Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la Interfaz de Usuario Web en IBM Jazz Reporting Service (CVE-2020-4933)
Gravedad:
BajaBaja
Publication date: 18/02/2021
Last modified:
22/02/2021
Descripción:
IBM Jazz Reporting Service versiones 6.0.6.1, 7.0, 7.0.1 y 7.0.2, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 191751
Vulnerabilidad en el envío de una petición URL en IBM WebSphere Application Server (CVE-2021-20354)
Gravedad:
AltaAlta
Publication date: 18/02/2021
Last modified:
22/02/2021
Descripción:
IBM WebSphere Application Server versiones 8.0, 8.5 y 9.0, podría permitir a un atacante remoto un salto de directorio. Un atacante podría enviar una petición URL especialmente diseñada que contenga secuencias "dot dot" (/../) para visualizar archivos arbitrarios en el sistema. IBM X-Force ID: 194883
Vulnerabilidad en una funcionalidad ejecutable en IBM Maximo for Civil Infrastructure (CVE-2021-20443)
Gravedad:
MediaMedia
Publication date: 18/02/2021
Last modified:
22/02/2021
Descripción:
IBM Maximo for Civil Infrastructure versión 7.6.2, incluye una funcionalidad ejecutable (tal y como una biblioteca) de una fuente que está fuera de la esfera de control prevista. IBM X-Force ID: 196619
Vulnerabilidad en la Interfaz de Usuario Web en IBM Maximo for Civil Infrastructure (CVE-2021-20444)
Gravedad:
MediaMedia
Publication date: 18/02/2021
Last modified:
22/02/2021
Descripción:
IBM Maximo for Civil Infrastructure versión 7.6.2, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. Identificación de IBM X-Force: 196620
Vulnerabilidad en el almacenamiento de credenciales de autenticación en IBM Maximo for Civil Infrastructure (CVE-2021-20445)
Gravedad:
MediaMedia
Publication date: 18/02/2021
Last modified:
22/02/2021
Descripción:
IBM Maximo for Civil Infrastructure versión 7.6.2, podría permitir a un usuario obtener información confidencial debido a un almacenamiento no seguro de credenciales de autenticación. IBM X-Force ID: 196621
Vulnerabilidad en el Flujo de Control en el plugin WPG para IrfanView (CVE-2021-27362)
Gravedad:
AltaAlta
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
El plugin WPG versión anterior a 3.1.0.0 para IrfanView versión 4.57, presenta una Violación de Acceso de Lectura en el Flujo de Control que comienza en WPG! ReadWPG_W+0x0000000000000133, lo que podría permitir a atacantes remotos ejecutar código arbitrario
Vulnerabilidad en el Flujo de Control en el plugin WPG para IrfanView (CVE-2021-27224)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
El plugin WPG versión anterior a 3.1.0.0 para IrfanView 4.57, presenta una Violación de Acceso de Lectura en el Flujo de Control que comienza en WPG + 0x0000000000012ec6, lo que podría permitir a atacantes remotos ejecutar código arbitrario
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12365)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una desreferencia de puntero no confiable en algunos Intel® Graphics Drivers versiones anteriores a 15.33.51.5146, 15.45.32.5145, 15.36.39.5144 y 15.40.46.5143, puede permitir que un usuario autenticado potencialmente lleve a cabo una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el Intel® HD Graphics Control Panel (CVE-2020-0518)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
04/03/2021
Descripción:
Un control de acceso inapropiado en el Intel® HD Graphics Control Panel versiones anteriores a 15.40.46.5144 y 15.36.39.5143, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-0521)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una administración insuficiente del flujo de control en algunos Intel® Graphics Drivers versiones anteriores a 15.45.32.5145, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red (CVE-2020-0522)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una inicialización inapropiada en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red versión anterior a 3.30, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red (CVE-2020-0523)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso inapropiado en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red versión anterior a 3.30, puede permitir a un usuario privilegiado habilitar una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red (CVE-2020-0524)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Los permisos inapropiados predeterminados en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red versión anterior a 3.30, pueden permitir a un usuario autenticado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red (CVE-2020-0525)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso inapropiado en el firmware para la serie Intel® Ethernet I210 Controller de adaptadores de red versión anterior a 3.30, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el controlador de modo kernel para algunos Intel® Graphics Drivers (CVE-2020-0544)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una administración insuficiente del flujo de control en el controlador de modo kernel para algunos Intel® Graphics Drivers versiones anteriores a 15.36.39.5145, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en el acceso de red en la API para Intel® Collaboration Suite para WebRTC (CVE-2020-12339)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una administración insuficiente del flujo de control en la API para Intel® Collaboration Suite para WebRTC versiones anteriores a 4.3.1, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso de red
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12361)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un uso de la memoria previamente liberada en algunos Intel® Graphics Drivers versiones anteriores a 15.33.51.5146, puede permitir a un usuario autenticado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para algunos Intel® Graphics Drivers para Windows* y el kernel de Linux (CVE-2020-12362)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un desbordamiento de enteros en el firmware para algunos Intel® Graphics Drivers para Windows* versiones anteriores a 26.20.100.7212 y versiones anteriores a 5.5 del kernel de Linux, puede permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers para Windows* y el kernel de Linux (CVE-2020-12363)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una comprobación inapropiada de la entrada en algunos Intel® Graphics Drivers para Windows* versiones anteriores a 26.20.100.7212 y versiones anteriores a 5.5 del kernel de Linux, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers para Windows* y el kernel de Linux (CVE-2020-12364)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una referencia de puntero null en algunos Intel® Graphics Drivers para Windows* versiones anteriores a 26.20.100.7212 y la versión 5.5 del kernel de Linux, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12366)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una comprobación insuficiente de la entrada en algunos Intel® Graphics Drivers versiones anteriores a 27.20.100.8587, puede permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12367)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un desbordamiento de enteros en algunos Intel® Graphics Drivers versiones anteriores a 26.20.100.8476, puede permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12368)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un desbordamiento de enteros en algunos Intel® Graphics Drivers versiones anteriores a 26.20.100.8141, puede permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12369)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una escritura fuera de límites en algunos Intel® Graphics Drivers versiones anteriores a 26.20.100.8336, puede permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12370)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una desreferencia de puntero no confiable en algunos Intel® Graphics Drivers versiones anteriores a 26.20.100.8141, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12371)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Dividir por cero en algunos Intel® Graphics Drivers versiones anteriores a 26.20.100.8141, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12372)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un valor de retorno no comprobado en algunos Intel® Graphics Drivers versiones anteriores a 26.20.100.8141, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware BMC para algunos Intel® Server Boards, Server Systems and Compute Modules (CVE-2020-12375)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un desbordamiento de pila en el firmware BMC para algunos Intel® Server Boards, Server Systems and Compute Modules versiones anteriores a 2.47, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware BMC para algunos Intel® Server Boards, Server Systems and Compute Modules (CVE-2020-12376)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un uso de una clave embebida en el firmware BMC para algunos Intel® Server Boards, Server Systems and Compute Modules versiones anteriores a 2.47, puede permitir que el usuario autenticado habilitar potencialmente una divulgación de información por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware de BMC para algunos Intel® Server Boards, Server Systems and Compute Modules (CVE-2020-12377)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una comprobación insuficiente de la entrada en el firmware de BMC para algunos Intel® Server Boards, Server Systems and Compute Modules versiones anteriores a 2.47, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware BMC para algunos Intel® Server Boards, Server Systems and Compute Modules (CVE-2020-12380)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una lectura fuera de límites del firmware BMC para algunos Intel® Server Boards, Server Systems and Compute Modules versiones anteriores a 2.47, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12384)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso inapropiado en algunos Intel® Graphics Drivers versiones anteriores a 26.20.100.8476, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos Intel® Graphics Drivers (CVE-2020-12385)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una comprobación inapropiada de la entrada en algunos Intel® Graphics Drivers versión anterior a 26.20.100.8141, puede permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para Intel® 722 Ethernet Controllers (CVE-2020-24492)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso insuficiente en el firmware para Intel® 722 Ethernet Controllers versión anterior a 1.5, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para la Intel® 700-series de Ethernet Controllers (CVE-2020-24493)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso insuficiente en el firmware para la Intel® 700-series de Ethernet Controllers versión anterior a 8.0, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para Intel® 722 Ethernet Controllers (CVE-2020-24494)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso insuficiente en el firmware para Intel® 722 Ethernet Controllers versión anterior a 1.4.3, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para la Intel® 700-series de Ethernet Controllers (CVE-2020-24495)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso insuficiente en el firmware para la Intel® 700-series de Ethernet Controllers versión anterior a 7.3, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para Intel® 722 Ethernet Controllers (CVE-2020-24496)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una comprobación insuficiente de la entrada en el firmware para Intel® 722 Ethernet Controllers versión anterior a 1.4.3, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para Intel® E810 Ethernet Controllers (CVE-2020-24497)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso insuficiente en el firmware para Intel® E810 Ethernet Controllers versión anterior a 1.4.1.13, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para Intel® E810 Ethernet Controllers (CVE-2020-24498)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un desbordamiento del búfer en el firmware para Intel® E810 Ethernet Controllers versión anterior a 1.4.1.13, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para Intel® E810 Ethernet Controllers (CVE-2020-24500)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un desbordamiento del búfer en el firmware para Intel® E810 Ethernet Controllers versión anterior a 1.4.1.13, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso adyacente en el firmware para Intel® E810 Ethernet Controllers (CVE-2020-24501)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un desbordamiento del búfer en el firmware para Intel® E810 Ethernet Controllers versión anterior a 1.4.1.13, puede permitir a un usuario no autenticado habilitar potencialmente una denegación de servicio por medio de un acceso adyacente
Vulnerabilidad en un acceso local en algunos controladores Intel® Ethernet E810 Adapter para Linux y Windows* (CVE-2020-24502)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una comprobación inapropiada de la entrada en algunos controladores Intel® Ethernet E810 Adapter para Linux versión anterior a 1.0.4 y versión anterior a 1.4.29.0 para Windows*, puede permitir a un usuario autenticado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en algunos controladores Intel® Ethernet E810 Adapter para Linux (CVE-2020-24503)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un control de acceso insuficiente en algunos controladores Intel® Ethernet E810 Adapter para Linux versión anterior a 1.0.4, puede permitir a un usuario autenticado habilitar potencialmente una divulgación de información por medio de un acceso local
Vulnerabilidad en un acceso local en algunos controladores Intel® Ethernet E810 Adapter para Linux (CVE-2020-24504)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un consumo de recursos no controlado en algunos controladores Intel® Ethernet E810 Adapter para Linux versión anterior a 1.0.4, puede permitir a un usuario autenticado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware para la Intel® 700-series de Ethernet Controllers (CVE-2020-24505)
Gravedad:
BajaBaja
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una comprobación insuficiente de la entrada en el firmware para la Intel® 700-series de Ethernet Controllers versión anterior a 7.3, puede permitir a un usuario privilegiado habilitar potencialmente una denegación de servicio por medio de un acceso local
Vulnerabilidad en un acceso local en los Intel® Graphics Drivers (CVE-2020-8678)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Un Control de Acceso Inapropiado para los Intel® Graphics Drivers versiones anteriores a 15.45.33.5164 y 27.20.100.8280, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el instalador para Intel® SSD Toolbox (CVE-2020-8701)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Los permisos predeterminados incorrectos en el instalador para Intel® SSD Toolbox versiones anteriores al 9/2/2021, pueden permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el instalador para Intel® RealSense™ DCM (CVE-2020-8765)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Los permisos predeterminados incorrectos en el instalador para Intel® RealSense™ DCM pueden permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el paquete de controladores Intel® SOC para STK1A32SC (CVE-2021-0109)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Los permisos heredados no seguros para el paquete de controladores Intel® SOC para STK1A32SC versión anterior a 604, pueden permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en la interfaz de usuario en la página de solución de problemas en McAfee Web Gateway (MWG) (CVE-2021-23885)
Gravedad:
AltaAlta
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Una vulnerabilidad de escalada de privilegios en McAfee Web Gateway (MWG) versiones anteriores a 9.2.8, permite a un usuario autenticado alcanzar privilegios elevados por medio de la interfaz de usuario y ejecutar comandos en el dispositivo por medio de la neutralización inapropiada e incorrecta de la entrada del usuario en la página de solución de problemas
