Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en vSphere Replication (CVE-2021-21976)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
vSphere Replication versiones 8.3.x anteriores a 8.3.1.2, versiones 8.2.x anteriores a 8.2.1.1, versiones 8.1.x anteriores a 8.1.2.3 y versiones 6.5.x anteriores a 6.5.1.5, contienen una vulnerabilidad de inyección de comando posterior a la autenticación que puede permitir a un usuario administrador autenticado llevar a cabo una ejecución de código remota
Vulnerabilidad en una imagen de mapa de bits en el archivo input-bmp.c en autotrace (CVE-2019-19004)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
09/05/2021
Descripción:
Un desbordamiento de entero biWidth*biBitCnt en el archivo input-bmp.c en autotrace versión 0.31.1, permite a atacantes proporcionar un valor de entrada inesperado a malloc por medio de una imagen de mapa de bits malformada
Vulnerabilidad en una imagen de mapa de bits en el archivo main.c en autotrace (CVE-2019-19005)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
09/05/2021
Descripción:
Un mapa de bits doble liberación en el archivo main.c en autotrace versión 0.31.1, permite a atacantes causar un impacto no especificado por medio de una imagen de mapa de bits mal formada. Esto puede ocurrir después de un uso de la memoria previamente liberada en CVE-2017-9182
Vulnerabilidad en Adobe Photoshop (CVE-2021-21047)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Photoshop versiones 21.2.4 (y anteriores) y versiones 22.1.1 (y anteriores), están afectadas por una vulnerabilidad de escritura fuera de límites. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Photoshop (CVE-2021-21048)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Photoshop versiones 21.2.4 (y anteriores) y versiones 22.1.1 (y anteriores), están afectadas por una vulnerabilidad de Corrupción de la Memoria cuando analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Photoshop (CVE-2021-21049)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Photoshop versiones 21.2.4 (y anteriores) y versiones 22.1.1 (y anteriores), están afectadas por una vulnerabilidad de lectura fuera de límites cuando analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Photoshop (CVE-2021-21050)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Photoshop versiones 21.2.4 (y anteriores) y versiones 22.1.1 (y anteriores), están afectadas por una vulnerabilidad de lectura fuera de límites cuando analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo javascript en Adobe Photoshop (CVE-2021-21051)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Photoshop versiones 21.2.4 (y anteriores) y versiones 22.1.1 (y anteriores), están afectadas por una vulnerabilidad de desbordamiento de búfer cuando analiza un archivo javascript especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Animate (CVE-2021-21052)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Animate versión 21.0.2 (y anteriores), está afectada por una vulnerabilidad de escritura fuera de límites. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Illustrator (CVE-2021-21053)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Illustrator versiones 25.1 (y anteriores) está afectada por una vulnerabilidad de escritura fuera de límites cuando analiza un archivo diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Dreamweaver (CVE-2021-21055)
Gravedad:
BajaBaja
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Adobe Dreamweaver versiones 21.0 (y anteriores) y versiones 20.2 (y anteriores), están afectadas por una vulnerabilidad de ruta de búsqueda no confiable que podría resultar en una divulgación de información. Un atacante con acceso físico al sistema podría reemplazar determinados archivos de configuración y bibliotecas dinámicas a las que hace referencia Dreamweaver, resultando potencialmente en una divulgación de información
Vulnerabilidad en el análisis de un archivo PDF en Acrobat Reader DC (CVE-2021-21058)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Acrobat Reader DC, versiones 2020.013.20074 (y anteriores), versiones 2020.001.30018 (y anteriores) y versiones 2017.011.30188 (y anteriores), están afectadas por una vulnerabilidad de corrupción de la memoria cuando analiza un archivo PDF especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo PDF en Acrobat Reader DC (CVE-2021-21059)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Acrobat Reader DC, versiones 2020.013.20074 (y anteriores), versiones 2020.001.30018 (y anteriores) y versiones 2017.011.30188 (y anteriores), están afectadas por una vulnerabilidad de corrupción de la memoria cuando analiza un archivo PDF especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo PDF en Acrobat Reader DC (CVE-2021-21062)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Acrobat Reader DC, versiones 2020.013.20074 (y anteriores), versiones 2020.001.30018 (y anteriores) y versiones 2017.011.30188 (y anteriores), están afectadas por una vulnerabilidad de corrupción de la memoria cuando analiza un archivo PDF especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en un archivo PDF en Acrobat Reader DC (CVE-2021-21063)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Acrobat Reader DC, versiones 2020.013.20074 (y anteriores), versiones 2020.001.30018 (y anteriores) y versiones 2017.011.30188 (y anteriores), están afectadas por una vulnerabilidad de corrupción de la memoria cuando analiza un archivo PDF especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para alcanzar una ejecución de código arbitraria en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el archivo ControlPointCacheShare.xml en un directorio %APPDATA%\Pelco en Pelco Digital Sentry Server (CVE-2021-27184)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Pelco Digital Sentry Server versión 7.18.72.11464, presenta una vulnerabilidad de XML External Entity (explotable por medio de la técnica de entidades de parámetros DTD), resultando en la divulgación y recuperación de datos arbitrarios en el nodo afectado por medio de un ataque fuera de banda (OOB). La vulnerabilidad es activada cuando la entrada que se pasa al analizador XML no es saneada mientras se analiza el archivo ControlPointCacheShare.xml (en un directorio %APPDATA%\Pelco) cuando se ejecuta DSControlPoint.exe
Vulnerabilidad en enumeración de correo electrónico de la cuenta en Keycloak (CVE-2020-1717)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Se encontró un fallo en Keycloak versión 7.0.1. Un usuario que haya iniciado sesión puede llevar a cabo un ataque de enumeración de correo electrónico de la cuenta
Vulnerabilidad en HTTP cifrado con XOR mediante una clave embebida en la aplicación móvil Oclean (CVE-2020-25493)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
La aplicación móvil Oclean versión 2.1.2, se comunica con un sitio web externo mediante HTTP, por lo que es posible escuchar el tráfico de la red. El contenido de la carga útil HTTP se cifra mediante XOR con una clave embebida, lo que permite la posibilidad de decodificar el tráfico
Vulnerabilidad en permisos de archivo para usuarios no root en un contenedor en podman (CVE-2021-20188)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Se encontró un fallo en podman versiones anteriores a 1.7.0. Los permisos de archivo para usuarios no root que se ejecutan en un contenedor con privilegios no se verifican correctamente. Un usuario con poco privilegiado dentro del contenedor puede abusar de este fallo para acceder a cualquier otro archivo en el contenedor, inclusive si es propiedad del usuario root dentro del contenedor. No permite escapar directamente del contenedor, aunque ser un contenedor privilegiado significa que muchas funciones de seguridad están deshabilitadas al ejecutar el contenedor. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en la autenticación en Advantech iView (CVE-2021-22652)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
26/03/2021
Descripción:
El acceso a las versiones de Advantech iView anteriores a configuración v5.7.03.6112 carece de autenticación, lo que puede permitir a un atacante no autorizado cambiar la configuración y obtener una ejecución de código
Vulnerabilidad en los registros de la aplicación en los agentes de PCoIP de Teradici para Windows y los agentes de PCoIP de Teradici para Linux (CVE-2021-25688)
Gravedad:
BajaBaja
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
En determinadas condiciones, los agentes de PCoIP de Teradici para Windows anteriores a versión 20.10.0 y los agentes de PCoIP de Teradici para Linux anteriores a versión 21.01.0, pueden registrar partes de la contraseña de un usuario en los registros de la aplicación
Vulnerabilidad en el cliente ligero PCoIP de Teradici (CVE-2021-25689)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Una escritura fuera de límites en las versiones del cliente ligero PCoIP de Teradici anteriores a versión 20.10.1, podría permitir a un atacante ejecutar código remotamente
Vulnerabilidad en Teradici PCoIP Soft Client (CVE-2021-25690)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Una desreferencia del puntero null en las versiones de Teradici PCoIP Soft Client versiones anteriores a 20.07.3, podría permitir a un atacante bloquear el software
Vulnerabilidad en el paquete get-ip-range para Node.js (CVE-2021-27191)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
30/03/2021
Descripción:
El paquete get-ip-range versiones anteriores a 4.0.0 para Node.js, es vulnerable a una denegación de servicio (DoS) si el rango es una entrada no confiable. Un atacante podría enviar un rango grande (tal y como 128.0.0.0/1) que cause el agotamiento de los recursos
Vulnerabilidad en la Generación de Páginas Web en Open Build Service (CVE-2020-8031)
Gravedad:
BajaBaja
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Una vulnerabilidad de neutralización Inapropiada de la entrada Durante la Generación de Páginas Web ("Cross-site Scripting") en Open Build Service permite a atacantes remotos almacenar código JS en rebajas que no se escapan correctamente, lo que afecta la confidencialidad e integridad. Este problema afecta a: Open Build Service versiones anteriores a 2.10.8
Vulnerabilidad en LDAP en el paquete is-user-valid (CVE-2021-23335)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Todas las versiones del paquete is-user-valid son vulnerables a una inyección de LDAP, lo que puede conllevar a la omisión de la autenticación o la exposición de la información
Vulnerabilidad en las funciones FunctionExpressions y TemplateLiterals en el paquete static-eval (CVE-2021-23334)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/02/2021
Descripción:
Todas las versiones del paquete static-eval son vulnerables a una Ejecución de Código Arbitraria usando las funciones FunctionExpressions y TemplateLiterals. PoC: var evaluate = require('static-eval'); var parse = require('esprima').parse; var src="(function (x) { return ${eval("console.log(global.process.mainModule.constructor._load('child_process').execSync('ls').toString())")} })()" var ast = parse(src).body[0].expression; evaluate(ast)
Vulnerabilidad en una petición HTTP en la funcionalidad HTTP Server de Micrium uC-HTTP (CVE-2020-13583)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Se presenta una vulnerabilidad de denegación de servicio en la funcionalidad HTTP Server de Micrium uC-HTTP versión 3.01.00. Una petición HTTP especialmente diseñada puede conllevar a una denegación de servicio. Un atacante puede enviar una petición HTTP para desencadenar esta vulnerabilidad
Vulnerabilidad en un archivo obj en la funcionalidad Objparser::objparse() de Prusa Research PrusaSlicer y Master (CVE-2020-28596)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Se presenta una vulnerabilidad de desbordamiento de búfer basada en pila en la funcionalidad Objparser::objparse() de Prusa Research PrusaSlicer versión 2.2.0 y Master (commit 4b040b856). Un archivo obj especialmente diseñado puede conllevar a una ejecución de código. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en un documento en el analizador de documentos en el SoftMaker Software GmbH SoftMaker Office PlanMaker 2021 (CVE-2020-27250)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
En SoftMaker Software GmbH SoftMaker Office PlanMaker 2021 (Revisión 1014), un documento especialmente diseñado puede causar que el analizador de documentos copie datos de un tipo de registro en particular en un búfer de tamaño estático dentro de un objeto que es más pequeño que el tamaño usado para la copia, lo que causará un desbordamiento del búfer en la región heap de la memoria en la versión e instancia 0x0005 y 0x0016. Un atacante puede incitar a la víctima a abrir un documento para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad de procesamiento de Encabezados PSD de Accusoft ImageGear (CVE-2020-13585)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites en la funcionalidad de procesamiento de Encabezados PSD de Accusoft ImageGear versión 19.8. Un archivo malformado especialmente diseñado puede conllevar a una ejecución de código. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en un documento en el analizador de documentos en SoftMaker Software GmbH SoftMaker Office PlanMaker 2021 (CVE-2020-13581)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
En SoftMaker Software GmbH SoftMaker Office PlanMaker 2021 (Revisión 1014), un documento especialmente diseñado puede hacer al analizador de documentos copiar datos de un tipo de registro en particular en un búfer que es más pequeño que el tamaño usado para la copia, lo que causará un desbordamiento de búfer en la región heap de la memoria. Un atacante puede atraer a la víctima a abrir un documento para desencadenar esta vulnerabilidad
Vulnerabilidad en las credenciales del Sistema Operativo Windows en el registro de servicio First Failure Data Capture (FFDC) en Lenovo XClarity Administrator (LXCA) (CVE-2020-8355)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Una auditoría de seguridad de producto interno de Lenovo XClarity Administrator (LXCA) versiones anteriores a 3.1.0, detectó que las credenciales del Sistema Operativo Windows proporcionadas por el usuario de LXCA para llevar a cabo actualizaciones de controladores de sistemas administrados pueden capturarse en el registro de servicio First Failure Data Capture (FFDC) si el registro de servicio es generado mientras se actualizan los endpoints administrados. El registro de servicio solo es generado cuando lo pide un usuario LXCA privilegiado y solo es accesible para el usuario LXCA privilegiado que pidió el archivo y luego es eliminado
Vulnerabilidad en una consulta en vivo en curso en Fleet (CVE-2021-21296)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Fleet es un administrador osquery de código abierto. En Fleet versiones anteriores a 3.7.0, un actor malicioso con una clave de nodo válida puede enviar una petición mal formateada que hace que el servidor Fleet salga, lo que resulta en la denegación del servicio. Esto solo es posible mientras se presenta una consulta en vivo en curso. Creemos que el impacto de esta vulnerabilidad es bajo el requerimiento dado de que el actor tenga una clave de nodo válida. No existe una divulgación de información, escalada de privilegios ni ejecución de código. El problema es corregido en Fleet versión 3.7.0
Vulnerabilidad en una URL en la funcionalidad de redirección return_page de phpGACL, OpenEMR y OpenEMR (CVE-2020-13565)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Se presenta una vulnerabilidad de redireccionamiento abierto en la funcionalidad de redirección return_page de phpGACL versión 3.3.7, OpenEMR versión 5.0.2 y la versión de desarrollo de OpenEMR versión 6.0.0 (commit babec93f600ff1394f91ccd512bcad85832eb6ce). Una petición HTTP especialmente diseñada puede redireccionar a usuarios a una URL arbitraria. Un atacante puede proporcionar una URL diseñada para desencadenar esta vulnerabilidad
