Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en El Scheduler en Grav CMS (CVE-2020-29553)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
El Scheduler en Grav CMS versiones hasta 1.7.0-rc.17, permite a un atacante ejecutar un comando del sistema al engañar a un administrador de visitar un sitio web malicioso (CSRF)
Vulnerabilidad en el nombre de usuario en la página Delete Personal Data en Cryptshare Server (CVE-2021-3150)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en la página Delete Personal Data en Cryptshare Server versiones anteriores a 4.8.0, permite a un atacante inyectar script web o HTML arbitrario por medio del nombre de usuario. El problema es corregido con la versión 4.8.1
Vulnerabilidad en cualquier sección "Add" en los parámetros de Name y Code en openMAINT (CVE-2021-27695)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) almacenado en openMAINT versión 2.1-3.3-b, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de cualquier sección "Add", tal y como Add Card Building & Floor, u otras en los parámetros de Name y Code
Vulnerabilidad en phar donde el sufijo es JPG en shopxo (CVE-2021-27817)
Gravedad:
AltaAlta
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
Una vulnerabilidad de ejecución de comandos remota en shopxo versión 1.9.3, permite a un atacante cargar código malicioso generado mediante phar donde el sufijo es JPG, que es cargado después de modificar el sufijo phar
Vulnerabilidad en la URL al analizar mensajes en MyBB (CVE-2021-27889)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
21/09/2021
Descripción:
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en MyBB versiones anteriores a 1.8.26 a través de Nested Auto URL cuando se analizan los mensajes
Vulnerabilidad en la aplicación en SIMATIC S7-PLCSIM (CVE-2021-25674)
Gravedad:
BajaBaja
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
Se ha identificado una vulnerabilidad en SIMATIC S7-PLCSIM versión V5.4 (todas las versiones). Un atacante con acceso local al sistema podría causar una condición de Denegación de Servicio en la aplicación cuando es usada para abrir un archivo especialmente diseñado. Como consecuencia, una condición de deferencia del puntero NULL podría causar a la aplicación terminará inesperadamente y tuviera que ser reiniciada para restaurar el servicio
Vulnerabilidad en un archivo en la aplicación en SIMATIC S7-PLCSIM (CVE-2021-25675)
Gravedad:
BajaBaja
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
Se ha identificado una vulnerabilidad en SIMATIC S7-PLCSIM versión V5.4 (todas las versiones). Un atacante con acceso local al sistema podría causar una condición de Denegación de Servicio en la aplicación cuando es usada para abrir un archivo especialmente diseñado. Como consecuencia, podría ocurrir una operación de división por cero y causar a la aplicación finalizar inesperadamente y deba reiniciarse para restaurar el servicio
Vulnerabilidad en la autenticación SSH en RUGGEDCOM RM1224 , SCALANCE M-800, SCALANCE S615 y SCALANCE SC-600 de Siemens (CVE-2021-25676)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
20/04/2021
Descripción:
Se ha identificado una vulnerabilidad en RUGGEDCOM RM1224 (versión V6.3), SCALANCE M-800 (versión V6.3), SCALANCE S615 (versión V6.3), SCALANCE SC-600 (Todas las versiones posteriores a V2.1 y anteriores a V2.1.3) . Múltiples intentos fallidos de autenticación SSH podrían desencadenar una Denegación de Servicio temporal en determinadas condiciones. Cuando es desencadenada, el dispositivo se reiniciará automáticamente
Vulnerabilidad en el análisis de archivos PAR en Solid Edge SE2020 y Solid Edge SE2021 (CVE-2021-27381)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
Se ha identificado una vulnerabilidad en Solid Edge SE2020 (Todas las versiones anteriores a SE2020MP13), Solid Edge SE2021 (Todas las versiones anteriores a SE2021MP3). Las aplicaciones afectadas carecen de una comprobación apropiada de los datos proporcionados por el usuario cuando se analizan archivos PAR. Esto podría resultar en una lectura fuera de límites más allá del final de una estructura asignada. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. (ZDI?CAN?12534)
Vulnerabilidad en el acceso al endpoint /api/versión en Argo CD (CVE-2021-26923)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
Se detectó un problema en Argo CD versiones anteriores a 1.8.4. Accediendo al endpoint /api/versión se filtra información interna del sistema, y ??este endpoint no está protegido con autenticación
Vulnerabilidad en una protección de XSS del navegador en Argo CD (CVE-2021-26924)
Gravedad:
MediaMedia
Publication date: 15/03/2021
Last modified:
18/03/2021
Descripción:
Se detectó un problema en Argo CD versiones anteriores a 1.8.4. Una protección de XSS del navegador no está activada debido a una falta del encabezado de protección de XSS
Vulnerabilidad en el código OTP sin una contraseña válida en el plugin auth_internal en Tiny Tiny RSS (CVE-2021-28373)
Gravedad:
MediaMedia
Publication date: 13/03/2021
Last modified:
18/03/2021
Descripción:
El plugin auth_internal en Tiny Tiny RSS (también se conoce como tt-rss) antes del 12-03-2021, permite a un atacante iniciar sesión por medio del código OTP sin una contraseña válida. NOTA: este problema solo afectó a la rama git master por un corto tiempo. Sin embargo, todos los usuarios finales son explícitamente conducidos a usar la rama git master en producción. Los números de versión semántica como 21.03 parecen existir, pero se generan automáticamente a partir del año y el mes. Estos no son lanzamientos
Vulnerabilidad en los algoritmos criptográficos en IBM DataPower Gateway (CVE-2020-4831)
Gravedad:
MediaMedia
Publication date: 12/03/2021
Last modified:
18/03/2021
Descripción:
IBM DataPower Gateway versiones 10.0.0.0 hasta 10.0.1.0, usa algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 189965
Vulnerabilidad en una cadena de expresiones regulares en la biblioteca lib/printf.js en el paquete printf (CVE-2021-23354)
Gravedad:
MediaMedia
Publication date: 12/03/2021
Last modified:
18/03/2021
Descripción:
El paquete printf versiones anteriores a 0.6.1, es vulnerable a una Denegación de Servicio de Expresión Regular (ReDoS) por medio de la cadena de expresiones regulares /\%(?:\(([\w_.]+)\)|([1-9]\d*)\$)?([0+\ -\]*)(\* |\d+)?(\.)? (\*|\D+)? [HlL]?([\% BscdeEfFgGioOuxX])/g en la biblioteca lib/printf.js. La expresión regular vulnerable tiene una complejidad de tiempo en el peor de los casos cúbica
Vulnerabilidad en peticiones web en iscsi_snapshot_comm_core en Synology DiskStation Manager (DSM) (CVE-2021-26569)
Gravedad:
MediaMedia
Publication date: 12/03/2021
Last modified:
18/03/2021
Descripción:
Una Condición de Carrera dentro de una vulnerabilidad de Subproceso en iscsi_snapshot_comm_core en Synology DiskStation Manager (DSM) versiones anteriores a 6.2.3-25426-3, permite a atacantes remotos ejecutar código arbitrario por medio de peticiones web diseñadas

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: