Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el formulario de edición de usuarios en la administración web en Maxum Rumpus (CVE-2020-27575)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
21/07/2021
Descripción:
Maxum Rumpus versiones v8.2.13 y 8.2.14, está afectado por una vulnerabilidad de inyección de comandos. La administración web contiene una funcionalidad en la que los administradores pueden administrar a los usuarios. El formulario de edición de usuarios contiene un parámetro vulnerable a la inyección de comandos debido a una comprobación insuficiente
Vulnerabilidad en la aplicación web en Maxum Rumpus (CVE-2020-27574)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
12/03/2021
Descripción:
Maxum Rumpus versiones 8.2.13 y 8.2.14 está afectado por un ataque de tipo cross-site request forgery (CSRF). Si un usuario autenticado visita una página maliciosa, se podrían llevar a cabo acciones no deseadas en la aplicación web como un usuario autenticado
Vulnerabilidad en el módulo de autenticación HTTP SPNEGO para nginx (CVE-2021-21335)
Gravedad:
AltaAlta
Publication date: 08/03/2021
Last modified:
12/03/2021
Descripción:
En el módulo de autenticación HTTP SPNEGO para nginx (spnego-http-auth-nginx-module) versiones anteriores a 1.1.1, la Autenticación básica puede ser omitido usando un nombre de usuario malformado. Esto afecta a usuarios de spnego-http-auth-nginx-module que han habilitado la autenticación básica. Esto es corregido en versión 1.1.1 de spnego-http-auth-nginx-module. Como una solución alternativa, puede ser deshabilitar la autenticación básica
Vulnerabilidad en los nombres de los roles definidos en el plugin ZODB Role Manager en Products.PluggableAuthService (CVE-2021-21336)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
22/05/2021
Descripción:
Products.PluggableAuthService es un framework de autenticación y autorización de Zope conectable. En Products.PluggableAuthService versiones anteriores a 2.6.0, se presenta una vulnerabilidad de divulgación de información: todos pueden enumerar los nombres de los roles definidos en el plugin ZODB Role Manager si el sitio usa este plugin. El problema ha sido corregido en versión 2.6.0. Dependiendo de cómo haya instalado Products.PluggableAuthService, debe cambiar el pin de la versión de compilación a 2.6.0 y volver a ejecutar la compilación, o si usó pip simplemente haga la instalación de pip "Products.PluggableAuthService versiones posteriores o iguales a 2.6.0 "`
Vulnerabilidad en un enlace al formulario de inicio de sesión y la funcionalidad login en Products.PluggableAuthService (CVE-2021-21337)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
02/06/2021
Descripción:
Products.PluggableAuthService es un framework de autenticación y autorización de Zope conectable. En Products.PluggableAuthService versiones anteriores a 2.6.0, se presenta una vulnerabilidad de redireccionamiento abierto. Un enlace maliciosamente diseñado en el formulario de inicio de sesión y la funcionalidad login podría redireccionar el navegador a un sitio web diferente. El problema ha sido corregido en la versión 2.6.1. Dependiendo de cómo haya instalado Products.PluggableAuthService, debe cambiar el pin de la versión de compilación a "2.6.1" y volver a ejecutar la compilación, o si usó pip simplemente haga la instalación de pip "Products.PluggableAuthService versiones posteriores o iguales a 2.6.1"
Vulnerabilidad en la ruta de "https://pollbot.services.mozilla.com/" en Pollbot (CVE-2021-21354)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
12/03/2021
Descripción:
Pollbot es un software de código abierto que "libera a sus maestros humanos de la ardua tarea de sondear el estado de las cosas durante el proceso de lanzamiento de Firefox". En Pollbot versiones anteriores a 1.4.4, se presenta una vulnerabilidad de redireccionamiento abierto en la ruta de "https://pollbot.services.mozilla.com/". Un atacante puede redireccionar a cualquier persona a sitios maliciosos. Para reproducir escriba esta URL: "https://pollbot.services.mozilla.com//evil.com/". Las versiones afectadas redireccionaran a ese sitio web cuando inyecte una carga útil como "//evil.com/". Esto es corregido en la versión 1.4.4
Vulnerabilidad en una URL temporal "mc share upload" en MinIO (CVE-2021-21362)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
12/03/2021
Descripción:
MinIO es un servicio de almacenamiento de objetos de alto rendimiento de código abierto y es compatible con la API con el servicio de almacenamiento en nube Amazon S3. En MinIO versiones anteriores a RELEASE.2021-03-04T00-53-13Z, es posible omitir una política de solo lectura al crear una URL temporal "mc share upload". Todos los que usan MinIO multiusuario están afectados. Esto es corregido en versión RELEASE.2021-03-04T00-53-13Z. Como una solución alternativa, puede ser deshabilitar las cargas con "Content-Type: multipart/form-data" como es mencionado en los documentos RESTObjectPOST de la API S3 al usar un proxy frente a MinIO
Vulnerabilidad en la autenticación multifactorial en RATCF (CVE-2021-21329)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
12/03/2021
Descripción:
RATCF es un framework de código abierto para hostear los eventos del Flag Cyber-Security Capture. En versiones afectadas de RATCF, los usuarios con la autenticación multifactorial habilitada pueden iniciar sesión sin un token válido. Esto es corregido en el commit cebb67b

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una página HTML en bookmarks en Google Chrome (CVE-2021-21167)
Gravedad:
MediaMedia
Publication date: 09/03/2021
Last modified:
30/04/2021
Descripción:
Un uso de la memoria previamente liberada en bookmarks en Google Chrome versiones anteriores a 89.0.4389.72, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en navigations en Google Chrome (CVE-2021-21182)
Gravedad:
MediaMedia
Publication date: 09/03/2021
Last modified:
30/04/2021
Descripción:
Una aplicación de políticas insuficiente en navigations en Google Chrome versiones anteriores a 89.0.4389.72, permitió a un atacante remoto que había comprometido el proceso del renderizador omitir las restricciones de navegación por medio de una página HTML diseñada
Vulnerabilidad en un archivo PDF en PDFium en Google Chrome (CVE-2021-21190)
Gravedad:
MediaMedia
Publication date: 09/03/2021
Last modified:
07/04/2021
Descripción:
Datos no inicializados en PDFium en Google Chrome versiones anteriores a 89.0.4389.72, permitió a un atacante remoto obtener información potencialmente confidencial desde la memoria del proceso por medio de un archivo PDF diseñado
Vulnerabilidad en un archivo codificado en base64= ../ a un URI volume/stream/ en TOTVS Fluig Lake. (CVE-2020-29134)
Gravedad:
AltaAlta
Publication date: 05/03/2021
Last modified:
21/05/2021
Descripción:
La plataforma TOTVS Fluig permite recorrer la ruta a través del parámetro "file = .. /" codificado en base64. Esto afecta a todas las versiones Fluig Lake 1.7.0, Fluig 1.6.5 y Fluig 1.6.4