Vulnerabilidad en encabezados Transfer-Encoding en el paquete com.typesafe.akka:akka-http-core (CVE-2021-23339)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Esto afecta a todas las versiones del paquete com.typesafe.akka:akka-http-core. Este permite múltiples encabezados Transfer-Encoding
Vulnerabilidad en Surveillance Station en los dispositivos NAS de QNAP (CVE-2020-2501)
Gravedad:
AltaAlta
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Se ha reportado una vulnerabilidad de desbordamiento del búfer en la región stack de la memoria que afecta a los dispositivos NAS de QNAP que ejecutan Surveillance Station. Si es explotada, esta vulnerabilidad permite a atacantes ejecutar código arbitrario. QNAP ya ha corregido esta vulnerabilidad en las siguientes versiones: Surveillance Station versiones 5.1.5.4.3 (y posterior) para ARM CPU NAS (SO de 64 bits) y x86 CPU NAS (SO de 64 bits) Surveillance Station versiones 5.1.5.3.3 (y posterior) para ARM CPU NAS (sistema operativo de 32 bits) y CPU NAS x86 (sistema operativo de 32 bits)
Vulnerabilidad en Photo Station de QNAP (CVE-2020-2502)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
Esta vulnerabilidad de tipo cross-site scripting en Photo Station, permite a atacantes remotos inyectar código malicioso. QNAP ya ha corregido esta vulnerabilidad en las siguientes versiones de Photo Station. Photo Station versiones 6.0.11 y posterior
Vulnerabilidad en vectores no especificados en FileZen (CVE-2021-20655)
Gravedad:
AltaAlta
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
FileZen (versiones V3.0.0 hasta V4.2.7 y versiones V5.0.0 hasta V5.0.2) permite a un atacante remoto con derechos de administrador ejecutar comandos arbitrarios del Sistema Operativo por medio de vectores no especificados
Vulnerabilidad en certificados no válidos en OPC UA .NET Standard Stack (CVE-2020-29457)
Gravedad:
BajaBaja
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en OPC UA .NET Standard Stack versión 1.4.363.107, permite a atacantes establecer una conexión usando certificados no válidos
Vulnerabilidad en la visualización de eventos de syslog en el dispositivo MIDGE de Racom (CVE-2021-20067)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
El dispositivo MIDGE de Racom versión de Firmware 4.4.40.105, contiene un problema que permite a atacantes visualizar eventos de syslog confidenciales sin autenticación
Vulnerabilidad en el dispositivo MIDGE de Racom (CVE-2021-20072)
Gravedad:
AltaAlta
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
El dispositivo MIDGE de Racom versión de Firmware 4.4.40.105, contiene un problema que permite a atacantes acceder y eliminar archivos arbitrariamente por medio de un salto de directorio autenticado
Vulnerabilidad en el dispositivo MIDGE de Racom (CVE-2021-20073)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
El dispositivo MIDGE de Racom versión de Firmware 4.4.40.105, contiene un problema que permite ataques de tipo cross-site request forgery
Vulnerabilidad en la interfaz de línea de comandos en el dispositivo MIDGE de Racom (CVE-2021-20074)
Gravedad:
AltaAlta
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
El dispositivo MIDGE de Racom versión de Firmware 4.4.40.105, contiene un problema que permite a usuarios escapar de la interfaz de línea de comandos proporcionada y ejecutar comandos arbitrarios del Sistema Operativo
Vulnerabilidad en el búfer del usuario Type3 en códigos IOCTL en METHOD_NEITHER en Dekart Private Disk (CVE-2021-27203)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
En Dekart Private Disk versión 2.15, un uso no válido del búfer del usuario Type3 para códigos IOCTL usando METHOD_NEITHER da como resultado una desreferencia de memoria arbitraria
Vulnerabilidad en Hilscher EtherNet/IP Core (CVE-2021-20987)
Gravedad:
AltaAlta
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
Se encontró una vulnerabilidad de denegación de servicio y corrupción de memoria en Hilscher EtherNet/IP Core versiones V2 anteriores a V2.13.0.21, que puede conllevar a una inyección de código a través de la red o hacer que los dispositivos se bloqueen sin recuperación
Vulnerabilidad en las funciones si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() en los parámetros de servicio en la Biblioteca System Information para Node.JS (paquete npm "systeminformation") (CVE-2021-21315)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
24/02/2021
Descripción:
La Biblioteca System Information para Node.JS (paquete npm "systeminformation") es una colección de funciones de código abierto para recuperar información detallada sobre el hardware, el sistema y el SO. En systeminformation versiones anteriores a 5.3.1, se presenta una vulnerabilidad de inyección de comandos. El problema se ha corregido en la versión 5.3.1. Como solución en lugar de actualizar, asegúrese de comprobar o sanear los parámetros de servicio que son pasados a las funciones si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... sólo permiten cadenas, rechazan cualquier matriz. El saneamiento de cadenas funciona como se esperaba
Vulnerabilidad en la función SetCameraConnectionParameter en el control ActiveX RTSPLive555.dll en Internet Explorer en Pelco Digital Sentry Server (CVE-2021-27232)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
El control ActiveX RTSPLive555.dll en Pelco Digital Sentry Server versión 7.18.72.11464, presenta un desbordamiento del búfer en la región stack de la memoria en la función SetCameraConnectionParameter. Esto puede ser explotado por un atacante remoto para ejecutar potencialmente código arbitrario suministrado por el atacante. La víctima tendría que visitar una página web maliciosa usando Internet Explorer donde se podría desencadenar el exploit
Vulnerabilidad en una URL en una lista de servidores en el texto Open Webpage en Mumble (CVE-2021-27229)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
Mumble versiones anteriores a 1.3.4, permite una ejecución de código remota si una víctima navega hacia una URL diseñada en una lista de servidores y hace clic sobre el texto Open Webpage
Vulnerabilidad en la página Settings.asp en el portal de administración de la aplicación web en Mutare Voice (EVM) (CVE-2021-27233)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
Se detectó un problema en Mutare Voice (EVM) versiones 3.x anteriores a 3.3.8. En el portal de administración de la aplicación web, la información de la contraseña para sistemas externos es visible en texto sin cifrar. La página Settings.asp está afectada por este problema
Vulnerabilidad en los archivos Adminlog.asp, Archivemsgs.asp, Deletelog.asp, Eventlog.asp y Evmlog.asp en la aplicación web en Mutare Voice (EVM) (CVE-2021-27234)
Gravedad:
AltaAlta
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
Se detectó un problema en Mutare Voice (EVM) versiones 3.x anteriores a 3.3.8. La aplicación web sufre de inyección SQL en los archivos Adminlog.asp, Archivemsgs.asp, Deletelog.asp, Eventlog.asp y Evmlog.asp
Vulnerabilidad en el archivo diagzip.asp en el portal de administración de la aplicación web en Mutare Voice (EVM) (CVE-2021-27235)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
Se detectó un problema en Mutare Voice (EVM) versiones 3.x anteriores a 3.3.8. En el portal de administración de la aplicación web, existe una funcionalidad en el archivo diagzip.asp que permite a cualquiera exportar tablas de una base de datos
Vulnerabilidad en el archivo getfile.asp en Mutare Voice (EVM) (CVE-2021-27236)
Gravedad:
AltaAlta
Publication date: 16/02/2021
Last modified:
22/02/2021
Descripción:
Se detectó un problema en Mutare Voice (EVM) versiones 3.x anteriores a 3.3.8. El archivo getfile.asp permite una Inclusión de Archivos Locales No Autenticados, que puede ser aprovechada para lograr una Ejecución de Código Remota
Vulnerabilidad en la Autorización en la interfaz de usuario web de Dell EMC Avamar Server (CVE-2021-21511)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Dell EMC Avamar Server, versiones 19.3 y 19.4, contienen una vulnerabilidad de Autorización Inapropiada en la Interfaz de Usuario web. Un atacante remoto con pocos privilegios podría aprovechar esta vulnerabilidad para obtener acceso no autorizado de lectura o modificación a los datos de respaldo de otros usuarios
Vulnerabilidad en el parámetro searchFields en el archivo interface/main/finder/patient_select.php de library/patient.inc en OpenEMR (CVE-2020-29139)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Una vulnerabilidad de inyección SQL en el archivo interface/main/finder/ patient_select.php de library/patient.inc en OpenEMR versiones anteriores a 5.0.2.5 permite que un atacante autenticado remotamente ejecute comandos SQL arbitrarios por medio del parámetro searchFields
Vulnerabilidad en el parámetro form_code en el archivo interface/reports/immunization_report.php en OpenEMR (CVE-2020-29140)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Una vulnerabilidad de inyección SQL en el archivo interface/reports/immunization_report.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro form_code
Vulnerabilidad en el parámetro form_code en el archivo interface/reports/non_reported.php en OpenEMR (CVE-2020-29143)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Una vulnerabilidad de inyección SQL en el archivo interface/reports/non_reported.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro form_code
Vulnerabilidad en la autenticación en el área de usuario de Library System (CVE-2021-26200)
Gravedad:
AltaAlta
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
El área de usuario de Library System versión 1.0, es vulnerable a la inyección SQL, donde un usuario puede omitir la autenticación e iniciar sesión como usuario administrador
Vulnerabilidad en una consulta SQL en el campo username en el panel de inicio de sesión de CASAP Automated Enrollment System (CVE-2021-26201)
Gravedad:
AltaAlta
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
El panel de inicio de sesión de CASAP Automated Enrollment System versión 1.0, es vulnerable a una omisión de la autenticación de inyección SQL. Un atacante puede obtener acceso al panel de administración insertando una consulta SQL en el campo username de la página de inicio de sesión
Vulnerabilidad en el parámetro POST "searchteacher" en el archivo search-teacher.php en Teachers Record Management System (CVE-2021-26822)
Gravedad:
AltaAlta
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Teachers Record Management System versión 1.0, está afectado por una vulnerabilidad de inyección SQL en el parámetro POST "searchteacher" en el archivo search-teacher.php. Esta vulnerabilidad puede ser aprovechada por un atacante remoto no autenticado para filtrar información confidencial y realizar ataques de ejecución de código
Vulnerabilidad en el servidor web de hosting en E-Learning System (CVE-2021-3239)
Gravedad:
AltaAlta
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
E-Learning System versión 1.0, sufre de una vulnerabilidad de inyección SQL no autenticada, que permite a atacantes remotos ejecutar código arbitrario en el servidor web de hosting y obtener un shell inverso
Vulnerabilidad en la funcionalidad backup restore en el módulo Utils/Unzip en Microweber (CVE-2020-28337)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Un problema de salto de directorio en el módulo Utils/Unzip en Microweber versiones hasta 1.1.20, permite a un atacante autenticado conseguir una ejecución de código remota por medio de la funcionalidad backup restore. Para explotar la vulnerabilidad, un atacante debe tener las credenciales de un usuario administrativo, cargar un archivo ZIP construido maliciosamente con rutas de archivo que incluyan rutas relativas (es decir, ../../), mover este archivo al directorio de copia de seguridad y ejecutar una restaurar en este archivo
Vulnerabilidad en steghide (CVE-2021-27211)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
steghide versión 0.5.1, se basa en un cierto valor de seed de 32 bits, lo que facilita a atacantes la detección de datos ocultos
Vulnerabilidad en Centreon (CVE-2020-22425)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Centreon versión 19.10-3.el7, está afectado por una vulnerabilidad de inyección SQL, donde un usuario autorizado puede inyectar consultas SQL adicionales para llevar a cabo una ejecución de comandos remota
Vulnerabilidad en NagiosXI (CVE-2020-22427)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
NagiosXI versión 5.6.11, está afectado por una vulnerabilidad de ejecución de código remota (RCE). Un usuario autenticado puede inyectar comandos adicionales en una petición
Vulnerabilidad en Nagios XI (CVE-2020-24899)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Nagios XI versión 5.7.2, está afectado por una vulnerabilidad de ejecución de código remota (RCE). Un usuario autenticado puede inyectar comandos adicionales en la consulta webapp normal
Vulnerabilidad en la función file upload del GateManager (CVE-2020-29026)
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
22/02/2021
Descripción:
Se presenta una vulnerabilidad de salto de directorio en la función file upload del GateManager que permite a un atacante autenticado con permisos administrativos leer y escribir archivos arbitrarios en el sistema de archivos de Linux. Este problema afecta a: GateManager todas las versiones anteriores a 9.2c
Vulnerabilidad en un paquete en el archivo schema_init.c y checkTime en slapd en la función issuerAndThisUpdateCheck en OpenLDAP (CVE-2021-27212)
Gravedad:
MediaMedia
Publication date: 14/02/2021
Last modified:
22/02/2021
Descripción:
En OpenLDAP versiones hasta 2.4.57 y versiones 2.5.x hasta 2.5.1alpha, puede ocurrir un fallo de aserción en slapd en la función issuerAndThisUpdateCheck por medio de un paquete diseñado, resultando en una denegación de servicio (salida del demonio) por medio de una marca de tiempo corta. Esto está relacionado con el archivo schema_init.c y checkTime
Vulnerabilidad en el desarrollo de aplicaciones web webLucee Server en Lucee Server y Lucee Admin (CVE-2021-21307)
Gravedad:
AltaAlta
Publication date: 11/02/2021
Last modified:
22/02/2021
Descripción:
Lucee Server es un lenguaje dinámico, de etiquetado y scripting de comandos basado en Java (JSR-223) que es utilizado para el desarrollo rápido de aplicaciones web. En Lucee Admin anterior a versiones 5.3.7.47, 5.3.6.68 o 5.3.5.96 se presenta una explotación de código remota no autenticada. Esto es corregido en las versiones 5.3.7.47, 5.3.6.68 o 5.3.5.96. Como solución alternativa, se puede bloquear el acceso a Lucee Administrator
Vulnerabilidad en mecanismo Anti CSRF en un formulario web en Teradici Cloud Access Connector (CVE-2020-13186)
Gravedad:
BajaBaja
Publication date: 11/02/2021
Last modified:
22/02/2021
Descripción:
Se detectó que faltaba un mecanismo Anti CSRF en Teradici Cloud Access Connector versión v31 y anterior, en un formulario web específico, lo que permitió a un atacante con conocimiento tanto del machineID como de la GUID del usuario modificar los datos si un usuario hacía clic en un enlace malicioso
Vulnerabilidad en el ID de sesión en JetBrains Code With Me (CVE-2021-25755)
Gravedad:
BajaBaja
Publication date: 03/02/2021
Last modified:
22/02/2021
Descripción:
En JetBrains Code With Me versiones anteriores a 2020.3, un atacante en la red local, conociendo un ID de sesión, podría conseguir acceso al tráfico cifrado

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la derivación de punteros caducados en algunos controladores gráficos de Intel(R) (CVE-2020-12373)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
22/02/2021
Descripción:
La derivación de punteros caducados en algunos controladores gráficos de Intel(R) anteriores a la versión 26.20.100.8141 puede permitir a un usuario con privilegios habilitar potencialmente una denegación de servicio mediante acceso local.
