Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el truncamiento del registro de destino mod32 en el comprobador bpf en el kernel de Linux (CVE-2021-3444)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
15/10/2021
Descripción:
El comprobador bpf en el kernel de Linux no manejó apropiadamente el truncamiento del registro de destino mod32 cuando se sabía que el registro de origen era 0. Un atacante local con la habilidad de cargar programas bpf podría usar esta ganancia para lecturas fuera de límites en la memoria del kernel que conllevan a una divulgación de información (memoria del kernel) y, posiblemente, escrituras fuera de límites que podrían conllevar a una ejecución de código. Este problema se solucionó en el kernel ascendente en el commit 9b00f1b78809 ("bpf: Fix truncation handling for mod32 dst reg wrt zero") y en los kernels estables de Linux versiones 5.11.2, 5.10.19 y 5.4.101
Vulnerabilidad en el parámetro "language" en Clansphere CMS (CVE-2021-27310)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Clansphere CMS versión 2011.4, permite un ataque de tipo XSS reflejado no autenticado por medio del parámetro "language"
Vulnerabilidad en el parámetro "module" en Clansphere CMS (CVE-2021-27309)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Clansphere CMS versión 2011.4, permite un ataque de tipo XSS reflejado no autenticado por medio del parámetro "module"
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29073)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por un desbordamiento del búfer en la región stack de la memoria por parte de un usuario autenticado. Esto afecta al R8000P versiones anteriores a 1.4.1.66, al MK62 versiones anteriores a 1.0.6.110, al MR60 versiones anteriores a 1.0.6.110, al MS60 versiones anteriores a 1.0.6.110, al R7960P versiones anteriores a 1.4.1.66, al R7900P versiones anteriores a 1.4.1.66, al RAX15 versiones anteriores a 1. 0.2.82, RAX20 versiones anteriores a 1.0.2.82, RAX45 versiones anteriores a 1.0.2.72, RAX50 versiones anteriores a 1.0.2.72, RAX75 versiones anteriores a 1.0.3.106, RAX80 versiones anteriores a 1.0.3.106 y RAX200 versiones anteriores a 1.0.3.106
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29082)
Gravedad:
BajaBaja
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una divulgación de información confidencial. Esto afecta a RBW30 versiones anteriores a 2.6.1.4, RBS40V versiones anteriores a 2.6.1.4, RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBK754 versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores al 3.2.15.25, RBK853 versiones anteriores al 3.2.15.25, RBK854 versiones anteriores al 3.2.15.25, RBR850 versiones anteriores al 3.2.15.25 y RBS850 versiones anteriores al 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29081)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por un desbordamiento del búfer en la región stack de la memoria por parte de un atacante no autenticado. Esto afecta a RBW30 versiones anteriores a 2.6.2.2, RBK852 versiones anteriores a 3.2.17.12, RBK853 versiones anteriores a 3.2.17.12, RBK854 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12, RBS850 versiones anteriores a 3.2.17. 12, RBK752 versiones anteriores a 3.2.17.12, RBK753 versiones anteriores a 3.2.17.12, RBK753S versiones anteriores a 3.2.17.12, RBK754 versiones anteriores a 3.2.17.12, RBR750 versiones anteriores a 3.2.17.12 y RBS750 versiones anteriores a 3.2.17.12
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29080)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por un restablecimiento de contraseña por parte de un atacante no autenticado. Esto afecta al RBK852 versiones anteriores a 3.2.10.11, al RBK853 versiones anteriores a 3.2.10.11, al RBR854 versiones anteriores a 3.2.10.11, al RBR850 versiones anteriores a 3.2.10.11, al RBS850 versiones anteriores a 3.2.10.11, al CBR40 versiones anteriores a 2.5.0.10, al R7000 versiones anteriores a 1.0.11.116, al R6900P versiones anteriores a 1. 3.2.126, R7900 versiones anteriores a 1.0.4.38, R7960P versiones anteriores a 1.4.1.66, R8000 versiones anteriores a 1.0.4.66, R7900P versiones anteriores a 1.4.1.66, R8000P versiones anteriores a 1.4.1.66, RAX75 versiones anteriores a 1.0.3.102, RAX80 versiones anteriores a 1.0.3.102 y R7000P versiones anteriores a 1.3.2.126
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29079)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK852 versiones anteriores a 3.2.17.12, RBK853 versiones anteriores a 3.2.17.12, RBK854 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12 y RBS850 versiones anteriores a 3.2.17.12
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29078)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK852 versiones anteriores a 3.2.17.12, RBK853 versiones anteriores a 3.2.17.12, RBK854 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12, RBS850 versiones anteriores a 3.2.17.12, RBK752 versiones anteriores a 3. 2.17.12, RBK753 versiones anteriores a 3.2.17.12, RBK753S versiones anteriores a 3.2.17.12, RBK754 versiones anteriores a 3.2.17.12, RBR750 versiones anteriores a 3.2.17.12 y RBS750 versiones anteriores a 3.2.17.12
