Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en IBM Resilient SOAR (CVE-2020-4635)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
24/03/2021
Descripción:
IBM Resilient SOAR versiones 40 y anteriores, podrían divulgar información confidencial al permitir a un usuario enumerar los nombres de usuario
Vulnerabilidad en expresiones mustache en bloques de código en Wiki.js (CVE-2021-21383)
Gravedad:
BajaBaja
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Wiki.js una aplicación wiki de código abierto construida sobre Node.js. Wiki.js versiones anteriores a 2.5.191, es vulnerable a un ataque de tipo cross-site scripting almacenado por medio de expresiones mustache en bloques de código. Esta vulnerabilidad se presenta debido a que las expresiones mustache eran analizadas por Vue durante la inyección de contenido a pesar de que está contenida dentro de un elemento "(pre)". Al crear una página wiki diseñada, un usuario de Wiki.js malicioso puede organizar un ataque de tipo cross-site scripting almacenado. Esto permite al atacante ejecutar JavaScript malicioso cuando otros usuarios visualizan la página. Para visualizar un ejemplo, consulte el Aviso de Seguridad de GitHub al que se hace referencia. Commit 5ffa189383dd716f12b56b8cae2ba0d075996cf1 corrige esta vulnerabilidad agregando la directiva v-pre a todas las etiquetas "(pre)" durante el renderizado
Vulnerabilidad en la construcción de un espacio de trabajo en la extensión de apple/swift-format no oficial para Visual Studio Code (CVE-2021-28789)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
05/04/2021
Descripción:
La extensión apple/swift-format no oficial versiones anteriores a 1.1.2 para Visual Studio Code, permite a atacantes remotos ejecutar código arbitrario mediante la construcción de un espacio de trabajo malicioso con un valor de configuración apple-swift-format.path diseñado que desencadena una ejecución tras abrir el espacio de trabajo
Vulnerabilidad en el parámetro "id" en el plugin de WordPress AdRotate (CVE-2021-24138)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una entrada no comprobada en el plugin de WordPress AdRotate, versiones anteriores a 5.8.4, conlleva a una inyección SQL autenticado por medio del parámetro "id". Esto requiere un usuario con privilegios de administrador
Vulnerabilidad en los archivos de exportación en el plugin de WordPress Modern Events Calendar Lite (CVE-2021-24146)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
02/07/2021
Descripción:
Una falta de comprobaciones de autorización en el plugin de WordPress Modern Events Calendar Lite, versiones anteriores a 5.16.5, no restringió apropiadamente el acceso a los archivos de exportación, permitiendo a usuarios no autenticados exportar todos los datos de eventos en formato CSV o XML, por ejemplo
Vulnerabilidad en el campo mic_comment en el plugin de WordPress Modern Events Calendar Lite (CVE-2021-24147)
Gravedad:
BajaBaja
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una entrada no comprobada y una falta de codificación de salida en el plugin de WordPress Modern Events Calendar Lite, versiones anteriores a 5.16.5, no sanean el campo mic_comment (Notas a tiempo) cuando agrega y edita un evento, permitiendo a usuarios con privilegios tan bajos como el autor para agregar eventos con una carga útil de tipo Cross-Site Scripting en ellos, que será activada en el frontend cuando se visualiza el evento
Vulnerabilidad en el parámetro event_id en requirements.php?f=search-my-Followers en WoWonder (CVE-2021-26935)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
En WoWonder versiones anteriores a 3.1, unos atacantes remotos pueden conseguir acceso a la base de datos al explotar una vulnerabilidad de inyección SQL de requirements.php?f=search-my-Followers por medio del parámetro event_id
Vulnerabilidad en el plugin JWT en Kong Gateway (CVE-2021-27306)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en el plugin JWT en Kong Gateway versiones anteriores a 2.3.0.0, permite a usuarios no autenticados acceder a rutas autenticadas sin un token JWT válido
Vulnerabilidad en Jenkins Role-based Authorization Strategy Plugin (CVE-2021-21624)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una comprobación incorrecta de permiso en Jenkins Role-based Authorization Strategy Plugin versiones 3.1 y anteriores, permite a atacantes con permiso Item/Read en elementos anidados acceder a ellos, incluso si carecen del permiso Item/Read para carpetas principales
Vulnerabilidad en Jenkins Libvirt Agents Plugin (CVE-2021-21627)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Libvirt Agents Plugin versiones 1.9.0 y anteriores, permite a atacantes tener los dominios del hipervisor

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un archivo PDF en Apache PDFBox (CVE-2021-27807)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
20/07/2021
Descripción:
Un archivo PDF cuidadosamente diseñado puede desencadenar un bucle infinito mientras se carga el archivo. Este problema afecta a Apache PDFBox versión 2.0.22 y versiones anteriores 2.0.x
Vulnerabilidad en un archivo PDF en Apache PDFBox (CVE-2021-27906)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
20/07/2021
Descripción:
Un archivo PDF cuidadosamente diseñado puede desencadenar una excepción OutOfMemory-Exception mientras se carga el archivo. Este problema afecta a Apache PDFBox versión 2.0.22 y versiones anteriores 2.0.x