Vulnerabilidad en comprobación de una petición pendiente en dnsmasq (CVE-2020-25686)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Se encontró un fallo en dnsmasq versiones anteriores a 2.83. Al recibir una consulta, dnsmasq no comprueba si existe una petición pendiente existente para el mismo nombre y reenvía una nueva petición. Por defecto, se puede enviar un máximo de 150 consultas pendientes a los servidores aguas arriba, por lo que puede haber como máximo 150 consultas para el mismo nombre. Este fallo permite a un atacante fuera de ruta en la red reduzca sustancialmente el número de intentos que tendría que realizar para falsificar una respuesta y hacer que dnsmasq la acepte. Este problema se menciona en la sección "Birthday Attacks" de RFC5452. Si se encadenaba con CVE-2020-25684, se reduce la complejidad del ataque de un ataque con éxito. La mayor amenaza de esta vulnerabilidad es la integridad de los datos
CVE-2020-25684
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Se encontró un fallo en dnsmasq versiones anteriores a 2.83. Al obtener una respuesta de una consulta reenviada, dnsmasq comprueba en forward.c:reply_query() si la dirección y puerto de destino de la respuesta es utilizado por las consultas reenviadas pendientes. Sin embargo, no usa la dirección y puerto para recuperar la consulta reenviada exacta, lo que reduce sustancialmente la cantidad de intentos que un atacante en la red tendría que realizar para falsificar una respuesta y lograr que dnsmasq la acepte. Este problema contrasta con RFC5452, que especifica los atributos de una consulta que deben ser usados para hacer coincidir una respuesta. Este fallo permite a un atacante realizar un ataque de envenenamiento de caché de DNS. Si está encadenado con CVE-2020-25685 o CVE-2020-25686, se reduce la complejidad del ataque de un ataque con éxito. La mayor amenaza de esta vulnerabilidad es la integridad de los datos
CVE-2020-25685
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Se encontró un fallo en dnsmasq versiones anteriores a 2.83. Al obtener una respuesta de una consulta reenviada, dnsmasq comprueba en forward.c:reply_query(), que es la consulta reenviada que coincide con la respuesta, usando solo un hash débil del nombre de la consulta. Debido al hash débil (CRC32 cuando dnsmasq se compila sin DNSSEC, SHA-1 cuando lo es), este fallo permite a un atacante fuera de ruta encontrar varios dominios diferentes que tengan el mismo hash, reduciendo sustancialmente el número de intentos que tendrían que realizar para falsificar una respuesta y conseguir que dnsmasq la acepte. Esto contrasta con RFC5452, que especifica que el nombre de la consulta es uno de los atributos de una consulta que debe ser usada para hacer coincidir una respuesta. Se puede abusar de este fallo para realizar un ataque de envenenamiento de caché de DNS. Si se encadena con CVE-2020-25684, se reduce la complejidad del ataque de un ataque con éxito
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles) (CVE-2021-2009)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges) (CVE-2021-2012)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2016)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.19 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2021)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2024)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2028)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS:(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2030)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2031)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Information Schema) (CVE-2021-2032)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Information Schema). Las versiones compatibles que están afectadas son 5.7.32 y anteriores y 8.0.22 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 4.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services) (CVE-2021-2038)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2042)
Gravedad:
BajaBaja
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta MySQL Server comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 2.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure) (CVE-2021-2046)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Aunque la vulnerabilidad se encuentra en MySQL Server, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.8 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-2048)
Gravedad:
AltaAlta
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server, así como en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 5.0 (Impactos de la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2055)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2056)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Locking) (CVE-2021-2058)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Locking). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2060)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 5.6.50 y anteriores, 5.7.32 y anteriores y 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL) (CVE-2021-2061)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2065)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2070)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure) (CVE-2021-2072)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2076)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure) (CVE-2021-2081)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2087)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta MySQL Server comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2088)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta MySQL Server comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL) (CVE-2021-2122)
Gravedad:
MediaMedia
Publication date: 20/01/2021
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL). Las versiones compatibles que están afectadas son 8.0.22 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en los archivos DGN en Open Design Alliance Drawings SDK (CVE-2021-25174)
Gravedad:
MediaMedia
Publication date: 18/01/2021
Last modified:
04/03/2021
Descripción:
Se detectó un problema en Open Design Alliance Drawings SDK versiones anteriores a 2021.12. Se presenta una vulnerabilidad de corrupción de la memoria al leer archivos DGN malformados. Puede permitir a los atacantes causar un bloqueo, permitiendo potencialmente un ataque de denegación de servicio (Bloqueo, Salida o Reinicio)
Vulnerabilidad en el archivo /opcodes/tic4x-dis.c de binutils (CVE-2020-35494)
Gravedad:
MediaMedia
Publication date: 04/01/2021
Last modified:
22/02/2021
Descripción:
Se presenta un fallo en el archivo /opcodes/tic4x-dis.c de binutils. Un atacante que puede enviar un archivo de entrada diseñado para que sea procesado por binutils podría causar el uso de la memoria no inicializada. La mayor amenaza es la disponibilidad de la aplicación con una menor amenaza para la confidencialidad de los datos. Este fallo afecta a binutils versiones anteriores a la 2.34.
Vulnerabilidad en el archivo bfd/pef.c en la función bfd_pef_scan_start_address() en binutils (CVE-2020-35496)
Gravedad:
MediaMedia
Publication date: 04/01/2021
Last modified:
22/02/2021
Descripción:
Se presenta un fallo en la función bfd_pef_scan_start_address() del archivo bfd/pef.c en binutils que podría permitir que un atacante que puede enviar un archivo diseñado para ser procesado por objdump cause una desreferencia del puntero NULL. La mayor amenaza de este fallo es la disponibilidad de la aplicación. Este fallo afecta a binutils versiones anteriores a la 2.34.
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: FTS) (CVE-2020-14765)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: FTS). Las versiones compatibles que están afectadas son 5.6.49 y anteriores, 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en la interacción entre los gadgets de serialización y la escritura en com.pastdev.httpcomponents.configuration.JndiConfiguration en FasterXML jackson-databind (CVE-2020-24750)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.6, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionada con com.pastdev.httpcomponents.configuration.JndiConfiguration
Vulnerabilidad en la interacción entre los dispositivos de serialización y la escritura en FasterXML jackson-databind (CVE-2020-24616)
Gravedad:
MediaMedia
Publication date: 25/08/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.6, maneja inapropiadamente la interacción entre los dispositivos de serialización y la escritura, relacionada con br.com.anteros.dbcp.AnterosDBCPDataSource (también se conoce como Anteros-DBCP)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14628)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Nota: El CVE-2020-14628 es aplicable solo a Windows VM. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14674)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.44, anteriores a 6.0.24 y anteriores a 6.1.12. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 7.5 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en los gadgets de serialización y escritura en FasterXML jackson-databind (CVE-2020-14195)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.5, maneja inapropiadamente la interacción entre los gadgets de serialización y escritura, relacionada con org.jsecurity.realm.jndi.JndiRealmFactory (también se conoce como org.jsecurity)
Vulnerabilidad en apache/drill en los gadgets de serialización en FasterXML jackson-databind (CVE-2020-14060)
Gravedad:
MediaMedia
Publication date: 14/06/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.5, maneja incorrectamente la interacción entre los gadgets de serialización y la escritura, relacionada con oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (también se conoce como apache/drill)
Vulnerabilidad en weblogic/oracle-aqjms en los gadgets de serialización en FasterXML jackson-databind (CVE-2020-14061)
Gravedad:
MediaMedia
Publication date: 14/06/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.5, maneja incorrectamente la interacción entre los gadgets de serialización y la escritura, relacionada con oracle.jms.AQjmsQueueConnectionFactory, oracle.jms.AQjmsXATopicConnectionFactory, oracle.jms.AQjmsTopicConnectionFactory, oracle.jms.AQjmsXAQueueConnectionFactory, y oracle.jms.AQjmsXAConnectionFactory (también se conoce como weblogic/oracle-aqjms)
CVE-2020-14062
Gravedad:
MediaMedia
Publication date: 14/06/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.5, maneja incorrectamente la interacción entre los gadgets de serialización y la escritura, relacionada con com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool (también se conoce como xalan2)
Vulnerabilidad en el componente IGMP en VxWorks (CVE-2020-10664)
Gravedad:
MediaMedia
Publication date: 27/04/2020
Last modified:
22/02/2021
Descripción:
El componente IGMP en VxWorks versiones 6.8.3 parches de CVE del IPNET creados en 2019, tiene una Desreferencia del Puntero NULL.
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2958)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a la 5.2.40, anteriores a la 6.0.20 y anteriores a la 6.1.6. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 7.5 (Impactos de la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2959)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a la 5.2.40, anteriores a la 6.0.20 y anteriores a la 6.1.6. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de MLD comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a otros productos. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 8.6 (Impactos de la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2951)
Gravedad:
BajaBaja
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a la 5.2.40, anteriores a la 6.0.20 y anteriores a la 6.1.6. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 6.5 (Impactos de la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2909)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 5.2.40, anteriores a 6.0.20 y anteriores a 6.1.6. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 2.8 (Impactos de la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2910)
Gravedad:
BajaBaja
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 6.0.20 y anteriores a 6.1.6. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 6.5 (Impactos de la Integridad ). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2913)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 6.0.20 y anteriores a 6.1.6. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 7.0 (Impactos de la confidencialidad, la Integridad y la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2914)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a la 6.0.20 y anteriores a la 6.1.6. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 7.0 (Impactos de la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2907)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 5.2.40, anteriores a 6.0.20 y anteriores a 6.1.6. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 7.5 (Impactos de la Confidencialidad, Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2908)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 5.2.40, anteriores a 6.0.20 y anteriores a 6.1.6. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 8.2 (Impactos de la confidencialidad, la Integridad y la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2929)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a la 5.2.40, anteriores a la 6.0.20 y anteriores a la 6.1.6. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 7.8 (Impactos de la confidencialidad, la integridad y la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2020-2911)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
22/02/2021
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 5.2.40, anteriores a 6.0.20 y anteriores a 6.1.6. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 7.5 (Impactos de la Confidencialidad, Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H).
CVE-2020-11619
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionada con el componente org.springframework.aop.config.MethodLocatingFactoryBean (también se conoce como spring-aop).
Vulnerabilidad en el componente org.apache.commons.jelly.impl.Embedded en FasterXML jackson-databind (CVE-2020-11620)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionada con el componente org.apache.commons.jelly.impl.Embedded (también se conoce como commons-jelly).
Vulnerabilidad en org.apache.activemq.* en FasterXML jackson-databind (CVE-2020-11111)
Gravedad:
MediaMedia
Publication date: 31/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionado con org.apache.activemq.* (también se conoce como activemq-jms, activemq-core, activemq-pool, y activemq-pool-jms).
Vulnerabilidad en org.apache.commons.proxy.provider.remoting.RmiProvider en FasterXML jackson-databind (CVE-2020-11112)
Gravedad:
MediaMedia
Publication date: 31/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionado con org.apache.commons.proxy.provider.remoting.RmiProvider (también se conoce como apache/commons-proxy).
CVE-2020-11113
Gravedad:
MediaMedia
Publication date: 31/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionado con org.apache.openjpa.ee.WASRegistryManagedRuntime (también se conoce como openjpa).
Vulnerabilidad en org.aoju.bus.proxy.provider.remoting.RmiProvider en FasterXML jackson-databind (CVE-2020-10968)
Gravedad:
MediaMedia
Publication date: 26/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionado con org.aoju.bus.proxy.provider.remoting.RmiProvider (también se conoce como bus-proxy).
Vulnerabilidad en javax.swing.JEditorPane en FasterXML jackson-databind (CVE-2020-10969)
Gravedad:
MediaMedia
Publication date: 26/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y la escritura, relacionado con javax.swing.JEditorPane.
CVE-2020-10672
Gravedad:
MediaMedia
Publication date: 18/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre los gadgets de serialización y escritura, relacionados con org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (también se conoce como aries.transaction.jms).