Vulnerabilidad en comprobación de firmas en la autenticación SAML en la consola Prisma Cloud Compute de Palo Alto Networks (CVE-2021-3033)
Gravedad:
AltaAlta
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Se presenta una verificación inapropiada de la vulnerabilidad de la firma criptográfica en la consola Prisma Cloud Compute de Palo Alto Networks. Esta vulnerabilidad permite a un atacante omitir una comprobación de firmas durante la autenticación SAML iniciando sesión en la consola de Prisma Cloud Compute como cualquier usuario autorizado. Este problema afecta: todas las versiones de Prisma Cloud Compute 19.11, Prisma Cloud Compute 20.04 y Prisma Cloud Compute 20.09; Prisma Cloud Compute 20.12 anterior del update 1. La versión de Prisma Cloud Compute SaaS no está afectada por esta vulnerabilidad
Vulnerabilidad en el PublishedCount total en Issuer (CVE-2020-24838)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Se ha detectado un desbordamiento de enteros en la última versión de Issuer. El total PublishedCount puede ser cero si el parámetro es demasiado grande. Un atacante puede obtener la clave privada del propietario emitida con una determinada "amount", y el issuedCount puede ser cero si se presenta un desbordamiento
Vulnerabilidad en las variables "currPeriodIdx" y "lastPeriodExecIdx" en ZCFees (CVE-2020-24837)
Gravedad:
MediaMedia
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
Se ha encontrado un subdesbordamiento de enteros en la última versión de ZCFees. Las variables "currPeriodIdx" y "lastPeriodExecIdx" son ambas enteras sin signo, y el resultado de una operación menos puede ser un entero negativo que conlleva a un desbordamiento. Los atacantes pueden modificar la marca de tiempo actual de la transacción de alguna manera y bloquear la ejecución de la función del proceso
Vulnerabilidad en el archivo shared/dlt_common.c en la función dlt_buffer_write_block en el demonio en GENIVI Diagnostic Log and Trace (DLT) (CVE-2020-36244)
Gravedad:
AltaAlta
Publication date: 10/02/2021
Last modified:
17/02/2021
Descripción:
El demonio en GENIVI Diagnostic Log and Trace (DLT) versiones anteriores a 2.18.6, presenta un desbordamiento de búfer en la región heap de la memoria en la función dlt_buffer_write_block en el archivo shared/dlt_common.c

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la implementación del análisis de paquetes del espacio de usuario en openvswitch (CVE-2020-35498)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
17/03/2021
Descripción:
Se encontró una vulnerabilidad en openvswitch. Una limitación en la implementación del análisis de paquetes del espacio de usuario puede permitir a un usuario malicioso envíe un paquete especialmente diseñado, lo que hace que el megaflujo resultante en el kernel sea demasiado amplio, causando potencialmente una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Vulnerabilidad en la captura de video en Wire para iOS (iPhone y iPad) (CVE-2021-21301)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
20/04/2021
Descripción:
Wire es una plataforma de colaboración de código abierto. En Wire para iOS (iPhone y iPad) anterior a versión 3.75, se presenta una vulnerabilidad en la que la captura de video no se detiene en un escenario en el que un usuario primero tiene su cámara habilitada y luego la deshabilita. Es un problema de privacidad porque el video se transmite a la llamada cuando el usuario cree que está deshabilitado. Afecta a todos los usuarios en las videollamadas. Esto se corrige en la versión 3.75
Vulnerabilidad en la comprobación de la entrada en el tipo "money" del adaptador PostgreSQL en Active Record (CVE-2021-22880)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
23/03/2021
Descripción:
El adaptador PostgreSQL en Active Record versiones anteriores a 6.1.2.1, 6.0.3.5, 5.2.4.5, sufre una vulnerabilidad de denegación de servicio de expresión regular (REDoS). Una entrada cuidadosamente diseñada puede causar que la comprobación de la entrada en el tipo "money" del adaptador de PostgreSQL en Active Record pase demasiado tiempo en una expresión regular, resultando en la posibilidad de un ataque DoS. Esto solo afecta a las aplicaciones Rails que usan PostgreSQL junto con las columnas de tipo money que toman la entrada del usuario
Vulnerabilidad en los encabezados "Host" especialmente diseñados en combinación con determinados formatos "allowed host" en el middleware de Autorización de Host en Action Pack (CVE-2021-22881)
Gravedad:
MediaMedia
Publication date: 11/02/2021
Last modified:
06/05/2021
Descripción:
El middleware de Autorización de Host en Action Pack versiones anteriores a 6.1.2.1, 6.0.3.5 sufre una vulnerabilidad de redireccionamiento abierto. Los encabezados "Host" especialmente diseñados en combinación con determinados formatos "allowed host" pueden causar que el middleware de Autorización del Host en Action Pack redireccione a los usuarios a un sitio web malicioso. Las aplicaciones afectadas habrán permitido hosts con un punto inicial. Cuando un host permitido contiene un punto inicial, un encabezado "Host" especialmente diseñado puede ser usado para redireccionar hacia un sitio web malicioso
CVE-2021-26937
