Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un URI cgi/cal en Eprints (CVE-2021-26475)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
04/03/2021
Descripción:
EPrints versión 3.4.2, expone una oportunidad de XSS reflejado por medio de un URI cgi/cal
Vulnerabilidad en un URI cgi/cal?year= en la entrada LaTeX (CVE-2021-26476)
Gravedad:
AltaAlta
Publication date: 01/03/2021
Last modified:
04/03/2021
Descripción:
EPrints versión 3.4.2, permite a los atacantes remotos ejecutar comandos del sistema operativo por medio de la entrada LaTeX diseñada a un URI cgi/cal?year=
Vulnerabilidad en una entrada JSON/XML en un URI cgi/ajax/phrase en Eprints (CVE-2021-26703)
Gravedad:
AltaAlta
Publication date: 01/03/2021
Last modified:
04/03/2021
Descripción:
EPrints versión 3.4.2, permite a los atacantes remotos leer archivos arbitrarios y posiblemente ejecutar comandos por medio de una entrada JSON/XML diseñada en un URI cgi/ajax/phrase
Vulnerabilidad en el parámetro verb en un URI cgi/toolbox/toolbox en Eprints (CVE-2021-26704)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
04/03/2021
Descripción:
EPrints versión 3.4.2, permite a atacantes remotos ejecutar comandos arbitrarios por medio de la entrada diseñada en el parámetro verb en un URI cgi/toolbox/toolbox
Vulnerabilidad en Eprints (CVE-2021-3342)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
04/03/2021
Descripción:
EPrints versiones 3.4.2, permite a los atacantes remotos leer archivos arbitrarios y posiblemente ejecutar comandos por medio de la entrada LaTeX diseñada en un URI cgi/latex2png?latex=
Vulnerabilidad en el parámetro dataset en el URI cgi/dataset_dictionary en Eprints (CVE-2021-26702)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
04/03/2021
Descripción:
EPrints versión 3.4.2, expone una oportunidad de XSS reflejado en el parámetro dataset en el URI cgi/dataset_dictionary
Vulnerabilidad en bugs de seguridad de la memoria en Firefox (CVE-2021-23979)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
04/03/2021
Descripción:
Los desarrolladores de Mozilla reportaron bugs de seguridad de la memoria presentes en Firefox 85. Algunos de estos bugs mostraron evidencia de corrupción de la memoria y suponemos que con esfuerzo suficiente algunos de ellos podrían haber sido explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a 86
Vulnerabilidad en la consulta ["text"] en LMA ISIDA Retriever (CVE-2021-26903)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
04/03/2021
Descripción:
LMA ISIDA Retriever versión 5.2, es vulnerable a un ataque de tipo XSS por medio de query['text']
Vulnerabilidad en LMA ISIDA Retriever (CVE-2021-26904)
Gravedad:
AltaAlta
Publication date: 26/02/2021
Last modified:
04/03/2021
Descripción:
LMA ISIDA Retriever versión 5.2, permite una inyección SQL
Vulnerabilidad en valores de formulario en la interfaz web de OpenText Content Server (CVE-2021-3010)
Gravedad:
BajaBaja
Publication date: 26/02/2021
Last modified:
04/03/2021
Descripción:
Se presenta múltiples vulnerabilidades de tipo cross-site scripting (XSS) persistentes en la interfaz web de OpenText Content Server Versión 20.3. La aplicación permite a un atacante remoto introducir JavaScript arbitrario diseñando valores de formulario maliciosos que luego no son saneados
Vulnerabilidad en un producto ZTE en ZXR10 8900E (CVE-2021-21724)
Gravedad:
BajaBaja
Publication date: 26/02/2021
Last modified:
04/03/2021
Descripción:
Un producto ZTE presenta una vulnerabilidad de pérdida de la memoria. Debido al manejo inapropiado de liberación de la memoria del producto en determinados escenarios, un atacante local con permisos de dispositivo atenuó repetidamente la señal óptica para causar pérdida de la memoria y un servicio anormal. Esto afecta a: ZXR10 8900E, todas las versiones hasta V3.03.20R2B30P1
Vulnerabilidad en la Política de Seguridad de Contenido W3C en un informe de infracción en Firefox, Thunderbird y Firefox ESR (CVE-2021-23969)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
30/04/2021
Descripción:
Como se especifica en el borrador de la Política de Seguridad de Contenido W3C, cuando se crea un informe de infracción, "Los agentes de usuario necesitan asegurar que el archivo de origen sea la URL solicitada por la página, redireccionamientos previos. Si eso no es posible, los agentes de usuario deben reducir la URL a un origen para evitar fugas involuntarias". Bajo determinados tipos de redireccionamientos, Firefox ajustó incorrectamente el archivo de origen como el destino de los redireccionamientos. Se corrigió que este fuera el origen del destino de redireccionamiento. Esta vulnerabilidad afecta a Firefox versiones anteriores a 86, Thunderbird versiones anteriores a 78,8 y Firefox ESR versiones anteriores a 78,8
Vulnerabilidad en un código wasm multiproceso en Firefox (CVE-2021-23970)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
30/04/2021
Descripción:
Un código específico de contexto en una tabla de salto compartido; resultando en afirmaciones que se desencadenan en código wasm multi-hilo (multi-subproceso). Esta vulnerabilidad afecta a Firefox versiones anteriores a 86

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

CVE-2021-21330
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
26/03/2021
Descripción:
aiohttp es un framework cliente/servidor HTTP asincrónico para asyncio y Python. En aiohttp versiones anteriores a 3.7.4, se presenta una vulnerabilidad de redireccionamiento abierto. Un enlace diseñado malicioso en un servidor web basado en aiohttp podría redireccionar el navegador a un sitio web diferente. Es causado por un error en el middleware "aiohttp.web_middlewares.normalize_path_middleware". Este problema de seguridad ha sido corregido en versión 3.7.4. Actualice su dependencia usando pip de la siguiente manera "pip install aiohttp versiones posteriores o incluyendo a 3.7.4". Si la actualización no es una opción para usted, una solución alternativa puede ser evitar el uso de "aiohttp.web_middlewares.normalize_path_middleware" en sus aplicaciones