Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en en respuestas HTTP en IBM Planning Analytics (CVE-2020-4953)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
26/02/2021
Descripción:
IBM Planning Analytics versión 2.0, podría permitir a un atacante autenticado remoto obtener información sobre la estructura interna de una organización al exponer información confidencial en respuestas HTTP. IBM X-Force ID: 192029
Vulnerabilidad en una interacción de DNS en un archivo PDF en Acrobat Reader DC (CVE-2020-29075)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
26/02/2021
Descripción:
Acrobat Reader DC versiones 2020.013.20066 (y anteriores), versiones 2020.001.30010 (y anteriores) y versiones 2017.011.30180 (y anteriores) está afectado por una vulnerabilidad de exposición de información, que podría permitir a un atacante obtener una interacción de DNS y rastrear si el usuario ha abierto o cerrado un archivo PDF cuando es cargado desde el sistema de archivos sin un mensaje. Una interacción del usuario es requerida para explotar esta vulnerabilidad
Vulnerabilidad en un archivo XLS en el análisis de celdas XLS en libxls/xls2csv.c:199 en libxls (CVE-2020-27819)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
26/02/2021
Descripción:
Se detectó un problema en libxls versiones anteriores e incluyendo a 1.6.1 cuando se leen archivos de Microsoft Excel. Se presenta una vulnerabilidad de desreferencia del puntero NULL mientras se analizan celdas XLS en libxls/xls2csv.c:199. Podría permitir a un atacante remoto causar una denegación de servicio por medio de un archivo XLS diseñado
Vulnerabilidad en la aplicación CIRA Canadian Shield (CVE-2021-27189)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
La aplicación CIRA Canadian Shield anterior a la versión 4.0.13 para iOS carece de validación de certificados SSL.
Vulnerabilidad en Keybase Desktop Client (CVE-2021-23827)
Gravedad:
BajaBaja
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Keybase Desktop Client antes de la versión 5.6.0 en Windows y macOS, y antes de la 5.6.1 en Linux, permite a un atacante obtener medios potencialmente sensibles (como fotos privadas) en los directorios Cache y uploadtemps. No consigue borrar eficazmente las imágenes almacenadas en la caché, ni siquiera después de haberlas borrado mediante la metodología normal dentro del cliente, o utilizando la funcionalidad "Explotar mensaje/Explotar ahora". El atacante necesita acceso al sistema de archivos local.
Vulnerabilidad en el uso de la GUI web de Nozomi Networks Guardian y CMC (CVE-2021-26725)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Una vulnerabilidad de Salto de Ruta cuando se cambia la zona horaria usando la GUI web de Nozomi Networks Guardian y CMC, permite a un administrador autenticado tener archivos del sistema protegidos contra lectura. Este problema afecta a: Nozomi Networks Guardian versión 20.0.7.3 versión 20.0.7.3 y versiones anteriores. Nozomi Networks CMC versión 20.0.7.3 versión 20.0.7.3 y versiones anteriores
Vulnerabilidad en la configuración de fecha o el nombre de host usando la GUI web de Nozomi Networks Guardian y CMC (CVE-2021-26724)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Una vulnerabilidad de inyección de comandos del Sistema Operativo cuando se cambia la configuración de fecha o el nombre de host usando la GUI web de Nozomi Networks Guardian y CMC, permite a administradores autenticados llevar a cabo una ejecución de código remota . Este problema afecta a: Nozomi Networks Guardian versión 20.0.7.3 versión 20.0.7.3 y versiones anteriores. Nozomi Networks CMC versión 20.0.7.3 versión 20.0.7.3 y versiones anteriores
Vulnerabilidad en la inyección de plantilla en el plugin Atlassian Jira Server para Slack (CVE-2021-26068)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un endpoint en el plugin Atlassian Jira Server para Slack desde versiones 0.0.3 anteriores a 2.0.15, permite a atacantes remotos ejecutar código arbitrario por medio de una vulnerabilidad de inyección de plantilla
Vulnerabilidad en etiquetas [correo electrónico] anidadas con MyCode en MyBB (CVE-2021-27279)
Gravedad:
BajaBaja
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
MyBB versiones anteriores a 1.8.25, permite un ataque de tipo XSS almacenado por medio de etiquetas [correo electrónico] anidadas con MyCode (también se conoce como BBCode)
Vulnerabilidad en la sección de grupos de la pestaña de red en Appspace (CVE-2021-27564)
Gravedad:
BajaBaja
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Se presenta un problema de tipo XSS almacenado en Appspace versión 6.2.4. Después de que un usuario se autentique e introduzca una carga útil XSS en la sección de grupos de la pestaña de red, es almacenada como el nombre del grupo. Cada vez que otro miembro visita ese grupo, esta carga útil es ejecutada
Vulnerabilidad en la pantalla Settings > Device en Genymotion Desktop (CVE-2021-27549)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
** EN DISPUTA ** Genymotion Desktop versiones hasta 3.2.0, filtra los datos del portapapeles del host a la aplicación de Android por defecto. NOTA: la posición del proveedor es que este es un comportamiento previsto que se puede cambiar por medio de la pantalla Settings > Device
Vulnerabilidad en la biblioteca lib/auth.js en las funciones de la API User/Admin/Super en un URI /super/constructor /accounts/list en Shinobi (CVE-2021-27228)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Se detectó un problema en Shinobi versiones hasta Ocean versión 1. La biblioteca lib/auth.js presenta un Control de Acceso Incorrecto. Las claves de API válidas son guardadas en un objeto JS interno. Por lo tanto, un atacante puede usar nombres del JS Proto Method (como constructor o hasOwnProperty) para convencer al sistema de que la API Key suministrada existe en el objeto JS subyacente y, en consecuencia, lograr un acceso completo a las funciones de la API User/Admin/Super, como es demostrado por un URI /super/constructor /accounts/list
Vulnerabilidad en determinados parámetros ikev2 del servidor ePDG en diversos productos Snapdragon (CVE-2020-11163)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un posible desbordamiento del búfer mientras se actualiza los parámetros ikev2 debido a una falta de comprobación de la validación de entrada para determinados parámetros recibidos del servidor ePDG en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile
Vulnerabilidad en el procesamiento de NOA IE en diversos productos Snapdragon (CVE-2020-11296)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un desbordamiento aritmético puede ocurrir mientras se procesa NOA IE debido a un manejo inapropiado de errores en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en las tramas RTT vinculadas con direcciones MAC no aleatorias en diversos productos Snapdragon (CVE-2020-11287)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Permitir que las tramas RTT sean vinculadas con direcciones MAC no aleatorias mediante la comparación de números de secuencia puede conllevar a una divulgación de información. en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en transferencias de control USB en diversos productos Snapdragon (CVE-2020-11286)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Se puede producir una Desreferencia del Puntero no Confiable mientras se realizan transferencias de control USB, si múltiples peticiones de diferentes categorías de peticiones estándar, como dispositivo, interfaz y endpoint son realizadas juntas en los productos Snapdragon Auto, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en la reproducción de un clip MKV en diversos productos Snapdragon (CVE-2020-11283)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un desbordamiento de búfer puede ocurrir al reproducir un clip MKV debido a una falta de comprobación de entrada en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en uso de mmap con el controlador kgsl en diversos productos Snapdragon (CVE-2020-11282)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un control de acceso inapropiado cuando se usa mmap con el controlador kgsl con un valor de compensación especial que puede ser proporcionado para asignar el memstore de la GPU al espacio de usuario en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en TA en el procesamiento de un comando desde el lado NS en diversos productos Snapdragon (CVE-2020-11194)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un Posible acceso fuera de límite en TA mientras se procesa un comando desde el lado NS debido a una comprobación de longitud inapropiada del búfer de respuesta en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en el elemento Security Code NV en la configuración del código SPC en diversos productos Snapdragon (CVE-2020-11177)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un usuario puede sobrescribir el elemento Security Code NV sin conocer el SPC actual debido a una comprobación inapropiada de la configuración del código SPC y el bloqueo del dispositivo en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music , Snapdragon Wearables
