Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el campo de comentarios durante una operación de edición en el plugin OUGC Feedback para MyBB (CVE-2021-28115)
Gravedad:
MediaMedia
Publication date: 09/03/2021
Last modified:
12/03/2021
Descripción:
El plugin OUGC Feedback versiones anteriores a 1.8.23 para MyBB, permite una ataque de tipo XSS por medio del campo de comentarios durante una operación de edición
Vulnerabilidad en el protocolo WCCP en Squid (CVE-2021-28116)
Gravedad:
MediaMedia
Publication date: 09/03/2021
Last modified:
04/10/2021
Descripción:
Squid versiones hasta 4.14 y 5.xa 5.0.5, en algunas configuraciones, permite la divulgación de información debido a una lectura fuera de límites en los datos del protocolo WCCP. Esto puede ser aprovechado como parte de una cadena para la ejecución remota de código como nobody
Vulnerabilidad en el parámetro de option graphVizPath en las funciones .image(), .svg() o .dot() y childprocess.exec en el paquete madge (CVE-2021-23352)
Gravedad:
AltaAlta
Publication date: 09/03/2021
Last modified:
12/03/2021
Descripción:
Esto afecta al paquete madge versiones anteriores a 4.0.1. Es posible especificar una ruta Graphviz personalizada por medio del parámetro graphVizPath option que cuando son llamadas las funciones .image(), .svg() o .dot(), es ejecutado por la función childprocess.exec
Vulnerabilidad en la replicación de la base de datos en IBM API Connect (CVE-2020-4695)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
21/07/2021
Descripción:
IBM API Connect versión V10 está afectado por comunicaciones no seguras durante la replicación de la base de datos. A medida que la replicación de datos ocurre por medio de canales de comunicación no seguros, un atacante puede visualizar datos sin cifrar, conllevando a una pérdida de la confidencialidad
Vulnerabilidad en un paquete TCP en Oryx Embedded CycloneTCP (CVE-2021-26788)
Gravedad:
MediaMedia
Publication date: 08/03/2021
Last modified:
12/03/2021
Descripción:
Oryx Embedded CycloneTCP versiones 1.7.6 hasta 2.0.0, corregido en versión 2.0.2, está afectado por una comprobación incorrecta de la entrada, lo que puede causar una denegación de servicio (DoS). Para explotar la vulnerabilidad, un atacante necesitar tener conectividad TCP con el sistema de destino. Recibir un paquete TCP diseñado con fines malicioso desde un endpoint no autenticado es suficiente para desencadenar el bug

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un relleno de int3 en el estado de enlace en el kernel de Linux (CVE-2021-3411)
Gravedad:
MediaMedia
Publication date: 09/03/2021
Last modified:
21/05/2021
Descripción:
Se encontró un fallo en el kernel de Linux en versiones anteriores a 5.10. Se encontró una violación del acceso a la memoria al detectar un relleno de int3 en el estado de enlace. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en una página HTML en tab strip en Google Chrome (CVE-2020-6515)
Gravedad:
AltaAlta
Publication date: 22/07/2020
Last modified:
21/07/2021
Descripción:
Un uso de la memoria previamente liberada en tab strip en Google Chrome versiones anteriores a 84.0.4147.89, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en CORS en Google Chrome (CVE-2020-6516)
Gravedad:
MediaMedia
Publication date: 22/07/2020
Last modified:
12/03/2021
Descripción:
Una omisión de políticas en CORS en Google Chrome versiones anteriores a 84.0.4147.89, permitió a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en CSP en Google Chrome (CVE-2020-6519)
Gravedad:
MediaMedia
Publication date: 22/07/2020
Last modified:
12/03/2021
Descripción:
Una omisión de la política en CSP en Google Chrome versiones anteriores a 84.0.4147.89, permitió a un atacante remoto omitir la política de seguridad de contenido por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Skia en Google Chrome (CVE-2020-6520)
Gravedad:
AltaAlta
Publication date: 22/07/2020
Last modified:
21/07/2021
Descripción:
Un desbordamiento del búfer en Skia en Google Chrome versiones anteriores a 84.0.4147.89, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en autofill en Google Chrome (CVE-2020-6521)
Gravedad:
MediaMedia
Publication date: 22/07/2020
Last modified:
21/07/2021
Descripción:
Un filtrado de información de canal lateral en autofill en Google Chrome versiones anteriores a 84.0.4147.89, permitió a un atacante remoto obtener información potencialmente confidencial desde la memoria de proceso por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en external protocol handlers en Google Chrome (CVE-2020-6522)
Gravedad:
MediaMedia
Publication date: 22/07/2020
Last modified:
12/03/2021
Descripción:
Una implementación inapropiada en external protocol handlers en Google Chrome versiones anteriores a 84.0.4147.89, permitió a un atacante remoto llevar a cabo un escape del sandbox por medio de una página HTML diseñada