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29077)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBW30 versiones anteriores a 2.6.2.2, RBS40V versiones anteriores a 2.6.2.4, RBK852 versiones anteriores a 3.2.17.12, RBK853 versiones anteriores a 3.2.17.12, RBK854 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12, RBS850 versiones anteriores a 3. 2.17.12, RBK752 versiones anteriores a 3.2.17.12, RBK753 versiones anteriores a 3.2.17.12, RBK753S versiones anteriores a 3.2.17.12, RBK754 versiones anteriores a 3.2.17.12, RBR750 versiones anteriores a 3.2.17.12 y RBS750 versiones anteriores a 3.2.17.12
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29075)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por un desbordamiento del búfer en la región stack de la memoria por parte de un usuario autenticado. Esto afecta a RBW30 versiones anteriores a 2.6.2.2, RBK852 versiones anteriores a 3.2.17.12, RBK852 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12, RBS850 versiones anteriores a 3.2.17. 12, RBK752 versiones anteriores a 3.2.17.12, RBK753 versiones anteriores a 3.2.17.12, RBK753S versiones anteriores a 3.2.17.12, RBK754 versiones anteriores a 3.2.17.12, RBR750 versiones anteriores a 3.2.17.12 y RBS750 versiones anteriores a 3.2.17.12
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29074)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por un desbordamiento del búfer en la región stack de la memoria por parte de un usuario autenticado. Esto afecta a RBW30 versiones anteriores a 2.6.2.2, RBK852 versiones anteriores a 3.2.17.12, RBK853 versiones anteriores a 3.2.17.12, RBK854 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12, RBS850 versiones anteriores a 3.2.17. 12, RBK752 versiones anteriores a 3.2.17.12, RBK753 versiones anteriores a 3.2.17.12, RBK753S versiones anteriores a 3.2.17.12, RBK754 versiones anteriores a 3.2.17.12, RBR750 versiones anteriores a 3.2.17.12 y RBS750 versiones anteriores a 3.2.17.12
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29072)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un usuario autentificado. Esto afecta a RBK852 versiones anteriores a 3.2.17.12, RBK853 versiones anteriores a 3.2.17.12, RBK854 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12 y RBS850 versiones anteriores a 3.2.17.12
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-29071)
Gravedad:
MediaMedia
Publication date: 23/03/2021
Last modified:
24/03/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un usuario autentificado. Esto afecta a RBK852 versiones anteriores a 3.2.17.12, RBK853 versiones anteriores a 3.2.17.12, RBK854 versiones anteriores a 3.2.17.12, RBR850 versiones anteriores a 3.2.17.12, RBS850 versiones anteriores a 3.2.17.12, RBR752 versiones anteriores a 3. 2.17.12, RBR753 versiones anteriores a 3.2.17.12, RBR753S versiones anteriores a 3.2.17.12, RBR754 versiones anteriores a 3.2.17.12, RBR750 versiones anteriores a 3.2.17.12 y RBS750 versiones anteriores a 3.2.17.12
Vulnerabilidad en Trafico de Peticiones HTTP en los ajustes de configuración de uri_whitespace en Squid (CVE-2020-25097)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
30/07/2021
Descripción:
Se detectó un problema en Squid versiones hasta 4.13 y versiones 5.x hasta 5.0.4. Debido a una comprobación inapropiada de la entrada, permite a un cliente confiable llevar a cabo un Trafico No Autorizado de Peticiones HTTP y acceder a servicios que de otro modo estarían prohibidos por los controles de seguridad. Esto ocurre para determinados ajustes de configuración de uri_whitespace
Vulnerabilidad en el archivo index.jsp en TranzWare e-Commerce Payment Gateway (TWEC PG) (CVE-2021-28126)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
24/03/2021
Descripción:
El archivo index.jsp en TranzWare e-Commerce Payment Gateway (TWEC PG) versiones anteriores a 3.1.27.5, presentaba una vulnerabilidad de tipo cross-site scripting (XSS) almacenado
Vulnerabilidad en /exec en TranzWare e-Commerce Payment Gateway (TWEC PG) (CVE-2021-28110)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
24/03/2021
Descripción:
/exec en TranzWare e-Commerce Payment Gateway (TWEC PG) versiones anteriores a 3.1.27.5, presentaba una vulnerabilidad en su analizador XML
Vulnerabilidad en el parámetro main_page en los archivos includes/templates/template_default/common/tpl_main_page.php o includes/templates/responsive_classic/common/tpl_main_page.php en Zen Cart (CVE-2020-6578)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
24/03/2021
Descripción:
Zen Cart versión 1.5.6d, permite un ataque de tipo XSS reflejado por medio del parámetro main_page en los archivos includes/templates/template_default/common/tpl_main_page.php o includes/templates/responsive_classic/common/tpl_main_page.php
