Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro POST HTTP txt en el endpoint /System-Files.php en la función System Files en NeDi (CVE-2021-26753)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
13/02/2021
Descripción:
NeDi versión 1.9C, permite a un usuario autenticado inyectar código PHP en la función System Files en el endpoint /System-Files.php por medio del parámetro POST HTTP txt. Esto permite a un atacante conseguir acceso al sistema operativo donde está instalado NeDi y todos los datos de la aplicación
Vulnerabilidad en el parámetro GET HTTP md o ag en el endpoint /Nodes-Traffic.php en la función Nodes Traffic en NeDi (CVE-2021-26752)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
13/02/2021
Descripción:
NeDi versión 1.9C, permite a un usuario autenticado ejecutar comandos del sistema operativo en la función Nodes Traffic en el endpoint /Nodes-Traffic.php por medio del parámetro GET HTTP md o ag. Esto permite a un atacante conseguir acceso al sistema operativo donde está instalado NeDi y todos los datos de la aplicación
Vulnerabilidad en el parámetro GET HTTP det en el endpoint /Monitoring-History.php en la función Monitoring History en NeDi (CVE-2021-26751)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
13/02/2021
Descripción:
NeDi versión 1.9C, permite a un usuario autenticado llevar a cabo una inyección SQL en la función Monitoring History en el endpoint /Monitoring-History.php por medio del parámetro GET HTTP det. Esto permite a un atacante acceder a todos los datos de la base de datos y conseguir acceso a la aplicación NeDi
Vulnerabilidad en credenciales embebidas en IBM Security Verify Information Queue (CVE-2021-20412)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
12/02/2021
Descripción:
IBM Security Verify Information Queue versiones 1.0.6 y 1.0.7, contiene credenciales embebidas, tal y como una contraseña o clave criptográfica, que utiliza para su propia autenticación entrante, comunicación saliente a componentes externos o cifrado de datos internos. IBM X-Force ID: 198192
Vulnerabilidad en una actualización del identificador de sesión en IBM Security Verify Information Queue (CVE-2021-20411)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
12/02/2021
Descripción:
IBM Security Verify Information Queue versiones 1.0.6 y 1.0.7, podría permitir a un usuario suplantar a otro usuario en el sistema debido a una actualización incorrecta del identificador de sesión. IBM X-Force ID: 198191
Vulnerabilidad en el envío de credenciales de usuario en IBM Security Verify Information Queue (CVE-2021-20410)
Gravedad:
BajaBaja
Publication date: 12/02/2021
Last modified:
12/02/2021
Descripción:
IBM Security Verify Information Queue versiones 1.0.6 y 1.0.7, envía las credenciales de usuario en texto plano y sin cifrar que puede ser leído por un usuario autenticado utilizando técnicas de tipo man in the middle. IBM X-Force ID: 198190
Vulnerabilidad en HTTP Strict Transport Security en IBM Security Verify Information Queue (CVE-2021-20409)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
12/02/2021
Descripción:
IBM Security Verify Information Queue versiones 1.0.6 y 1.0.7, podría permitir a un atacante remoto obtener información confidencial, causada por el fallo al habilitar apropiadamente HTTP Strict Transport Security. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial utilizando técnicas de tipo man in the middle. IBM X-Force ID: 198188
Vulnerabilidad en el almacenamiento de una clave criptográfica en IBM Security Verify Information Queue (CVE-2021-20408)
Gravedad:
BajaBaja
Publication date: 12/02/2021
Last modified:
12/02/2021
Descripción:
IBM Security Verify Information Queue versiones 1.0.6 y 1.0.7, podría revelar información altamente confidencial a un usuario local debido al almacenamiento inapropiado de una clave criptográfica de texto plano. IBM X-Force ID: 198187
Vulnerabilidad en el código fuente en IBM Security Verify Information Queue (CVE-2021-20407)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
12/02/2021
Descripción:
IBM Security Verify Information Queue versiones 1.0.6 y 1.0.7, revela información confidencial en el código fuente que podría ser usada en futuros ataques contra el sistema. IBM X-Force ID: 198185
Vulnerabilidad en algoritmos criptográficos en IBM Security Verify Information Queue (CVE-2021-20406)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
12/02/2021
Descripción:
IBM Security Verify Information Queue versiones 1.0.6 y 1.0.7, utiliza algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 198184
