Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el acceso local en tpm2-tss (CVE-2020-24455)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Una falta de inicialización de una variable en la fuente de TPM2 puede permitir a un usuario privilegiado habilitar potencialmente una escalada de privilegios por medio del acceso local. Esto afecta a tpm2-tss versiones anteriores a 3.0.1 y versiones anteriores a 2.4.3
Vulnerabilidad en los nuevos operadores de asignación lógica en una declaración de cambio de JavaScript en Firefox, Thunderbird y Firefox ESR (CVE-2021-23954)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Usando los nuevos operadores de asignación lógica en una declaración de cambio de JavaScript podría haber causado una confusión de tipos, conllevando a una corrupción de la memoria y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85, Thunderbird versiones anteriores a 78,7 y Firefox ESR versiones anteriores a 78,7
Vulnerabilidad en una recolección de basura en variables de JavaScript en Firefox, Thunderbird y Firefox ESR (CVE-2021-23960)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Realizar una recolección de basura en variables de JavaScript declaradas nuevamente resultó en un usuario después del envenenamiento y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85, Thunderbird versiones anteriores a 78,7 y Firefox ESR versiones anteriores a 78,7
Vulnerabilidad en transferencia de un estado de pantalla compartida a otra pestaña en Firefox (CVE-2021-23958)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
El navegador podría haber sido confundido en transferir un estado de pantalla compartida a otra pestaña, lo que filtraría información no deseada. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85
Vulnerabilidad en un diseño de selector de archivos ambiguos en Firefox (CVE-2021-23956)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Un diseño de selector de archivos ambiguos podría haber confundido a usuarios que pretendían seleccionar y cargar un solo archivo para cargar un directorio completo. Esto se solucionó al agregar un nuevo aviso. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85
Vulnerabilidad en la transferencia de un estado de bloqueo del puntero a otra pestaña en Firefox (CVE-2021-23955)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
El navegador podría haber sido confundido al transferir un estado de bloqueo del puntero a otra pestaña, lo que podría haber conllevado a ataques de secuestro de clics. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85
Vulnerabilidad en los directorios de la aplicación en Firefox para Android (CVE-2021-23977)
Gravedad:
BajaBaja
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Firefox para Android sufrió una vulnerabilidad de tipo time-of-check-time-of-use que permitía a una aplicación maliciosa leer datos confidenciales desde los directorios de la aplicación. Nota: este problema solo afecta a Firefox para Android. Otros sistemas operativos no están afectados. Esta vulnerabilidad afecta a Firefox versiones anteriores a 86
Vulnerabilidad en un recurso compartido de WebRTC en la interfaz de usuario en Firefox (CVE-2021-23963)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Cuando se comparten la geolocalización durante un recurso compartido de WebRTC activo, Firefox podría haber restablecido el estado del intercambio de webRTC en la interfaz de usuario, conllevando a una pérdida de control sobre el permiso otorgado actualmente. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85
Vulnerabilidad en el método "(RowCountChanged)" en Firefox (CVE-2021-23962)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Un uso incorrecto del método "(RowCountChanged)" podría conllevar a un uso posterior al envenenamiento y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85
Vulnerabilidad en un PDF en Firefox, Thunderbird y Firefox ESR (CVE-2021-23953)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
03/03/2021
Descripción:
Si un usuario hace clic en un PDF diseñado específicamente, el lector de PDF podría confundirse y filtrar información de origen cruzado, cuando dicha información es servida como datos fragmentados. Esta vulnerabilidad afecta a Firefox versiones anteriores a 85, Thunderbird versiones anteriores a 78,7 y Firefox ESR versiones anteriores a 78,7
Vulnerabilidad en la carga de un recurso de origen cruzado en un contexto de audio y video Firefox, Thunderbird y Firefox ESR (CVE-2021-23973)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Cuando se intenta cargar un recurso de origen cruzado en un contexto de audio y video, puede haber resultado un error de decodificación, y el contenido de ese error puede haber divulgado información sobre el recurso. Esta vulnerabilidad afecta a Firefox versiones anteriores a 86, Thunderbird versiones anteriores a 78,8 y Firefox ESR versiones anteriores a 78,8
Vulnerabilidad en Política de Seguridad de Contenido en informe de infracción en Firefox, Thunderbird y Firefox ESR (CVE-2021-23968)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Si la Política de Seguridad de Contenido bloqueaba la navegación de tramas, el destino completo de un redireccionamiento servido en la trama se reportaba en el informe de infracción; a diferencia del URI de la trama original. Esto podría ser usado para filtrar información confidencial contenida en dichos URI. Esta vulnerabilidad afecta a Firefox versiones anteriores a 86, Thunderbird versiones anteriores a 78,8 y Firefox ESR versiones anteriores a 78,8
Vulnerabilidad en TCP/IP de Microsoft Windows (CVE-2021-24086)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Denegación de Servicio de TCP/IP de Windows
Vulnerabilidad en el Console Driver de Microsoft Windows (CVE-2021-24098)
Gravedad:
BajaBaja
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Denegación de Servicio del Console Driver de Windows
Vulnerabilidad en el Local Spooler de Microsoft Windows (CVE-2021-24088)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Local Spooler de Windows
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2021-24096)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios del kernel de Windows
Vulnerabilidad en la extensión npm-script de Visual Studio Code de Microsoft (CVE-2021-26700)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de la Extensión npm-script de Visual Studio Code
Vulnerabilidad en Microsoft SharePoint Server (CVE-2021-24072)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft SharePoint Server
Vulnerabilidad en Microsoft SharePoint (CVE-2021-24071)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Divulgación de Información de Microsoft SharePoint
Vulnerabilidad en Microsoft Excel (CVE-2021-24070)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft Excel. Este ID de CVE es diferente de CVE-2021-24067, CVE-2021-24068, CVE-2021-24069
Vulnerabilidad en Microsoft Excel (CVE-2021-24069)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft Excel. Este ID de CVE es diferente de CVE-2021-24067, CVE-2021-24068, CVE-2021-24070
Vulnerabilidad en Package Managers Configurations de Microsoft (CVE-2021-24105)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota en Package Managers Configurations
Vulnerabilidad en DirectX de Microsoft Windows (CVE-2021-24106)
Gravedad:
BajaBaja
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Divulgación de Información en DirectX de Windows
Vulnerabilidad en Microsoft Azure Kubernetes Service (CVE-2021-24109)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Microsoft Azure Kubernetes Service
Vulnerabilidad en la Característica de Seguridad de Microsoft Edge (basada en Chromium) (CVE-2021-24113)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Omisión de la Característica de Seguridad de Microsoft Edge (basada en Chromium)
Vulnerabilidad en iOS de Microsoft Teams (CVE-2021-24114)
Gravedad:
BajaBaja
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Divulgación de Información del iOS de Microsoft Teams
Vulnerabilidad en PKU2U de Microsoft Windows (CVE-2021-25195)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de PKU2U de Windows
Vulnerabilidad en Microsoft Excel (CVE-2021-24068)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft Excel. Este ID de CVE es diferente de CVE-2021-24067, CVE-2021-24069, CVE-2021-24070
Vulnerabilidad en Windows Graphics Component de Microsoft (CVE-2021-24093)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Windows Graphics Component
Vulnerabilidad en Microsoft Excel (CVE-2021-24067)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft Excel. Este ID de CVE es diferente de CVE-2021-24068, CVE-2021-24069, CVE-2021-24070
Vulnerabilidad en la Característica de Seguridad de Microsoft Windows (CVE-2020-17162)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de omisión de la Característica de Seguridad de Microsoft Windows
Vulnerabilidad en Visual Studio Code de Microsoft (CVE-2021-1639)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Visual Studio Code
Vulnerabilidad en Win32k de Microsoft Windows (CVE-2021-1698)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Win32k de Windows. Este ID de CVE es diferente de CVE-2021-1732
Vulnerabilidad en el Fax Service de Microsoft Windows (CVE-2021-1722)
Gravedad:
AltaAlta
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota del Fax Service de Windows. Este ID de CVE es diferente de CVE-2021-24077
Vulnerabilidad en Microsoft Dynamics Business Central (CVE-2021-1724)
Gravedad:
BajaBaja
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de tipo Cross-site Scripting de Microsoft Dynamics Business Central
Vulnerabilidad en Microsoft SharePoint (CVE-2021-1726)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Suplantación de Identidad de Microsoft SharePoint
Vulnerabilidad en Windows Installer de Microsoft (CVE-2021-1727)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Windows Installer
Vulnerabilidad en Microsoft Exchange Server (CVE-2021-1730)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Suplantación de Identidad de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-24085
Vulnerabilidad en PFX Encryption de Microsoft (CVE-2021-1731)
Gravedad:
BajaBaja
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de la Característica de Seguridad de PFX Encryption
Vulnerabilidad en Win32k de Microsoft Windows (CVE-2021-1732)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
25/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Win32k de Windows. Este ID de CVE es diferente de CVE-2021-1698
Vulnerabilidad en Sysinternals PsExec de Microsoft (CVE-2021-1733)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Sysinternals PsExec
Vulnerabilidad en Remote Procedure Call de Microsoft Windows (CVE-2021-1734)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Remote Procedure Call de Windows
Vulnerabilidad en Microsoft SharePoint (CVE-2021-24066)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft SharePoint
Vulnerabilidad en System Center Operations Manager de Microsoft (CVE-2021-1728)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios de System Center Operations Manager
Vulnerabilidad en el emulador de NIC vmxnet3 de QEMU (CVE-2021-20203)
Gravedad:
BajaBaja
Publication date: 25/02/2021
Last modified:
10/04/2021
Descripción:
Se encontró un problema de desbordamiento de enteros en el emulador de NIC vmxnet3 de QEMU para versiones hasta v5.2.0. Puede ocurrir si un invitado estaba suministrando valores no válidos para el tamaño de la cola rx/tx u otros parámetros de NIC. Un usuario invitado privilegiado puede usar este fallo para bloquear el proceso QEMU en el host, resultando en un escenario de DoS
Vulnerabilidad en el archivo calendar_form.php en las cookies de autenticación en Triconsole Datepicker Calendar (CVE-2021-27330)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Triconsole Datepicker Calendar versiones anteriores a 3.77, está afectado por un ataque de tipo cross-site scripting (XSS) en el archivo calendar_form.php. Unos atacantes pueden leer las cookies de autenticación que aún están activas, que pueden ser usadas para llevar a cabo más ataques, como leer el historial del navegador, listados de directorios y contenido de archivos
Vulnerabilidad en el parámetro "source" en el archivo Upgrade.php de gopeak masterlab (CVE-2020-23534)
Gravedad:
AltaAlta
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad de tipo server-side request forgery (SSRF) en el archivo Upgrade.php de gopeak masterlab versión 2.1.5, por medio del parámetro "source"
Vulnerabilidad en el paquete de cyrus-sasl de openSUSE Factory (CVE-2020-8032)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad de Archivo Temporal No Seguro en el paquete de cyrus-sasl de openSUSE Factory, permite a atacantes locales escalar a root. Este problema afecta a: openSUSE Factory cyrus-sasl versión 2.1.27-4.2 y versiones anteriores
Vulnerabilidad en procesa determinados paquetes IPv6 en la pila de red del software Cisco NX-OS (CVE-2021-1387)
Gravedad:
MediaMedia
Publication date: 24/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad en la pila de red del software Cisco NX-OS podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se presenta porque el software libera recursos inapropiadamente cuando procesa determinados paquetes IPv6 que están destinados a un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de varios paquetes IPv6 diseñados a un dispositivo afectado. Una explotación con éxito podría hacer que la pila de la red se quede sin búferes disponibles, lo que afectaría las operaciones del plano de control y los protocolos del plano de gestión y provocaría una condición DoS. Se necesitaría una intervención manual para restaurar las operaciones normales en el dispositivo afectado. Para obtener más información sobre el impacto de esta vulnerabilidad, consulte la sección Detalles de este aviso
Vulnerabilidad en la funcionalidad Unidirectional Link Detection (UDLD) del Software Cisco FXOS y el Software Cisco NX-OS (CVE-2021-1368)
Gravedad:
MediaMedia
Publication date: 24/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad en la funcionalidad Unidirectional Link Detection (UDLD) del Software Cisco FXOS y el Software Cisco NX-OS, podría permitir a un atacante adyacente no autenticado ejecutar código arbitrario con privilegios administrativos o causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes de protocolo Cisco UDLD diseñados a un dispositivo afectado directamente conectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios administrativos o hacer que el proceso de UDLD de Cisco se bloquee y se reinicie varias veces, causando que el dispositivo afectado se recargue y resulte en una condición de DoS. Nota: La función UDLD está deshabilitada por defecto y las condiciones para explotar esta vulnerabilidad son estrictas. El atacante necesita el control total de un dispositivo conectado directamente. Ese dispositivo debe estar conectado a través de un canal de puerto que tenga UDLD habilitado. Para activar la ejecución de código arbitraria, deben existir tanto el canal de puerto habilitado para UDLD como las condiciones específicas del sistema. En ausencia del canal de puerto habilitado para UDLD o de las condiciones del sistema, los intentos de explotar esta vulnerabilidad resultarán en una condición de DoS. Es posible, pero muy poco probable, que un atacante pueda controlar las condiciones necesarias para la explotación. La puntuación CVSS refleja esta posibilidad. Sin embargo, dada la complejidad de la explotación, Cisco ha asignado una calificación de impacto de seguridad media (SIR) a esta vulnerabilidad
Vulnerabilidad en el procesamiento de ICMP versión 6 (ICMPv6) en el software Cisco NX-OS (CVE-2021-1229)
Gravedad:
MediaMedia
Publication date: 24/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad en el procesamiento de ICMP versión 6 (ICMPv6) en el software Cisco NX-OS podría permitir a un atacante remoto no autenticado causar una pérdida lenta de memoria del sistema, que con el tiempo podría conllevar a una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido a un manejo inapropiado de errores cuando una interfaz configurada con IPv6 recibe un tipo específico de paquete ICMPv6. Un atacante podría explotar esta vulnerabilidad mediante el envío de una tasa sostenida de paquetes ICMPv6 diseñados a una dirección IPv6 local en un dispositivo de destino. Una explotación con éxito podría permitir al atacante causar una pérdida de memoria del sistema en el proceso ICMPv6 del dispositivo. Como resultado, el proceso ICMPv6 podría quedarse sin memoria del sistema y dejar de procesar el tráfico. El dispositivo podría eliminar todos los paquetes ICMPv6, lo que provocaría inestabilidad del tráfico en el dispositivo. Restaurar la funcionalidad del dispositivo requeriría un reinicio del dispositivo
Vulnerabilidad en la funcionalidad NX-API del software Cisco NX-OS (CVE-2021-1227)
Gravedad:
MediaMedia
Publication date: 24/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad en la funcionalidad NX-API del software Cisco NX-OS podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross-site request forgery (CSRF) en un sistema afectado. Esta vulnerabilidad es debido a las protecciones CSRF insuficientes para la NX-API en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la NX-API para que siga un enlace malicioso. Una explotación con éxito podría permitir al atacante llevar a cabo acciones arbitrarias con el nivel de privilegio del usuario afectado. El atacante podría visualizar y modificar la configuración del dispositivo. Nota: La funcionalidad NX-API está desactivada por defecto
Vulnerabilidad en un cifrado débil en el modo Quick Pairing en la aplicación móvil eWeLink en Android y iOS (CVE-2020-12702)
Gravedad:
BajaBaja
Publication date: 24/02/2021
Last modified:
03/03/2021
Descripción:
Un cifrado débil en el modo Quick Pairing en la aplicación móvil eWeLink (aplicación Android versiones V4.9.2 y anteriores, aplicación iOS versiones V4.9.1 y anteriores), permite a atacantes próximos físicamente espiar las credenciales de Wi-Fi y otra información confidencial al monitorear el espectro Wi-Fi durante el proceso de emparejamiento
Vulnerabilidad en elementos de control global en diversos productos Snapdragon (CVE-2020-11271)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
03/03/2021
Descripción:
Una posible salida de límites mientras se acceden a elementos de control global debido a una condición de carrera en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la cadena criptográfica en el agente de keylime (CVE-2021-3406)
Gravedad:
AltaAlta
Publication date: 25/02/2021
Last modified:
22/03/2021
Descripción:
Se encontró un fallo en keylime versiones 5.8.1 y anteriores. El problema en el agente de Keylime y el código registrar invalida la cadena criptográfica confiable desde el certificado Endorsement Key hasta las atestaciones del agente
Vulnerabilidad en una página HTML en Web Sockets en Google Chrome en Linux (CVE-2021-21157)
Gravedad:
MediaMedia
Publication date: 22/02/2021
Last modified:
24/03/2021
Descripción:
Un uso de la memoria previamente liberada en Web Sockets en Google Chrome en Linux versiones anteriores a 88.0.4324.182, permitía a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en el parámetro ywgc-upload-picture en el plugin YITH WooCommerce Gift Cards Premium (CVE-2021-3120)
Gravedad:
AltaAlta
Publication date: 22/02/2021
Last modified:
03/03/2021
Descripción:
Una vulnerabilidad de carga de archivos arbitraria en el plugin YITH WooCommerce Gift Cards Premium versiones anteriores a 3.3.1, para WordPress, permite a atacantes remotos lograr una ejecución de código remota en el sistema operativo en el contexto de seguridad del servidor web. A fin de explotar esta vulnerabilidad, un atacante debe poder colocar una Tarjeta de Regalo válida en el carrito de compras. Un archivo cargado se coloca en una ruta predeterminada en el servidor web con un nombre de archivo y una extensión especificados por el usuario. Esto ocurre porque el parámetro ywgc-upload-picture puede tener un valor .php aunque la intención era permitir solo la carga de imágenes de Tarjetas de Regalo