Vulnerabilidad en al archivo login_tw.php en TranzWare (POI) FIMI (CVE-2021-28109)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
24/03/2021
Descripción:
TranzWare (POI) FIMI versiones anteriores a 4.2.20.4.2, permite al archivo login_tw.php un ataque de tipo Cross-Site Scripting (XSS) reflejado
Vulnerabilidad en las cookies y tokens de sesión del usuario en WebAccess/SCADA (CVE-2021-27436)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
WebAccess/SCADA versiones 9.0 y anteriores, son vulnerables a un ataque de tipo cross-site scripting, lo que puede permitir a un atacante enviar código JavaScript malicioso a un usuario desprevenido, lo que podría resultar en el secuestro de las cookies y tokens de sesión del usuario, redireccionando al usuario a una página web maliciosa. y llevar a cabo acciones no deseadas del navegador
Vulnerabilidad en JetBrains PhpStorm (CVE-2021-25764)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
En JetBrains PhpStorm versiones anteriores a 2020.3, el código fuente podía ser agregado a los registros de depuración
Vulnerabilidad en la página /repeater.html (sección de la página de inicio "Repeater Wizard") en Wireless-N WiFi Repeater (CVE-2021-28160)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Wireless-N WiFi Repeater REV 1.0 (28.08.06.1), sufre una vulnerabilidad de tipo XSS reflejado debido a un valor SSID no saneado cuando este último es mostrado en la página /repeater.html (sección de la página de inicio "Repeater Wizard")
Vulnerabilidad en el servicio web exacqVision (CVE-2021-27656)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una vulnerabilidad en el servicio web exacqVision versiones 20.12.2.0 y anteriores, podría permitir a un atacante no autenticado visualizar información a nivel del sistema sobre el servicio web exacqVision y el sistema operativo
Vulnerabilidad en el plugin de WordPress ThirstyAffiliates Affiliate Link Manager (CVE-2021-24127)
Gravedad:
BajaBaja
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una entrada no comprobada y una falta de codificación de salida en el plugin de WordPress ThirstyAffiliates Affiliate Link Manager, versiones anteriores a 3.9.3, era vulnerable a un ataque de tipo Cross-Site Scripting (XSS) almacenado autenticado, lo que podría conllevar a una escalada de privilegios
Vulnerabilidad en su formulario Settings en el plugin de WordPress ActiveCampaign (CVE-2021-24133)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una falta de comprobaciones CSRF en el plugin ActiveCampaign de WordPress, versiones anteriores a 8.0.2, en su formulario Settings, lo que podría permitir al atacante causar que un administrador que haya iniciado sesión cambiar las Credenciales de la API para la cuenta del atacante
Vulnerabilidad en la "Description/biography" de un miembro en el plugin de WordPress Team Members (CVE-2021-24128)
Gravedad:
BajaBaja
Publication date: 18/03/2021
Last modified:
24/03/2021
Descripción:
Una entrada no comprobada y una falta de codificación de salida en el plugin de WordPress Team Members, versiones anteriores a 5.0.4, conllevan a vulnerabilidades de tipo Cross-site scripting que permiten a un atacante autenticado con privilegios medios (colaborador+) inyectar script web o HTML arbitrario por medio de la "Description/biography" de un miembro

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el parámetro "limit" en DynPG (CVE-2021-27529)
Gravedad:
BajaBaja
Publication date: 23/03/2021
Last modified:
25/03/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en DynPG versión 4.9.2, permite a atacantes remotos inyectar JavaScript por medio del parámetro "limit"
Vulnerabilidad en el parámetro "refID" en DynPG (CVE-2021-27528)
Gravedad:
BajaBaja
Publication date: 23/03/2021
Last modified:
25/03/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en DynPG versión 4.9.2, permite a atacantes remotos inyectar JavaScript por medio del parámetro "refID"
Vulnerabilidad en el parámetro "valueID" en DynPG (CVE-2021-27527)
Gravedad:
BajaBaja
Publication date: 23/03/2021
Last modified:
25/03/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en DynPG versión 4.9.2, permite a atacantes remotos inyectar JavaScript por medio del parámetro "valueID"
Vulnerabilidad en el parámetro "page" en DynPG (CVE-2021-27526)
Gravedad:
BajaBaja
Publication date: 23/03/2021
Last modified:
25/03/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en DynPG versión 4.9.2, permite a atacantes remotos inyectar JavaScript por medio del parámetro "page"
Vulnerabilidad en la puerta de enlace APIcast de 3scale en Red Hat 3scale API Management Platform (CVE-2019-14852)
Gravedad:
MediaMedia
Publication date: 18/03/2021
Last modified:
04/06/2021
Descripción:
Se encontró un fallo en la puerta de enlace de APIcast de 3scale que habilitó el protocolo TLS versión 1.0. Un atacante podría apuntar al tráfico usando este protocolo más débil y romper su cifrado, consiguiendo acceso a información no autorizada. La versión enviada en Red Hat 3scale API Management Platform es vulnerable a este problema