Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Oracle Cloud Infrastructure Data Science Notebook Sessions (CVE-2021-2138)
Gravedad:
MediaMedia
Publication date: 03/03/2021
Last modified:
08/03/2021
Descripción:
Vulnerabilidad en Oracle Cloud Infrastructure Data Science Notebook Sessions. La vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y con acceso al segmento de comunicación física conectado al hardware donde se ejecuta Oracle Cloud Infrastructure Data Science Notebook Sessions comprometer Oracle Cloud Infrastructure Data Science Notebook Sessions. Los ataques exitosos de esta vulnerabilidad pueden dar lugar a la actualización no autorizada, insertar o eliminar algunos de los datos accesibles de Oracle Cloud Infrastructure Data Science Notebook Sessions, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Cloud Infrastructure Data Science Notebook Sessions. Todos los clientes afectados fueron notificados de CVE-2021-2138 por Oracle. Puntuación base de CVSS 3.1: 4,6 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)
Vulnerabilidad en Microsoft Exchange Server (CVE-2021-27078)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
08/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de código remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-26412, CVE-2021-26854, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065
Vulnerabilidad en Microsoft Exchange Server (CVE-2021-26858)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
08/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de código remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-26412, CVE-2021-26854, CVE-2021-26855, CVE-2021-26857, CVE-2021-27065, CVE-2021-27078
Vulnerabilidad en Microsoft Exchange Server (CVE-2021-26857)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
08/03/2021
Descripción:
Una Vulnerabilidad de Ejecución de código remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-26412, CVE-2021-26854, CVE-2021-26855, CVE-2021-26858, CVE-2021-27065, CVE-2021-27078
Vulnerabilidad en el archivo app/Model/SharingGroupServer.php en MISP (CVE-2021-27904)
Gravedad:
BajaBaja
Publication date: 02/03/2021
Last modified:
08/03/2021
Descripción:
Se detectó un problema en el archivo app/Model/SharingGroupServer.php en MISP versión 2.4.139. En la implementación de Sharing Groups, el flag "all org" algunas veces proporcionaba acceso de visualización a actores no deseados
Vulnerabilidad en local high beam mode (LHBM) en los dispositivos móviles LG con software Android OS (CVE-2021-27901)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
08/03/2021
Descripción:
Se detectó un problema en dispositivos móviles LG con software Android OS versión 11. Manejan inapropiadamente el reconocimiento de huellas dactilares porque local high beam mode (LHBM) no funciona apropiadamente durante la iluminación brillante. El ID de LG es LVE-SMP-210001 (Marzo de 2021)
Vulnerabilidad en una URL en el servicio del backend proxy en fastify-http-proxy (CVE-2021-21322)
Gravedad:
AltaAlta
Publication date: 02/03/2021
Last modified:
08/03/2021
Descripción:
fastify-http-proxy es un paquete npm que es un plugin fastify para enviar sus peticiones http a otro servidor, con hooks. Al diseñar una URL específica, es posible escapar el prefijo del servicio del backend proxy. Si la URL base del servidor proxy es "/pub/", un usuario espera que no sea posible acceder a "/priv" en el servicio objetivo. En versiones afectadas, es posible. Esto es corregido en la versión 4.3.1
Vulnerabilidad en el sandbox del contenido del usuario en matrix-react-sdk (CVE-2021-21320)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
08/03/2021
Descripción:
matrix-react-sdk es un paquete npm que es un Matrix SDK para React Javascript. En matrix-react-sdk anterior a la versión 3.15.0, el sandbox del contenido del usuario puede ser abusado para engañar a los usuarios para que abran documentos inesperados. El contenido es abierto con un origen "blob" que no puede acceder a los datos del usuario de Matrix, por lo que los mensajes y secretos no están en riesgo. Esto ha sido corregido en la versión 3.15.0
Vulnerabilidad en la interfaz de comando AT de los dispositivos Gigaset DX600A (CVE-2021-25306)
Gravedad:
AltaAlta
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Una vulnerabilidad de desbordamiento del búfer en la interfaz de comando AT de los dispositivos Gigaset DX600A v41.00-175, permite a los atacantes remotos forzar el reinicio del dispositivo mediante el envío de comandos AT relativamente largos
Vulnerabilidad en la generación de secretos de firma débil de JSON Web Token (JWT) en YMFE Yapi (CVE-2021-27884)
Gravedad:
BajaBaja
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
La generación de secretos de firma débil de JSON Web Token (JWT) en YMFE YApi versiones hasta 1.9.2, permite la recreación de los tokens JWT de otros usuarios. Esto ocurre porque se usa Math.random en Node.js
Vulnerabilidad en el esquema de autenticación SHA en Veritas Backup Exec (CVE-2021-27878)
Gravedad:
AltaAlta
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Se detectó un problema en Veritas Backup Exec versiones anteriores a 21.2. La comunicación entre un cliente y un agente requiere una autenticación con éxito, que generalmente se completa por medio de una comunicación TLS segura. Sin embargo, debido a una vulnerabilidad en el esquema de autenticación SHA, un atacante puede conseguir acceso no autorizado y completar el proceso de autenticación. Posteriormente, el cliente puede ejecutar comandos de protocolo de gestión de datos en la conexión autenticada. El atacante podría usar uno de estos comandos para ejecutar un comando arbitrario en el sistema usando privilegios system
Vulnerabilidad en el esquema de autenticación SHA en Veritas Backup Exec (CVE-2021-27877)
Gravedad:
AltaAlta
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Se detectó un problema en Veritas Backup Exec versiones anteriores a 21.2. Admite múltiples esquemas de autenticación: la autenticación SHA es uno de ellos. Este esquema de autenticación ya no se utiliza en las versiones actuales del producto, pero aún no se ha desactivado. Un atacante podría explotar este esquema remotamente para conseguir acceso no autorizado a un agente y ejecutar comandos privilegiados
Vulnerabilidad en el esquema de autenticación SHA en Veritas Backup Exec (CVE-2021-27876)
Gravedad:
AltaAlta
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Se detectó un problema en Veritas Backup Exec versiones anteriores a 21.2. La comunicación entre un cliente y un agente requiere una autenticación con éxito, que generalmente se completa por medio de una comunicación TLS segura. Sin embargo, debido a una vulnerabilidad en el esquema de autenticación SHA, un atacante puede conseguir acceso no autorizado y completar el proceso de autenticación. Posteriormente, el cliente puede ejecutar comandos de protocolo de gestión de datos en la conexión autenticada. Mediante el uso de parámetros de entrada diseñados en uno de estos comandos, un atacante puede acceder a un archivo arbitrario en el sistema utilizando privilegios system
Vulnerabilidad en una entrada DTD en un analizador XML en SRS Policy Manager (CVE-2021-21517)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
SRS Policy Manager versiones 6.X, está afectado por una vulnerabilidad de Inyección de XML External Entity (XXE) debido a un analizador XML configurado inapropiadamente que procesa una entrada DTD proporcionada por el usuario sin una suficiente comprobación. Un atacante remoto no autenticado puede explotar esta vulnerabilidad para leer archivos de sistema como un usuario no root y puede ser capaz de interrumpir temporalmente el servicio ESRS
Vulnerabilidad en Dell EMC SourceOne (CVE-2021-21515)
Gravedad:
BajaBaja
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Dell EMC SourceOne, versiones 7.2SP10 y anteriores, contienen una vulnerabilidad de tipo Cross-Site Scripting almacenado. Un atacante remoto poco privilegiado puede explotar esta vulnerabilidad para secuestrar sesiones de usuario o engañar a un usuario de la aplicación víctima para que, sin saberlo, envíe peticiones arbitrarias al servidor
Vulnerabilidad en una consulta de búsqueda en MongoDB Inc. MongoDB Server (CVE-2018-25004)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Un usuario autorizado para llevar a cabo un tipo específico de consulta puede desencadenar una denegación de servicio al emitir un comando de explicación genérico en una consulta de búsqueda. Este problema afecta a: MongoDB Inc. MongoDB Server versiones v4.0 anteriores a 4.0.6; MongoDB Server versiones v3.6 anteriores a 3.6.11
