Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el nombre de archivo of o un nombre de archivo vacío en el cliente rcp en MIT krb5-appl (CVE-2019-25018)
Gravedad:
MediaMedia
Publication date: 02/02/2021
Last modified:
21/07/2021
Descripción:
En el cliente rcp en MIT krb5-appl versiones hasta 1.0.3, los servidores maliciosos podrían omitir unas restricciones de acceso previstas por medio del nombre de archivo of o un nombre de archivo vacío, similar al CVE-2018-20685 y CVE-2019-7282. El impacto está modificando los permisos del directorio de destino en el lado del cliente. NOTA: MIT krb5-appl no es compatible con versiones anteriores, pero algunas distribuciones de Linux lo entregan. El código afectado se eliminó del producto MIT Kerberos 5 (también se conoce como krb5) compatible hace muchos años, en la versión 1.8
Vulnerabilidad en el envío de una petición URL en IBM Content Navigator (CVE-2020-4934)
Gravedad:
MediaMedia
Publication date: 02/02/2021
Last modified:
04/02/2021
Descripción:
IBM Content Navigator versión 3.0.CD, podría permitir a un atacante remoto saltar directorios en el sistema. Un atacante podría enviar una petición URL especialmente diseñada que contenga secuencias "dot dot" (/../) para visualizar archivos arbitrarios en el sistema. IBM X-Force ID: 191752
Vulnerabilidad en el servicio UPnP de D-Link DSR-250 y DSR-1000N (CVE-2020-18568)
Gravedad:
AltaAlta
Publication date: 02/02/2021
Last modified:
21/07/2021
Descripción:
El servicio UPnP de D-Link DSR-250 (3.14) DSR-1000N (2.11B201), contiene una vulnerabilidad de inyección de comandos, que puede causar una ejecución de comandos remota
Vulnerabilidad en el componente system_mgr.cgi en D-Link DNS-320 FW (CVE-2020-25506)
Gravedad:
AltaAlta
Publication date: 02/02/2021
Last modified:
21/07/2021
Descripción:
D-Link DNS-320 FW versión v2.06B01 Revisión Ax, está afectado por una inyección de comandos en el componente system_mgr.cgi, que puede conllevar a una ejecución de código arbitraria remota
Vulnerabilidad en paquetes DNS en el análisis de nombres de dominio en uIP usado en Contiki y Contiki-NG (CVE-2020-24335)
Gravedad:
MediaMedia
Publication date: 02/02/2021
Last modified:
04/02/2021
Descripción:
Se detectó un problema en uIP versiones hasta 1.0, como es usado en Contiki y Contiki-NG. El análisis de nombres de dominio carece de controles de límites, permitiendo a un atacante corromper la memoria con paquetes DNS diseñados
Vulnerabilidad en la llamada PHP de chroothole_client en los dispositivos UCOPIA Wi-Fi (CVE-2020-25035)
Gravedad:
AltaAlta
Publication date: 02/02/2021
Last modified:
04/02/2021
Descripción:
Los dispositivos UCOPIA Wi-Fi versión 6.0.5, permiten una ejecución de código arbitrario con privilegios de root usando la llamada PHP de chroothole_client, un problema relacionado con CVE-2017-11322

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: