Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición POST para un endpoint de usuario en Accellion FTA (CVE-2021-27731)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
05/03/2021
Descripción:
Accellion FTA versiones 9_12_432 y anteriores, está afectado por una vulnerabilidad de tipo XSS almacenado por medio de una petición POST diseñada para un endpoint de usuario. La versión corregida es FTA _9_12_444 y posteriores
Vulnerabilidad en C__MONITORING__CONFIG__TITLE, SM2__C__MONITORING__CONFIG__TITLE, C__MONITORING__CONFIG__PATH, SM2__C__MONITORING__CONFIG__PATH, C__MONITORING__CONFIG__ADDRESS, o SM2__C__MONITORING__CONFIG__ADDRESS en i-doit (CVE-2021-3151)
Gravedad:
BajaBaja
Publication date: 27/02/2021
Last modified:
03/06/2021
Descripción:
i-doit versiones anteriores a 1.16.0 está afectada por problemas de tipo Cross-Site Scripting (XSS) almacenado que podrían permitir a atacantes remotos autenticados inyectar script web o HTML por medio de C__MONITORING__CONFIG__TITLE, SM2__C__MONITORING__CONFIG__TITLE, C__MONITORING__CONFIG__PATH, SM2__C__MONITORING__CONFIG__PATH, C__MONITORING__CONFIG__ADDRESS, o SM2__C__MONITORING__CONFIG__ADDRESS

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el servicio web en un URI myspeed/sf?filename= en Visualware MyConnection Server (CVE-2021-27198)
Gravedad:
AltaAlta
Publication date: 26/02/2021
Last modified:
14/09/2021
Descripción:
Se ha descubierto un problema en Visualware MyConnection Server antes de la versión 11.1a. La ejecución remota de código no autenticada puede ocurrir a través de la carga arbitraria de archivos en el servicio web cuando se utiliza un URI myspeed/sf?filename=. Esta aplicación está escrita en Java y, por tanto, es multiplataforma. La instalación de Windows se ejecuta como SYSTEM, lo que significa que la explotación otorga privilegios de administrador en el sistema de destino
Vulnerabilidad en el archivo p2p/p2p_pd.c en wpa_supplicant (CVE-2021-27803)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
22/04/2021
Descripción:
Se detectó una vulnerabilidad en la manera en que el archivo p2p/p2p_pd.c en wpa_supplicant versiones anteriores a 2.10, procesa unas peticiones de detección de aprovisionamiento P2P (Wi-Fi Direct). Podría resultar en una denegación de servicio u otro impacto (potencialmente una ejecución de código arbitraria), para un atacante dentro del alcance del radio
Vulnerabilidad en el manejo de una petición con múltiples encabezados Accept con parámetros “quality” en Eclipse Jetty (CVE-2020-27223)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
16/09/2021
Descripción:
En Eclipse Jetty versiones 9.4.6.v20170531 hasta 9.4.36.v20210114 (inclusive), versiones 10.0.0 y 11.0.0, cuando Jetty maneja una petición que contiene múltiples encabezados Accept con una gran cantidad de parámetros “quality” (es decir, q), el servidor puede entrar en un estado de denegación de servicio (DoS) debido al alto uso de CPU procesando esos valores de calidad, resultando en minutos de tiempo de CPU agotados procesando esos valores de calidad