Vulnerabilidad en una consulta con un tipo de expresión regular en MongoDB Inc. MongoDB Server (CVE-2020-7929)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Un usuario autorizado para llevar a cabo consultas a la base de datos puede desencadenar una denegación de servicio cuando se emite una consulta especialmente diseñada que contenga un tipo de expresión regular. Este problema afecta a: MongoDB Inc. MongoDB Server versiones v3.6 anteriores a 3.6.21 y MongoDB Server versiones v4.0 anteriores a 4.0.20
Vulnerabilidad en la carga de un UDF en Apache AsterixDB (CVE-2020-9479)
Gravedad:
MediaMedia
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Cuando se carga un UDF, un archivo zip especialmente diseñado podría permitir que archivos sean colocados fuera del directorio de implementación del UDF. Este problema afectó a compilaciones inéditas de Apache AsterixDB entre las commits 580b81aa5e8888b8e1b0620521a1c9680e54df73 y 28c0ee84f1387ab5d0659e9e822f4e3923ddc22d. Nota: este CVE puede ser RECHAZADO ya que el problema no afectó ninguna versión publicada de Apache AsterixDB
Vulnerabilidad en "CONFIG SET proto-max-bulk-len" en Redis (CVE-2021-21309)
Gravedad:
MediaMedia
Publication date: 26/02/2021
Last modified:
31/03/2021
Descripción:
Redis es una base de datos en memoria de código abierto que persiste en el disco. En las versiones afectadas de Redis, un error de desbordamiento de enteros en Redis de 32 bits versión 4.0 o más reciente podría ser explotada para corromper la pila y potencialmente resultar en una ejecución de código remota. Redis versiones 4.0 o posteriores, usa un límite configurable para el tamaño máximo de la entrada masiva admitida. Por defecto, es de 512 MB, que es un valor seguro para todas las plataformas. Si el límite aumenta significativamente, recibir una petición grande de un cliente puede desencadenar varios escenarios de desbordamiento de enteros, que podría resultar en un desbordamiento del búfer y una corrupción de la pila. Creemos que, en determinadas condiciones, esta podría ser explotada para una ejecución de código remota. Por defecto, usuarios de Redis autenticados poseen acceso a todos los parámetros de configuración y, por lo tanto, pueden usar "CONFIG SET proto-max-bulk-len" para cambiar el valor predeterminado seguro, haciendo que el sistema sea vulnerable.** Este problema solo afecta a Redis de 32 bits (en un sistema de 32 bits o como un ejecutable de 32 bits que se ejecuta en un sistema de 64 bits). ** El problema se corrigió en la versión 6.2 y la solución se ha modificado a versiones 6.0.11 y 5.0.11. Asegúrese de usar una de estas versiones si está ejecutando Redis de 32 bits. Una solución alternativa para mitigar el problema sin parchear el ejecutable de redis-server es impedir que los clientes ejecuten directamente `CONFIG SET`: Con Redis versiones 6.0 o más recientes, la configuración de ACL puede ser usada para bloquear el comando. Utilizando versiones anteriores, la directiva de configuración "rename-command" puede ser usada para cambiar el nombre del comando a una cadena aleatoria desconocida para usuarios, haciéndolo inaccesible. Tome en cuenta que esta solución puede tener un impacto adicional en los usuarios o los sistemas operativos que esperan que "CONFIG SET" se comporte de determinadas formas

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Microsoft Exchange Server (CVE-2021-27065)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
21/05/2021
Descripción:
Una Vulnerabilidad de Ejecución de código remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-26412, CVE-2021-26854, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27078
Vulnerabilidad en Blackboard Collaborate Ultra (CVE-2020-25902)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
01/04/2021
Descripción:
** EN DISPUTA ** Blackboard Collaborate Ultra versión 20.02, está afectado por una vulnerabilidad de tipo cross-site scripting (XSS). La carga útil de tipo XSS se ejecutará en el salón de clases, lo que conlleva a robar cookies de los usuarios que se unen a la clase. NOTA: Terceras partes discuten la validez de esta entrada como un posible falso positivo durante la investigación
Vulnerabilidad en Apache Ambari Views (CVE-2020-1936)
Gravedad:
MediaMedia
Publication date: 02/03/2021
Last modified:
10/03/2021
Descripción:
Se encontró un problema de tipo cross-site scripting en Apache Ambari Views. Esto se solucionó en Apache Ambari versión 2.7.4
Vulnerabilidad en "object-collider" (CVE-2021-25914)
Gravedad:
AltaAlta
Publication date: 01/03/2021
Last modified:
08/03/2021
Descripción:
Una vulnerabilidad de contaminación de prototipo en "object-collider" versiones 1.0.0 hasta 1.0.3, permite al atacante causar una denegación de servicio y puede conllevar a una ejecución de código remota
Vulnerabilidad en una inyección de paquetes o un archivo de captura en el disector HID USB en Wireshark (CVE-2021-22174)
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
09/07/2021
Descripción:
Un bloqueo en el disector HID USB en Wireshark versiones 3.4.0 hasta 3.4.2, permite una denegación de servicio por medio de una inyección de paquetes o un archivo de captura diseñado
CVE-2021-22173
Gravedad:
MediaMedia
Publication date: 17/02/2021
Last modified:
09/07/2021
Descripción:
Una fuga de memoria en el disector HID USB en Wireshark versiones 3.4.0 hasta 3.4.2, permite una denegación de servicio por medio de una inyección de paquetes o archivo de captura diseñado
CVE-2021-21315
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
25/03/2021
Descripción:
La Biblioteca System Information para Node.JS (paquete npm "systeminformation") es una colección de funciones de código abierto para recuperar información detallada sobre el hardware, el sistema y el SO. En systeminformation versiones anteriores a 5.3.1, se presenta una vulnerabilidad de inyección de comandos. El problema se ha corregido en la versión 5.3.1. Como solución en lugar de actualizar, asegúrese de comprobar o sanear los parámetros de servicio que son pasados a las funciones si.inetLatency(), si.inetChecksite(), si.services(), si.processLoad() ... sólo permiten cadenas, rechazan cualquier matriz. El saneamiento de cadenas funciona como se esperaba
Vulnerabilidad en una página HTML en File System API en Google Chrome en Windows (CVE-2021-21125)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Una aplicación de políticas insuficientes en File System API en Google Chrome en Windows versiones anteriores a 88.0.4324.96, permitió a un atacante remoto omitir las restricciones del sistema de archivos por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Media en Google Chrome (CVE-2021-21119)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Un uso de la memoria previamente liberada en Media en Google Chrome versiones anteriores a 88.0.4324.96, permitía a un atacante remoto que había comprometido el proceso del renderizador explotar potencialmente una corrupción de la memoria por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en WebSQL en Google Chrome (CVE-2021-21120)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Un uso de la memoria previamente liberada en WebSQL en Google Chrome versiones anteriores a 88.0.4324.96, permitía a un atacante remoto explotar potencialmente una corrupción de la memoria por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Omnibox en Google Chrome en Linux (CVE-2021-21121)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Un uso de la memoria previamente liberada en Omnibox en Google Chrome en Linux versiones anteriores a 88.0.4324.96, permitía a un atacante remoto llevar a cabo potencialmente un escape del sandbox por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Blink en Google Chrome (CVE-2021-21122)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Un uso de la memoria previamente liberada en Blink en Google Chrome versiones anteriores a 88.0.4324.96, permitía a un atacante remoto explotar una corrupción de la memoria por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en File System API en Google Chrome (CVE-2021-21123)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Una comprobación insuficiente de datos en File System API en Google Chrome versiones anteriores a 88.0.4324.96, permitió a un atacante remoto omitir las restricciones del sistema de archivos por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Speech Recognizer en Google Chrome en Android (CVE-2021-21124)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Un potencial uso de la memoria previamente liberada en Speech Recognizer en Google Chrome en Android versiones anteriores a 88.0.4324.96, permitió a un atacante remoto llevar a cabo potencialmente un escape del sandbox por medio de una página HTML diseñada
Vulnerabilidad en Extension de Chrome en DevTools en Google Chrome (CVE-2021-21132)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Una implementación inapropiada en DevTools en Google Chrome versiones anteriores a 88.0.4324.96, permitió a un atacante remoto llevar a cabo potencialmente un escape del sandbox por medio de una Extension de Chrome diseñada
Vulnerabilidad en una página HTML en Downloads en Google Chrome (CVE-2021-21133)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Una aplicación de políticas insuficientes en Downloads en Google Chrome versiones anteriores a 88.0.4324.96, permitió a un atacante que convenció a un usuario de descargar archivos para omitir las restricciones de navegación por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Page Info en Google Chrome en iOS (CVE-2021-21134)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
La Interfaz de Usuario de seguridad incorrecta en Page Info en Google Chrome en iOS versiones anteriores a 88.0.4324.96, permitió a un atacante remoto falsificar la Interfaz de Usuario de seguridad por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Performance API en Google Chrome (CVE-2021-21135)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Una implementación inapropiada en Performance API en Google Chrome versiones anteriores a 88.0.4324.96, permitió a un atacante remoto filtrar datos cross-origin por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en WebView en Google Chrome en Android (CVE-2021-21136)
Gravedad:
MediaMedia
Publication date: 09/02/2021
Last modified:
08/03/2021
Descripción:
Una aplicación de políticas insuficientes en WebView en Google Chrome en Android versiones anteriores a 88.0.4324.96, permitió a un atacante remoto filtrar datos cross-origin por medio de una página HTML diseñada
Vulnerabilidad en "sudoedit -s" en Sudo (CVE-2021-3156)
Gravedad:
AltaAlta
Publication date: 26/01/2021
Last modified:
27/09/2021
Descripción:
Sudo versiones anteriores a 1.9.5p2 contiene un error de desbordamiento que puede resultar en un desbordamiento de búfer basado en la pila, lo que permite la escalada de privilegios a root a través de "sudoedit -s" y un argumento de línea de comandos que termina con un solo carácter de barra invertida
Vulnerabilidad en una petición DNS en una aplicación Node.js (CVE-2020-8277)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
20/07/2021
Descripción:
Una aplicación Node.js que permite a un atacante desencadenar una petición DNS para un host de su elección podría desencadenar una Denegación de servicio en las versiones anteriores a 15.2.1, versiones anteriores a 14.15.1 y versiones anteriores a 12.19.1 al conseguir que la aplicación resuelva un Registro DNS con un mayor número de respuestas. Esto es corregido en versiones 15.2.1, 14.15.1 y 12.19.1
Vulnerabilidad en el directorio temporal del sistema en sistemas similares a Unix en Eclipse Jetty (CVE-2020-27216)
Gravedad:
MediaMedia
Publication date: 23/10/2020
Last modified:
05/08/2021
Descripción:
En Eclipse Jetty versiones 1.0 hasta 9.4.32.v20200930, versiones 10.0.0.alpha1 hasta 10.0.0.beta2 y versiones 11.0.0.alpha1 hasta 11.0.0.beta2O, en sistemas similares a Unix, el directorio temporal del sistema es compartido entre todos los usuarios en ese sistema. Un usuario colocado puede observar el proceso de creación de un subdirectorio temporal en el directorio temporal compartido y correr para completar la creación del subdirectorio temporal. Si el atacante gana la carrera, tendrá permiso de lectura y escritura en el subdirectorio usado para descomprimir las aplicaciones web, incluyendo sus archivos jar WEB-INF/lib y archivos JSP. Si alguna vez es ejecutado algún código fuera de este directorio temporal, esto puede conllevar a una vulnerabilidad de escalada de privilegios local
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Serialization) (CVE-2020-14779)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
08/03/2021
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Serialization). Las versiones compatibles que están afectadas son Java SE: 7u271, 8u261, 11.0.8 y 15; Java SE Embedded: 8u261. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Aplica a la implementación de cliente y servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets de Java en sandbox. También se puede explotar proporcionando datos a las API en el Componente especificado sin utilizar aplicaciones Java Web Start en sandbox o applets de Java en sandbox, como mediante un servicio web. CVSS 3.1 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)