Vulnerabilidad en reproducciones de música con contenido vorbis en la extracción de encabezados en diversos productos Snapdragon (CVE-2020-11170)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
26/02/2021
Descripción:
Un acceso fuera de límite a la memoria mientras se reproducen reproducciones de música con contenido vorbis diseñado debido a comprobaciones inapropiadas en la extracción de encabezados en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el procesamiento de archivos de proyecto en Luxion KeyShot, Luxion KeyShot Viewer, Luxion KeyShot Network Rendering y Luxion KeyVR (CVE-2021-22649)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
23/03/2021
Descripción:
Luxion KeyShot versiones anteriores a 10.1, Luxion KeyShot Viewer versiones anteriores a 10.1, Luxion KeyShot Network Rendering versiones anteriores a 10.1 y Luxion KeyVR versiones anteriores a 10.1, presentan múltiples problemas de desreferencia de puntero NULL mientras se procesar archivos de proyecto, lo que puede permitir a un atacante ejecutar código arbitrario
Vulnerabilidad en el procesamiento de archivos de proyecto en Luxion KeyShot, Luxion KeyShot Viewer, Luxion KeyShot Network Rendering y Luxion KeyVR (CVE-2021-22647)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
23/03/2021
Descripción:
Luxion KeyShot versiones anteriores a 10.1, Luxion KeyShot Viewer versiones anteriores a 10.1, Luxion KeyShot Network Rendering versiones anteriores a 10.1 y Luxion KeyVR versiones anteriores a 10.1, son vulnerables a múltiples problemas de escritura fuera de límites mientras se procesan archivos de proyecto, lo que puede permitir a un atacante ejecutar código arbitrario
Vulnerabilidad en los documentos .bip en un comando "load" en Luxion KeyShot, Luxion KeyShot Viewer, Luxion KeyShot Network Rendering y Luxion KeyVR (CVE-2021-22645)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
23/03/2021
Descripción:
Luxion KeyShot versiones anteriores a 10.1, Luxion KeyShot Viewer versiones anteriores a 10.1, Luxion KeyShot Network Rendering versiones anteriores a 10.1 y Luxion KeyVR versiones anteriores a 10.1, son vulnerables a un ataque porque los documentos .bip muestran un comando "load", que puede ser apuntado a una .dll desde un recurso compartido de red remoto. Como resultado, el punto de entrada .dll puede ser ejecutado sin suficiente advertencia de la Interfaz de Usuario
Vulnerabilidad en el procesamiento de archivos de proyecto en Luxion KeyShot, Luxion KeyShot Viewer, Luxion KeyShot Network Rendering y Luxion KeyVR (CVE-2021-22643)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
23/03/2021
Descripción:
Luxion KeyShot versiones anteriores a 10.1, Luxion KeyShot Viewer versiones anteriores a 10.1, Luxion KeyShot Network Rendering versiones anteriores a 10.1 y Luxion KeyVR versiones anteriores a 10.1, son vulnerables a una lectura fuera de límites mientras se procesan archivos de proyecto, lo que puede permitir a un atacante ejecutar código arbitrario
Vulnerabilidad en el archivo MagickCore/quantum-private.h en un valor de tipo "unsigned int" en ImageMagick (CVE-2020-27768)
Gravedad:
MediaMedia
Publication date: 23/02/2021
Last modified:
25/03/2021
Descripción:
En ImageMagick, se presenta fuera del rango representable un valor de tipo "unsigned int" en el archivo MagickCore/quantum-private.h. Este fallo afecta a ImageMagick versiones anteriores a 7.0.9-0
Vulnerabilidad en el parámetro ywgc-upload-picture en el plugin YITH WooCommerce Gift Cards Premium (CVE-2021-3120)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad de carga de archivos arbitraria en el plugin YITH WooCommerce Gift Cards Premium versiones anteriores a 3.3.1, para WordPress, permite a atacantes remotos lograr una ejecución de código remota en el sistema operativo en el contexto de seguridad del servidor web. A fin de explotar esta vulnerabilidad, un atacante debe poder colocar una Tarjeta de Regalo válida en el carrito de compras. Un archivo cargado se coloca en una ruta predeterminada en el servidor web con un nombre de archivo y una extensión especificados por el usuario. Esto ocurre porque el parámetro ywgc-upload-picture puede tener un valor .php aunque la intención era permitir solo la carga de imágenes de Tarjetas de Regalo