Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la GUI de Secomea SiteManager (CVE-2020-29027)
Gravedad:
BajaBaja
Publication date: 16/02/2021
Last modified:
18/02/2021
Descripción:
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en la GUI de Secomea SiteManager, podría permitir a un atacante causar un ataque de tipo XSS. Este problema afecta: Secomea SiteManager todas las versiones anteriores a 9.3
Vulnerabilidad en el parámetro schedule_facility en el archivo interface/usergroup/usergroup_admin.php en OpenEMR (CVE-2020-29142)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
18/02/2021
Descripción:
Una vulnerabilidad de inyección SQL en el archivo interface/usergroup/usergroup_admin.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro schedule_facility cuando restrict_user_facility=on está en la configuración global
Vulnerabilidad en la página de reporte del plugin Jira Projects en Atlassian Jira Server y Data Center (CVE-2020-29451)
Gravedad:
MediaMedia
Publication date: 14/02/2021
Last modified:
18/02/2021
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos enumerar proyectos de Jira por medio de una vulnerabilidad de divulgación de información en la página de reporte del plugin Jira Projects. Las versiones afectadas son anteriores a la versión 8.5.11, desde la versión 8.6.0 anteriores a 8.13.3 y desde la versión 8.14.0 anteriores a 8.14.1
Vulnerabilidad en el endpoint /rest/api/2/customFieldOption/ en Atlassian Jira Server y Data Center (CVE-2020-36237)
Gravedad:
MediaMedia
Publication date: 14/02/2021
Last modified:
18/02/2021
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos no autenticados visualizar opciones de campo personalizadas por medio de una vulnerabilidad de divulgación de información en el endpoint /rest/api/2/customFieldOption/. Las versiones afectadas son anteriores a la versión 8.15.0
Vulnerabilidad en los clientes RPC en Apache Thrift (CVE-2020-13949)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
24/02/2021
Descripción:
En Apache Thrift versiones 0.9.3 hasta 0.13.0, los clientes RPC maliciosos podrían enviar mensajes cortos que resultarían en una gran asignación de memoria, conllevando potencialmente a una denegación de servicio
Vulnerabilidad en un servidor virtual de BIG-IP Advanced WAF y ASM (CVE-2021-22984)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
En BIG-IP Advanced WAF y ASM versiones 15.1.x anteriores a 15.1.0.2, versiones 15.0.x anteriores a 15.0.1.4, versiones 14.1.x anteriores a 14.1.2.5, versiones 13.1.x anteriores a 13.1.3.4, versiones 12.1.x anteriores a 12.1.5.2 y versiones 11.6.x anteriores a 11.6.5.2, cuando se recibe una petición de cliente no autenticado con un URI diseñado maliciosamente, un servidor virtual de BIG-IP Advanced WAF o ASM configurado con un perfil DoS con Proactive Bot Defense (versiones anteriores a 14.1.0) o un perfil Bot Defense (versiones 14.1.0 y posteriores) puede someter a los clientes y servidores web a ataques de redireccionamiento abierto. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD)
Vulnerabilidad en iControl REST en BIG-IP (CVE-2021-22978)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
24/02/2021
Descripción:
En BIG-IP versiones 16.0.x anteriores a 16.0.1, versiones 15.1.x anteriores a 15.1.1, versiones 14.1.x anteriores a 14.1.3.1, versiones 13.1.x anteriores a 13.1.3.5 y todas las versiones 12.1.xy 11.6.x, endpoints no divulgados en iControl REST permiten un ataque de tipo XSS reflejado, lo que podría conllevar a un compromiso completo de BIG-IP si el usuario víctima se otorgaba el rol de administrador. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD)
Vulnerabilidad en TMM en BIG-IP (CVE-2021-22977)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
En BIG-IP versiones 16.0.0-16.0.1 y 14.1.2.4-14.1.3, una cooperación entre el código de cliente HTTP malicioso y un servidor malicioso puede hacer a TMM reinicie y genere un archivo core. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD)
Vulnerabilidad en la utilidad de Configuración en una URL en BIG-IP AFM (CVE-2021-22983)
Gravedad:
BajaBaja
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
En BIG-IP AFM versiones 15.1.x anteriores a 15.1.1, versiones 14.1.x anteriores a 14.1.3.1 y versiones 13.1.x anteriores a 13.1.3.5, los usuarios autenticados que acceden a la utilidad de Configuración para AFM son vulnerables a un ataque de tipo cross-site scripting si intentan acceder a una URL diseñadas maliciosamente. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD)
Vulnerabilidad en la restricción de intentos de autenticación en LOGITEC LAN-WH450N/GR (CVE-2021-20635)
Gravedad:
BajaBaja
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
Una restricción inapropiada de intentos de autenticación excesivos en LOGITEC LAN-WH450N/GR, permite a un atacante en el alcance inalámbrico del dispositivo recuperar el PIN y acceder a la red
Vulnerabilidad en vectores no especificados en ELECOM File Manager (CVE-2021-20651)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
Una vulnerabilidad de salto de directorio en ELECOM File Manager, todas las versiones permite a atacantes remotos crear un archivo arbitrario o sobrescribir un archivo que puede ser accedido con privilegios de aplicación a por medio de vectores no especificados
Vulnerabilidad en un vector no especificado en ELECOM NCC-EWF100RMWH2 (CVE-2021-20650)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en ELECOM NCC-EWF100RMWH2, permite a atacantes remotos secuestrar la autenticación de los administradores y ejecutar una petición arbitraria por medio de un vector no especificado. Como resultado, la configuración del dispositivo puede ser alterada y/o puede ser iniciado el demonio telnet
Vulnerabilidad en el procesamiento de una petición en ELECOM LD-PS/U1 (CVE-2021-20643)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
La vulnerabilidad de control de acceso inapropiado en ELECOM LD-PS/U1, permite a atacantes remotos cambiar la contraseña administrativa del dispositivo afectado al procesar una petición especialmente diseñada
Vulnerabilidad en el envío de una URL en LOGITEC LAN-W300N/RS (CVE-2021-20642)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
Una comprobación inapropiada o el manejo de condiciones excepcionales en LOGITEC LAN-W300N/RS, permite a un atacante remoto causar una condición de denegación de servicio (DoS) al enviar una URL especialmente diseñada
Vulnerabilidad en una URL en LOGITEC LAN-W300N/RS (CVE-2021-20641)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en LOGITEC LAN-W300N/RS, permite a atacantes remotos secuestrar la autenticación de los administradores por medio de una URL especialmente diseñada. Como resultado, se pueden realizar operaciones no deseadas en el dispositivo, como cambios en la configuración del dispositivo
Vulnerabilidad en el envío de una URL en LOGITEC LAN-W300N/PR5B (CVE-2021-20637)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
Una comprobación inapropiada o manejo de condiciones excepcionales en LOGITEC LAN-W300N/PR5B, permite a un atacante remoto causar una condición de denegación de servicio (DoS) al enviar una URL especialmente diseñada
Vulnerabilidad en una URL en LOGITEC LAN-W300N/PR5B (CVE-2021-20636)
Gravedad:
MediaMedia
Publication date: 12/02/2021
Last modified:
18/02/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en LOGITEC LAN-W300N/PR5B, permite a atacantes remotos secuestrar la autenticación de los administradores por medio de una URL especialmente diseñada. Como resultado, se pueden realizar operaciones no deseadas en el dispositivo, como cambios en la configuración del dispositivo

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: