilidad en el paquete async-git para Node.js (CVE-2021-3190)
Gravedad:
AltaAlta
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
El paquete async-git versiones anteriores a 1.13.2 para Node.js, permite una Inyección de Comandos del Sistema Operativo por medio de metacaracteres de shell, como es demostrado por git.reset y git.tag
Vulnerabilidad en servidores de caché CDN en ORT (ahora mediante atstccfg) en archivos ip_allow.config en Apache Traffic Control (CVE-2020-17522)
Gravedad:
MediaMedia
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
Cuando ORT (ahora mediante atstccfg) genera archivos ip_allow.config en Apache Traffic Control versiones 3.0.0 hasta 3.1.0 y 4.0.0 hasta 4.1.0, esos archivos incluyen permisos que permiten a los actores malos introducir contenido arbitrario y eliminar contenido arbitrario desde servidores de caché CDN. Además, estos permisos son extendidos potencialmente para direcciones IP fuera del rango deseado, resultando en que sean otorgados a clientes posiblemente fuera de la arquitectura CDN
Vulnerabilidad en el archivo /mcms/view.do en ming-soft MCMS (CVE-2020-23262)
Gravedad:
AltaAlta
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
Se detectó un problema en ming-soft MCMS versión v5.0, donde un usuario malicioso puede explotar una inyección SQL sin iniciar sesión por medio del archivo /mcms/view.do
Vulnerabilidad en el archivo /apiui/command_ en la función payloadtypes_callback en Apfell (CVE-2020-23014)
Gravedad:
BajaBaja
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
APfell versión 1.4, es vulnerable a un ataque de tipo cross site scripting (XSS) reflejado y autenticado en el archivo /apiui/command_ por medio de la función payloadtypes_callback, que permite a un atacante robar una sesión de admin/user remoto y/o agregar nuevos usuarios al panel de administración
Vulnerabilidad en Feehi CMS (CVE-2020-22643)
Gravedad:
MediaMedia
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
Feehi CMS versión 2.1.0, está afectado por una vulnerabilidad de carga de archivos arbitraria, resultando en una ejecución de código remota. Después de que un administrador inicie sesión, abra la página de carga de imágenes del administrador para cargar archivos potencialmente maliciosos
Vulnerabilidad en el archivo webmain/flow/input/mode_emailmAction.php en RockOA (CVE-2020-21147)
Gravedad:
BajaBaja
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
RockOA versión V1.9.8, está afectado por una vulnerabilidad de tipo cross-site scripting (XSS) que permite a atacantes remotos enviar código malicioso al administrador y ejecutar código JavaScript, porque el archivo webmain/flow/input/mode_emailmAction.php no lleva a cabo un filtrado estricto
Vulnerabilidad en el nombre de usuario insertado como código JavaScript en Feehi CMS (CVE-2020-21146)
Gravedad:
MediaMedia
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
Feehi CMS versión 2.0.8 está afectado por una vulnerabilidad de tipo cross site scripting (XSS). Cuando el nombre de usuario es insertado como código JavaScript, explorar la publicación activará el XSS
Vulnerabilidad en un documento Markdown en Caret Editor (CVE-2020-20269)
Gravedad:
AltaAlta
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
Un documento Markdown especialmente diseñado podría causar la ejecución de código JavaScript malicioso en Caret Editor versión anterior a 4.0.0-rc22
Vulnerabilidad en el procesamiento de datos XML en IBM WebSphere Application Server (CVE-2020-4949)
Gravedad:
MediaMedia
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
IBM WebSphere Application Server versiones 7.0, 8.0, 8.5 y 9.0, es vulnerable a un ataque de tipo XML External Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. IBM X-Force ID: 192025
Vulnerabilidad en los archivos de registro en IBM Spectrum Scale (CVE-2020-4889)
Gravedad:
BajaBaja
Publication date: 26/01/2021
Last modified:
29/01/2021
Descripción:
IBM Spectrum Scale versiones 5.0.0 hasta 5.0.5.4 y versión 5.1.0, podría permitir a un usuario local envenene los archivos de registro que podrían afectar los esfuerzos de soporte y desarrollo. IBM X-Force ID: 190971
Vulnerabilidad en el componente handler-router en Apache ServiceComb-Java-Chassis (CVE-2020-17532)
Gravedad:
MediaMedia
Publication date: 25/01/2021
Last modified:
29/01/2021
Descripción:
Cuando el componente handler-router está habilitado en servicecomb-java-chassis, el usuario autenticado puede inyectar algunos datos y causar una ejecución de código arbitraria. El problema ocurre en versiones entre 2.0.0 ~ 2.1.3 y corregido en Apache ServiceComb-Java-Chassis versión 2.1.5
Vulnerabilidad en una variable de puntero en diversos productos Snapdragon (CVE-2020-3685)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Una variable de puntero que es liberada no es borrada puede resultar en corrupción de la memoria y conllevar a una denegación de servicio en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en cálculo de la longitud del paquete L2CAP en la lógica de reensamblaje en diversos productos Snapdragon (CVE-2020-11167)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Una corrupción de la memoria mientras se calcula la longitud del paquete L2CAP en la lógica de reensamblaje cuando el control remoto envía más datos de lo esperado en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en el comando de control de proceso cvp en HLOS en diversos productos Snapdragon (CVE-2020-11181)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Un problema de acceso fuera de límite mientras se maneja el comando de control de proceso cvp debido a una comprobación inapropiada del puntero de búfer recibido de HLOS en los productos Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile
Vulnerabilidad en el servicio de visualización en diversos productos Snapdragon (CVE-2020-11183)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Un proceso puede potencialmente causar un desbordamiento del búfer en el servicio de visualización permitiendo una escalada de privilegios al ejecutar código como ese servicio en los productos Snapdragon Auto, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en el controlador WLAN en las respuestas vdev del firmware en diversos productos Snapdragon (CVE-2020-11185)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Un problema fuera de límite en el controlador WLAN mientras se procesan las respuestas vdev del firmware debido a una falta de comprobación de datos recibidos del firmware en los productos Snapdragon Auto, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Mobile, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en el análisis del clip TS en diversos productos Snapdragon (CVE-2020-11197)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Un posible desbordamiento de enteros puede ocurrir cuando una actualización de la información de la transmisión es llamada cuando el número total de transmisiones detectadas es cero mientras se analiza el clip TS con datos no válidos en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en el audio en diversos productos Snapdragon (CVE-2020-3691)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Un posible acceso a la memoria fuera del límite en el audio debido a un flujo insuficiente de enteros mientras se procesan contenidos modificados en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en el análisis RPS en diversos productos Snapdragon (CVE-2020-11200)
Gravedad:
MediaMedia
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Una lectura excesiva del búfer durante el análisis RPS debido a una falta de comprobación de la validación de entrada en los valores recibidos del lado del usuario en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile
Vulnerabilidad en análisis de los atributos beacons NAN y las OUI en diversos productos Snapdragon (CVE-2020-11212)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Unas lecturas fuera de límites mientras se analizan los atributos beacons NAN y las OUI debido a una longitud inapropiada de la comprobación del campo en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en el procesamiento del atributo VSA en diversos productos Snapdragon (CVE-2020-11215)
Gravedad:
MediaMedia
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Una lectura fuera de límites puede ocurrir al procesar el atributo VSA debido a una comprobación inapropiada de la longitud mínima requerida en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en el controlador de video en el valor UINT32_MAX en diversos productos Snapdragon (CVE-2020-11216)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Una lectura excesiva del búfer puede ocurrir en el controlador de video cuando se reproduce un clip con un tamaño de átomo que tiene el valor UINT32_MAX en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en el controlador WLAN en la comprobación de longitud de la matriz en diversos productos Snapdragon (CVE-2020-11225)
Gravedad:
AltaAlta
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Un acceso fuera del límite en el controlador WLAN debido a una falta de comprobación de longitud de la matriz antes de copiar en la matriz en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en los servicios de administración en el entorno de Windows (CVE-2020-3687)
Gravedad:
BajaBaja
Publication date: 21/01/2021
Last modified:
29/01/2021
Descripción:
Una escalada de privilegios local en los servicios de administración en el entorno de Windows puede ocurrir debido a un problema de lectura arbitraria
Vulnerabilidad en Cisco Unified Communications Manager IM & amp; Presence Service (Unified CM IM & amp;P) (CVE-2021-1364)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
29/01/2021
Descripción:
Múltiples vulnerabilidades en Cisco Unified Communications Manager IM & Presence Service (Unified CM IM &), podría permitir a un atacante conducir ataques de salto de ruta y ataques de inyección SQL en un sistema afectado. Una de las vulnerabilidades de inyección SQL que afecta a Unified CM IM amp;P también afecta a Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) y podría permitir a un atacante conducir ataques de inyección SQL en un sistema afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en Cisco Unified Communications Manager IM & amp; Presence Service (Unified CM IM & amp; P) (CVE-2021-1357)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
29/01/2021
Descripción:
Múltiples vulnerabilidades en Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&:P), podría permitir a un atacante conducir ataques de salto de ruta y ataques de inyección SQL en un sistema afectado. Una de las vulnerabilidades de inyección SQL que afecta a Unified CM IM&P también afecta a Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) y podría permitir a un atacante conducir ataques de inyección SQL en un sistema afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en Cisco Unified Communications Manager IM & amp; Presence Service (Unified CM IM & amp; P) (CVE-2021-1355)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
29/01/2021
Descripción:
Múltiples vulnerabilidades en Cisco Unified Communications Manager IM & amp; Presence Service (Unified CM IM&P), podría permitir a un atacante conducir ataques de salto de ruta y ataques de inyección SQL en un sistema afectado. Una de las vulnerabilidades de inyección SQL que afecta a Unified CM IM&P también afecta a Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) y podría permitir a un atacante conducir ataques de inyección SQL en un sistema afectado. Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en un archivo git.bat o git.exe en el directorio actual en Git LFS en Windows (CVE-2021-21237)
Gravedad:
MediaMedia
Publication date: 15/01/2021
Last modified:
29/01/2021
Descripción:
Git LFS es una extensión de línea de comandos para administrar archivos grandes con Git. En Windows, si Git LFS opera en un repositorio malicioso con un archivo git.bat o git.exe en el directorio actual, ese programa será ejecutado, permitiendo al atacante ejecutar código arbitrario. Esto no afecta a los sistemas Unix. Este es el resultado de una corrección incompleta para CVE-2020-27955. Este problema ocurre porque en Windows, Go incluye (y prefiere) el directorio actual cuando el nombre de un comando ejecutado no contiene un separador de directorio. Aparte de evitar los repositorios que no son confiables o usando un sistema operativo diferente, no se presenta una solución alternativa. Esto es corregido en versión v2.13.2

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los dispositivos de gestión de tiempo Pyrescom Termod4 (CVE-2020-23160)
Gravedad:
AltaAlta
Publication date: 26/01/2021
Last modified:
05/02/2021
Descripción:
Una ejecución de código remota en dispositivos de gestión de tiempo Pyrescom Termod4 versiones anteriores a 10.04k, permite a atacantes remotos autenticados usar comandos arbitrarios como root en los dispositivos