Vulnerabilidad en el almacenamiento de la copia local de mensajes autodestruidos en Telegram en macOS (CVE-2021-27205)
Gravedad:
BajaBaja
Publication date: 12/02/2021
Last modified:
13/02/2021
Descripción:
Telegram versiones anteriores a 7.4 (212543) Stable en macOS almacena la copia local de mensajes autodestruidos en una ruta de espacio aislado, conllevando a una divulgación de información confidencial
Vulnerabilidad en el almacenamiento en el código de acceso en Telegram en macOS (CVE-2021-27204)
Gravedad:
BajaBaja
Publication date: 12/02/2021
Last modified:
13/02/2021
Descripción:
Telegram versiones anteriores a 7.4 (212543) Stable en macOS almacena el código de acceso local en texto sin cifrar, conllevando a una la divulgación de información
Vulnerabilidad en la comprobación de certificado en ELECOM WRC-300FEBK-S (CVE-2021-20649)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
ELECOM WRC-300FEBK-S, contiene una vulnerabilidad de comprobación de certificado inapropiada. Mediante un ataque man-in-the-middle, un atacante puede alterar la respuesta de comunicación. Como resultado, se puede ejecutar un comando arbitrario del sistema operativo en el dispositivo afectado
Vulnerabilidad en vectores no especificados en ELECOM WRC-300FEBK-S (CVE-2021-20648)
Gravedad:
AltaAlta
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
ELECOM WRC-300FEBK-S, permite a un atacante con derechos de administrador ejecutar comandos arbitrarios del sistema operativo por medio de vectores no especificados
Vulnerabilidad en un vector no especificado en ELECOM WRC-300FEBK-S (CVE-2021-20647)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en ELECOM WRC-300FEBK-S, permite a atacantes remotos secuestrar la autenticación de los administradores y ejecutar una petición arbitraria por medio de un vector no especificado. Como resultado, la configuración del dispositivo puede ser alterada y/o el demonio telnet puede ser iniciado
Vulnerabilidad en un vector no especificado en ELECOM WRC-300FEBK-A (CVE-2021-20646)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en ELECOM WRC-300FEBK-A, permite a atacantes remotos secuestrar la autenticación de los administradores y ejecutar una petición arbitraria por medio de un vector no especificado. Como resultado, la configuración del dispositivo puede ser alterada y/o el demonio telnet puede ser iniciado
Vulnerabilidad en vectores no especificados en ELECOM WRC-300FEBK-A (CVE-2021-20645)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting en ELECOM WRC-300FEBK-A, permite a los atacantes autenticados remotamente inyectar script arbitrario por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en LOGITEC LAN-W300N/PGRB (CVE-2021-20640)
Gravedad:
AltaAlta
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
Una vulnerabilidad de desbordamiento del búfer en LOGITEC LAN-W300N/PGRB, permite a un atacante con privilegios administrativos ejecutar un comando arbitrario del sistema operativo por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en LOGITEC LAN-W300N/PGRB (CVE-2021-20639)
Gravedad:
AltaAlta
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
LOGITEC LAN-W300N/PGRB, permite a un atacante con privilegios administrativos ejecutar comandos arbitrarios del sistema operativo por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en LOGITEC LAN-W300N/PGRB (CVE-2021-20638)
Gravedad:
AltaAlta
Publication date: 12/02/2021
Last modified:
14/02/2021
Descripción:
LOGITEC LAN-W300N/PGRB, permite a un atacante con privilegios administrativos ejecutar comandos arbitrarios del sistema operativo por medio de vectores no especificados

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la negociación del algoritmo en el lado del cliente en OpenSSH (CVE-2020-14145)
Gravedad:
MediaMedia
Publication date: 29/06/2020
Last modified:
25/02/2021
Descripción:
El lado del cliente en OpenSSH versiones 5.7 hasta 8.4, presenta una Discrepancia Observable que conlleva a una filtración de información en la negociación del algoritmo. Esto permite a atacantes de tipo man-in-the-middle apuntar a unos intentos iniciales de conexión (donde ninguna clave de host para el servidor ha sido almacenada en caché por parte del cliente)
Vulnerabilidad en el archivo Common/Grav.php en Grav (CVE-2020-11529)
Gravedad:
MediaMedia
Publication date: 04/04/2020
Last modified:
12/02/2021
Descripción:
El archivo Common/Grav.php en Grav versiones anteriores a 1.7 presenta un Redireccionamiento Abierto. Esto está parcialmente arreglado en la versión1.6.23 y sigue presente en la versión 1.6.x