Vulnerabilidad en el gadget xalan JNDI en conjunto con métodos de manejo de tipos polimórficos en FasterXML jackson-databind (CVE-2019-14893)
Gravedad:
AltaAlta
Publication date: 02/03/2020
Last modified:
22/02/2021
Descripción:
Se detectó un fallo en FasterXML jackson-databind en todas las versiones anteriores a 2.9.10 y 2.10.0, donde permitiría la deserialización polimórfica de objetos maliciosos usando el gadget xalan JNDI cuando se utiliza en conjunto con métodos de manejo de tipos polimórficos como "enableDefaultTyping()" o cuando @JsonTypeInfo está usando "Id.CLASS" o "Id.MINIMAL_CLASS" o de cualquier otra manera en que ObjectMapper.readValue pueda crear instancias de objetos de fuentes no seguras. Un atacante podría usar este fallo para ejecutar código arbitrario.
Vulnerabilidad en shaded hikari-config en FasterXML jackson-databind (CVE-2020-9546)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4 maneja inapropiadamente la interacción entre la serialización de gadgets y el tipeo, relacionada a org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (también se conoce como shaded hikari-config).
Vulnerabilidad en ibatis-sqlmap en FasterXML jackson-databind (CVE-2020-9547)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre la serialización de gadgets y el tipeo, relacionada a com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (también se conoce como ibatis-sqlmap).
Vulnerabilidad en anteros-core en FasterXML jackson-databind (CVE-2020-9548)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.4, maneja inapropiadamente la interacción entre la serialización de gadgets y el tipeo, relacionada a br.com.anteros.dbcp.AnterosDBCPConfig (también se conoce como anteros-core).
Vulnerabilidad en xbean-reflect/JNDI en FasterXML jackson-databind (CVE-2020-8840)
Gravedad:
AltaAlta
Publication date: 10/02/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.0.0 hasta 2.9.10.2, carece de cierto bloqueo de xbean-reflect/JNDI, como es demostrado mediante org.apache.xbean.propertyeditor.JndiConverter.
Vulnerabilidad en la función lldp_decode en el archivo daemon/protocolos/lldp.c en lldpd (CVE-2015-8011)
Gravedad:
MediaMedia
Publication date: 28/01/2020
Last modified:
04/03/2021
Descripción:
Un desbordamiento del búfer en la función lldp_decode en el archivo daemon/protocolos/lldp.c en lldpd versiones anteriores a 0.8.0, permite a atacantes remotos causar una denegación de servicio (bloqueo de daemon) y posiblemente ejecutar código arbitrario por medio de vectores que involucran grandes direcciones de administración y límites de TLV.
Vulnerabilidad en net.sf.ehcache en FasterXML jackson-databind (CVE-2019-20330)
Gravedad:
AltaAlta
Publication date: 03/01/2020
Last modified:
22/02/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a la versión 2.9.10.2, carece de cierto bloqueo de net.sf.ehcache.
Vulnerabilidad en net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup en FasterXML jackson-databind. (CVE-2019-17267)
Gravedad:
AltaAlta
Publication date: 06/10/2019
Last modified:
22/02/2021
Descripción:
Se detectó un problema de Escritura Polimórfica en FasterXML jackson-databind versiones anteriores a 2.9.10. Está relacionado con net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup.
Vulnerabilidad en un end point de servicio RMI en FasterXML jackson-databind (CVE-2019-16942)
Gravedad:
AltaAlta
Publication date: 01/10/2019
Last modified:
22/02/2021
Descripción:
Se descubrió un problema de escritura polimórfica en FasterXML jackson-databind versión 2.0.0 hasta 2.9.10. Cuando la Escritura Predeterminada está habilitada (tanto globalmente o para una propiedad específica) para un end point JSON expuesto externamente y el servicio posee el jar commons-dbcp (versión 1.4) en el classpath, y un atacante puede encontrar un end point de servicio RMI para acceder, es posible lograr que el servicio ejecute una carga maliciosa. Este problema se presenta debido a un manejo inapropiado de org.apache.commons.dbcp.datasources.SharedPoolDataSource y org.apache.commons.dbcp.datasources.PerUserPoolDataSource
Vulnerabilidad en com.zaxxer.hikari.HikariConfig en FasterXML jackson-databind (CVE-2019-14540)
Gravedad:
AltaAlta
Publication date: 15/09/2019
Last modified:
22/02/2021
Descripción:
Se detectó un problema de escritura polimórfica en FasterXML jackson-databind versiones anteriores a 2.9.10. Está relacionado con com.zaxxer.hikari.HikariConfig.
Vulnerabilidad en la función StringStrcpy en PicoC. (CVE-2019-16335)
Gravedad:
AltaAlta
Publication date: 15/09/2019
Last modified:
22/02/2021
Descripción:
PicoC versión 2.1, hay un desbordamiento de búfer en la región heap de la memoria en la función StringStrcpy en la biblioteca cstdlib/string.c cuando se llama desde ExpressionParseFunctionCall en el archivo expression.c.
Vulnerabilidad en AdPlug (CVE-2019-14732)
Gravedad:
MediaMedia
Publication date: 06/08/2019
Last modified:
26/02/2021
Descripción:
AdPlug versión 2.3.1, presenta múltiples desbordamientos de búfer en la región heap de la memoria en la función Ca2mLoader::load() en el archivo a2m.cpp.
Vulnerabilidad en AdPlug (CVE-2019-14733)
Gravedad:
MediaMedia
Publication date: 06/08/2019
Last modified:
22/02/2021
Descripción:
AdPlug versión 2.3.1, presenta múltiples desbordamientos de búfer en la región heap de la memoria en la función CradLoader::load() en el archivo rad.cpp.
Vulnerabilidad en AdPlug (CVE-2019-14692)
Gravedad:
MediaMedia
Publication date: 06/08/2019
Last modified:
22/02/2021
Descripción:
AdPlug versión 2.3.1, presenta un desbordamiento de búfer en la región heap de la memoria en la función CmkjPlayer::load() en el archivo mkj.cpp.
Vulnerabilidad en el archivo video/SDL_blit_N.c en BlitNtoN en SDL (Simple DirectMedia Layer) (CVE-2019-13616)
Gravedad:
MediaMedia
Publication date: 16/07/2019
Last modified:
22/02/2021
Descripción:
hasta 2.0.9, presenta una lectura excesiva del búfer en la región heap de la memoria en BlitNtoN en el archivo video/SDL_blit_N.c cuando es llamado desde SDL_SoftBlit en el archivo video/SDL_blit.c.
Vulnerabilidad en jackson-databind (CVE-2018-11307)
Gravedad:
AltaAlta
Publication date: 09/07/2019
Last modified:
22/02/2021
Descripción:
Se detectó un problema en jackson-databind versiones 2.0.0 hasta 2.9.5 de FasterXML. El uso de escritura predeterminada de Jackson junto con una clase de gadget de iBatis permite la exfiltración de contenido. Se corrigió en las versiones 2.7.9.4, 2.8.11.2 y 2.9.6.
Vulnerabilidad en en/achat/caddie_ajout.php y en/achat/caddie_affichage.php en el parámetro couleurId[0] en Advisto PEEL SHOPPING (CVE-2018-20848)
Gravedad:
MediaMedia
Publication date: 30/06/2019
Last modified:
22/02/2021
Descripción:
Advisto PEEL SHOPPING versión 9.0.0, presenta un problema de tipo CSRF por medio de los archivos en/achat/caddie_ajout.php y en/achat/caddie_affichage.php, como es demostrado por una carga útil XSS en el parámetro couleurId[0] para este último.
Vulnerabilidad en SDL (CVE-2019-7636)
Gravedad:
MediaMedia
Publication date: 08/02/2019
Last modified:
22/02/2021
Descripción:
SDL (Simple DirectMedia Layer), hasta la versión 1.2.15 y en versiones 2.x hasta la 2.0.9, tiene una sobrelectura de búfer basada en memoria dinámica (heap) en SDL_GetRGB en video/SDL_pixels.c.
Vulnerabilidad en SDL (CVE-2019-7575)
Gravedad:
MediaMedia
Publication date: 07/02/2019
Last modified:
22/02/2021
Descripción:
SDL (Simple DirectMedia Layer), hasta la versión 1.2.15 y en versiones 2.x hasta la 2.0.9, tiene un desbordamiento de búfer basado en memoria dinámica (heap) en MS_ADPCM_decode en audio/SDL_wave.c.
CVE-2019-7577
Gravedad:
MediaMedia
Publication date: 07/02/2019
Last modified:
22/02/2021
Descripción:
SDL (Simple DirectMedia Layer), hasta la versión 1.2.15 y en versiones 2.x hasta la 2.0.9, tiene una sobrelectura de búfer en SDL_LoadWAV_RW en audio/SDL_wave.c.
Vulnerabilidad en Peel shopping peel-shopping (CVE-2018-1000887)
Gravedad:
BajaBaja
Publication date: 28/12/2018
Last modified:
22/02/2021
Descripción:
Peel shopping peel-shopping, en su versión 9.1.0, contiene una vulnerabilidad Cross-Site Scripting (XSS) que puede resultar en que un usuario autenticado inyecte código JavaScript en el parámetro "Site Name EN". El ataque parece ser explotable si el atacante tiene acceso a la cuenta de administrador.
Vulnerabilidad en jackson-databind (CVE-2017-15095)
Gravedad:
AltaAlta
Publication date: 06/02/2018
Last modified:
22/02/2021
Descripción:
Se ha descubierto un error de deserialización en jackson-databind, en versiones anteriores a la 2.8.10 y a la 2.9.1, que podría permitir que un usuario no autenticado ejecute código enviando las entradas maliciosamente manipuladas al método readValue de ObjectMapper. Este problema amplía el error previo de CVE-2017-7525 metiendo en la lista negra más clases que podrían emplearse de forma maliciosa.
Vulnerabilidad en la función add_match en BusyBox (CVE-2017-16544)
Gravedad:
MediaMedia
Publication date: 20/11/2017
Last modified:
22/02/2021
Descripción:
En la función add_match en libbb/lineedit.c en BusyBox hasta la versión 1.27.2, la característica de autocompletar pestañas del shell, empleada para obtener una lista de nombres de archivo en un directorio, no inmuniza los nombres de archivo. Esto conduce a la ejecución de cualquier secuencia de escape en el terminal. Esto podría resultar en la ejecución de código, escrituras arbitrarias de archivos u otros ataques.
Vulnerabilidad en el demonio de compilación en Scala (CVE-2017-15288)
Gravedad:
AltaAlta
Publication date: 15/11/2017
Last modified:
04/03/2021
Descripción:
El demonio de compilación en Scala en versiones anteriores a la 2.10.7, las versiones 2.11.x anteriores a la 2.11.12 y las versiones 2.12.x anteriores a la 2.14.4 emplea permisos débiles para archivos privados en /tmp/scala-devel/${USER:shared}/scalac-compile-server-port, lo que permite que usuarios locales escriban en archivos de clase arbitrarios y, consecuentemente, obtengan privilegios.
Vulnerabilidad en JasPer (CVE-2017-1000050)
Gravedad:
MediaMedia
Publication date: 17/07/2017
Last modified:
22/02/2021
Descripción:
JasPer versión 2.0.12 es vulnerable a una excepción de puntero NULL en la función jp2_encode que falló al comprobar si la imagen contenía al menos un componente resultando en una denegación de servicio.
Vulnerabilidad en la función jpc_dequantize en jpc_dec.c en JasPer (CVE-2016-9397)
Gravedad:
MediaMedia
Publication date: 23/03/2017
Last modified:
22/02/2021
Descripción:
La función jpc_dequantize en jpc_dec.c en JasPer 1.900.13 permite a atacantes remotos provocar una denegación de servicio (fallo de aserción) a través de vectores no especificados.
Vulnerabilidad en la función jpc_floorlog2 en jpc_math.c en JasPer (CVE-2016-9398)
Gravedad:
MediaMedia
Publication date: 23/03/2017
Last modified:
22/02/2021
Descripción:
La función jpc_floorlog2 en jpc_math.c en JasPer en versiones anteriores a 1.900.17 permite a atacantes remotos provocar una denegación de servicio (fallo de aserción) a través de vectores no especificados.
Vulnerabilidad en la función calcstepsizes en jpc_dec.c en JasPer (CVE-2016-9399)
Gravedad:
MediaMedia
Publication date: 23/03/2017
Last modified:
22/02/2021
Descripción:
La función calcstepsizes en jpc_dec.c en JasPer 1.900.22 permite a atacantes remotos provocar una denegación de servicio (fallo de aserción) a través de vectores no especificados.
Vulnerabilidad en el cliente DHCP en BusyBox (CVE-2016-2148)
Gravedad:
AltaAlta
Publication date: 09/02/2017
Last modified:
22/02/2021
Descripción:
Desbordamiento de búfer basado en memoria dinámica en el cliente DHCP (udhcpc) en BusyBox en versiones anteriores a 1.25.0 permite a atacantes remotos tener un impacto no especificado a través de vectores que implican el análisis de OPTION_6RD.