Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo Telerik.Web.UI.WebResource.axd en MicrosoftAjax.js en el parámetro _TSM_HiddenField_ en Progress Telerik UI para ASP.NET AJAX (CVE-2021-28141)
Gravedad:
AltaAlta
Publication date: 11/03/2021
Last modified:
17/03/2021
Descripción:
Se detectó un problema en Progress Telerik UI para ASP.NET AJAX versión 2021.1.224. Permite el acceso no autorizado a MicrosoftAjax.js por medio del archivo Telerik.Web.UI.WebResource.axd. Esto puede permitir a un atacante conseguir acceso no autorizado al servidor y ejecutar código. Para explotar, uno debe usar el parámetro _TSM_HiddenField_ e inyectar un comando al final del URI

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en "sudoedit -s" en Sudo (CVE-2021-3156)
Gravedad:
AltaAlta
Publication date: 26/01/2021
Last modified:
27/09/2021
Descripción:
Sudo versiones anteriores a 1.9.5p2 contiene un error de desbordamiento que puede resultar en un desbordamiento de búfer basado en la pila, lo que permite la escalada de privilegios a root a través de "sudoedit -s" y un argumento de línea de comandos que termina con un solo carácter de barra invertida
Vulnerabilidad en el control de acceso en el nivel de función en algunos dispositivos NETGEAR (CVE-2020-35782)
Gravedad:
AltaAlta
Publication date: 29/12/2020
Last modified:
26/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una falta de control de acceso en el nivel de función. Esto afecta a JGS516PE versiones anteriores a 2.6.0.48, JGS524Ev2 versiones anteriores a 2.6.0.48, JGS524PE versiones anteriores a 2.6.0.48 y GS116Ev2 versiones anteriores a 2.6.0.48. El mecanismo de actualización del firmware TFTP no implementa correctamente las validaciones del firmware, lo que permite a los atacantes remotos escribir datos arbitrarios en la memoria interna
Vulnerabilidad en el control de acceso en el nivel de función en algunos dispositivos NETGEAR (CVE-2020-35783)
Gravedad:
MediaMedia
Publication date: 29/12/2020
Last modified:
23/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una falta de control de acceso en el nivel de función. Esto afecta a JGS516PE versiones anteriores a 2.6.0.48, GS116Ev2 versiones anteriores a 2.6.0.48, JGS524Ev2 versiones anteriores a 2.6.0.48 y JGS524PE versiones anteriores a 2.6.0.48. La versión del protocolo NSDP permite a los atacantes remotos no autentificados obtener todos los parámetros de configuración del switch enviando las correspondientes peticiones de lectura.
Vulnerabilidad en los ajustes de seguridad en algunos dispositivos NETGEAR (CVE-2020-35801)
Gravedad:
MediaMedia
Publication date: 29/12/2020
Last modified:
23/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una configuración incorrecta de los ajustes de seguridad. Esto afecta a JGS516PE versiones anteriores a 2.6.0.48, JGS524Ev2 versiones anteriores a 2.6.0.48, JGS524PE versiones anteriores a 2.6.0.48 y GS116Ev2 versiones anteriores a 2.6.0.48. Se encontró un servidor TFTP activo por defecto. Permite a los usuarios remotos autentificados actualizar el firmware del switch