Gravedad:
AltaAlta
Publication date: 09/02/2021
Last modified:
15/03/2021
Descripción:
El archivo encoding.c en GNU Screen versiones hasta 4.8.0, permite a atacantes remotos causar una denegación de servicio (acceso de escritura no válido y bloqueo de la aplicación) o posiblemente tener otro impacto no especificado por medio de una secuencia de caracteres UTF-8 diseñada
Vulnerabilidad en identificador no válidoel método "File.createTempFile" en el almacenamiento temporal de cargas en el disco en sistemas tipo Unix en Netty (CVE-2021-21290)
Gravedad:
BajaBaja
Publication date: 08/02/2021
Last modified:
06/04/2021
Descripción:
Netty es un framework de aplicación de red de código abierto y asíncrono controlado por eventos para el desarrollo rápido de servidores y clientes de protocolo de alto rendimiento mantenibles. En Netty anterior a la versión 4.1.59.Final, se presenta una vulnerabilidad en sistemas similares a Unix que involucra un archivo temporal no seguro. Cuando se usan los decodificadores multiparte de netty, la divulgación de información local puede ocurrir por medio del directorio temporal del sistema local si el almacenamiento temporal de cargas en el disco está habilitado. En sistemas tipo Unix, el directorio temporal se comparte entre todos los usuarios. Tal y como, escribir en este directorio utilizando las API que no establezcan explícitamente los permisos de archivo/directorio puede conducir a una divulgación de información. Cabe señalar que esto no afecta a los sistemas operativos MacOS modernos. El método "File.createTempFile" en sistemas similares a Unix crea un archivo aleatorio, pero, por defecto creará este archivo con los permisos "-rw-r - r--". Por lo tanto, si se escribe información confidencial en este archivo, otros usuarios locales pueden leer esta información. Este es el caso en el que "AbstractDiskHttpData" de netty es vulnerable. Esto ha sido corregido en la versión 4.1.59.Final. Como solución alternativa, se puede especificar su propio "java.io.tmpdir" al iniciar la JVM o utilizar "DefaultHttpDataFactory.setBaseDir(...)" para establecer el directorio en algo que solo el usuario actual pueda leer
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API) (CVE-2021-2007)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
17/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 5.6.47 y anteriores, 5.7.29 y anteriores y 8.0.19 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso de red por medio de múltiples protocolos comprometer a MySQL Client. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Client. CVSS 3.1 Puntuación Base 3.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2001)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.30 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication) (CVE-2021-2002)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API) (CVE-2021-2006)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Client. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Client. CVSS 3.1 Puntuación Base 5.3 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles) (CVE-2021-2009)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API) (CVE-2021-2010)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
17/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Client de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.32 y anteriores y 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Client. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Client y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Client. CVSS 3.1 Puntuación Base 4.2 (Impactos de Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges) (CVE-2021-2019)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 2.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2020)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2021)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2022)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.32 y anteriores y 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2016)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el envío de mensajes de correo electrónico en el archivo rfc822.c en Mutt (CVE-2021-3181)
Gravedad:
MediaMedia
Publication date: 19/01/2021
Last modified:
17/02/2021
Descripción:
El archivo rfc822.c en Mutt versiones hasta 2.0.4, permite a atacantes remotos causar una denegación de servicio (buzón de correo no disponible) mediante el envío de mensajes de correo electrónico con secuencias de caracteres de punto y coma en los campos de dirección RFC822 (también se conoce como terminadores de grupos vacíos). Un pequeño mensaje de correo electrónico del atacante puede causar un gran consumo de memoria y, por lo tanto, es posible que la víctima no pueda ver los mensajes de correo electrónico de otras personas
Vulnerabilidad en un archivo PEF en el archivo bfd/pef.c de binutils (CVE-2020-35493)
Gravedad:
MediaMedia
Publication date: 04/01/2021
Last modified:
17/02/2021
Descripción:
Se presenta un fallo en el archivo bfd/pef.c de binutils. Un atacante que pueda enviar un archivo PEF diseñado para que sea analizado por objdump podría causar un desbordamiento del búfer de pila -) lectura fuera de límites que podría tener un impacto en la disponibilidad de la aplicación. Este fallo afecta a binutils versiones anteriores a la 2.34.
Vulnerabilidad en las funciones ReadUvarint y ReadVarint en encoding/binary en Go (CVE-2020-16845)
Gravedad:
MediaMedia
Publication date: 06/08/2020
Last modified:
17/02/2021
Descripción:
Go versiones anteriores a 1.13.15 y versiones 14.x anteriores a 1.14.7, puede presentar un bucle de lectura infinito en las funciones ReadUvarint y ReadVarint en encoding/binary por medio de entradas no válidas
Vulnerabilidad en algunos servidores net/http en el Manejador httputil.ReverseProxy en Go (CVE-2020-15586)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
17/02/2021
Descripción:
Go versiones anteriores a 1.13.13 y versiones 1.14.x anteriores a 1.14.5, presenta una carrera de datos en algunos servidores net/http, como es demostrado por el Manejador httputil.ReverseProxy, porque lee un cuerpo de petición y escribe una respuesta al mismo tiempo
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14715)
Gravedad:
BajaBaja
Publication date: 15/07/2020
Last modified:
16/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14646)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
16/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 7.5 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14647)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
16/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 7.5 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14648)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
16/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14649)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
16/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 7.5 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14714)
Gravedad:
BajaBaja
Publication date: 15/07/2020
Last modified:
16/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en Visual Studio y Visual Studio Code de Microsoft (CVE-2020-1416)
Gravedad:
AltaAlta
Publication date: 14/07/2020
Last modified:
19/02/2021
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Visual Studio y Visual Studio Code cuando cargan dependencias de software, también se conoce como "Visual Studio and Visual Studio Code Elevation of Privilege Vulnerability'
Vulnerabilidad en Microsoft Graphics Components (CVE-2020-1412)
Gravedad:
AltaAlta
Publication date: 14/07/2020
Last modified:
19/02/2021
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que Microsoft Graphics Components maneja objetos en memoria, también se conoce como "Microsoft Graphics Components Remote Code Execution Vulnerability"
Vulnerabilidad en las respuestas DNS en servidores en Unbound (CVE-2020-12663)
Gravedad:
MediaMedia
Publication date: 19/05/2020
Last modified:
17/02/2021
Descripción:
Unbound versiones anteriores a 1.10.1, presenta un bucle infinito mediante respuestas DNS malformadas recibidas desde servidores aguas arriba.
Vulnerabilidad en el Volumen de Mensajes de Red en los registros NS en NSDNAME en Unbound (CVE-2020-12662)
Gravedad:
MediaMedia
Publication date: 19/05/2020
Last modified:
17/02/2021
Descripción:
Unbound versiones anteriores a 1.10.1, presenta un Control Insuficiente del Volumen de Mensajes de Red, también se conoce como un problema de "NXNSAttack". Esto es activado por subdominios aleatorios en NSDNAME en registros NS.
CVE-2020-11023
Gravedad:
MediaMedia
Publication date: 29/04/2020
Last modified:
05/05/2021
Descripción:
En jQuery versiones mayores o iguales a 1.0.3 y anteriores a la versión 3.5.0, passing HTML contiene elementos de fuentes no seguras – incluso después de sanearlo – para uno de los métodos de manipulación de jQuery ´s DOM ( i.e. html t(), adjunto (), y otros ) podrían ejecutar códigos no seguros. Este problema está corregido en JQuery 3.5.0.