Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo t/index.php en emlog (CVE-2021-3293)
Gravedad:
MediaMedia
Publication date: 08/02/2021
Last modified:
09/02/2021
Descripción:
emlog versión v5.3.1, presenta una vulnerabilidad de divulgación de ruta completa en el archivo t/index.php, que permite a un atacante visualizar la ruta para el webroot/file
Vulnerabilidad en múltiples parámetros en Online Marriage Registration System (CVE-2020-26052)
Gravedad:
BajaBaja
Publication date: 08/02/2021
Last modified:
08/02/2021
Descripción:
Online Marriage Registration System versión 1.0, está afectado por vulnerabilidades de tipo cross-site scripting (XSS) almacenado en múltiples parámetros
Vulnerabilidad en plantillas dinámicas (OTRSTicketForms) en OTRS AG OTRSTicketForms (CVE-2020-1779)
Gravedad:
MediaMedia
Publication date: 08/02/2021
Last modified:
19/10/2021
Descripción:
Cuando son usadas plantillas dinámicas (OTRSTicketForms), el administrador puede usar etiquetas OTRS que no están enmascaradas apropiadamente y pueden revelar información confidencial. Este problema afecta: OTRS AG OTRSTicketForms versiones 6.0.x versión 6.0.40 y versiones anteriores; versiones 7.0.x versión 7.0.29 y versiones anteriores; versiones 8.0.x versión 8.0.3 y versiones anteriores
Vulnerabilidad en el administrador de la encuesta en la interfaz del agente en OTRS AG Survey (CVE-2021-21434)
Gravedad:
BajaBaja
Publication date: 08/02/2021
Last modified:
09/02/2021
Descripción:
El administrador de la encuesta puede diseñar una encuesta tal que pueda ser ejecutado un código malicioso en la interfaz del agente (es decir, otro agente que quiera hacer cambios en la encuesta). Este problema afecta: OTRS AG Survey versiones 6.0.x versión 6.0.20 y versiones anteriores; versiones 7.0.x versión 7.0.19 y versiones anteriores
Vulnerabilidad en la impresión del ticket (PDF) por medio de una interfaz externa en OTRS AG OTRS (CVE-2021-21435)
Gravedad:
MediaMedia
Publication date: 08/02/2021
Last modified:
09/02/2021
Descripción:
Los campos del Article Bcc y la información personal del agente son mostradas cuando el cliente imprime el ticket (PDF) por medio de una interfaz externa. Este problema afecta a: OTRS AG OTRS versiones 7.0.x versión 7.0.23 y versiones anteriores; versiones 8.0.x versión 8.0.10 y versiones anteriores
Vulnerabilidad en el parámetro sort_order en el archivo Widgets/TopDevicesController.php de LibreNMS (CVE-2020-35700)
Gravedad:
MediaMedia
Publication date: 08/02/2021
Last modified:
09/02/2021
Descripción:
Un problema de inyección SQL de segundo orden en el archivo Widgets/TopDevicesController.php (también se conoce como el widget de tablero Top Devices) de LibreNMS versiones anteriores a 21.1.0, permite a atacantes remotos autenticados ejecutar comandos SQL arbitrarios por medio del parámetro sort_order contra el endpoint /ajax/form/widget-settings
Vulnerabilidad en una dirección de pedido para las tablas del lado del servidor en wpDataTables (CVE-2021-26754)
Gravedad:
AltaAlta
Publication date: 07/02/2021
Last modified:
09/02/2021
Descripción:
wpDataTables versiones anteriores a 3.4.1, maneja inapropiadamente una dirección de pedido para las tablas del lado del servidor, también se conoce como inyección SQL order[0][dir] de admin-ajax.php?action=get_wdtable
Vulnerabilidad en la función de_dotdot en sthttpd (CVE-2021-26843)
Gravedad:
MediaMedia
Publication date: 07/02/2021
Last modified:
09/02/2021
Descripción:
Se ha detectado un problema en sthttpd versiones hasta 2.27.1. En los sistemas en los que la función strcpy es implementada con memcpy, la función de_dotdot puede causar una denegación de servicio (bloqueo del demonio) debido a la superposición de rangos de memoria que se pasan a memcpy. Esto puede desencadenar con una petición HTTP GET para un nombre de archivo diseñado. NOTA: esto es similar a CVE-2017-10671, pero ocurre en una parte diferente de la función de_dotdot

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un nombre de usuario en el Área de Auditoría en BooleBox Secure File Sharing Utility (CVE-2020-13247)
Gravedad:
AltaAlta
Publication date: 24/06/2020
Last modified:
21/07/2021
Descripción:
BooleBox Secure File Sharing Utility anterior a la versión 4.2.3.0 permite la inyección de CSV a través de un nombre de usuario falsificado que es mal manejado durante la exportación de los registros de actividad en el Área de Auditoría
Vulnerabilidad en un campo de avatar en My Account JSON en el archivo Account.aspx en BooleBox Secure File Sharing Utility (CVE-2020-13248)
Gravedad:
BajaBaja
Publication date: 24/06/2020
Last modified:
10/02/2021
Descripción:
BooleBox Secure File Sharing Utility antes de la versión 4.2.3.0 permite el XSS almacenado a través de un campo de avatar manipulado dentro de los datos JSON de Mi Cuenta a Account.aspx