Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el análisis de un archivo en el contexto del usuario actual en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine y ArcGIS Pro (CVE-2021-29098)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
31/03/2021
Descripción:
Múltiples vulnerabilidades de puntero no inicializado cuando se analiza un archivo especialmente diseñado en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine versiones 10.8.1 (y anteriores) y ArcGIS Pro versiones 2.7 (y anteriores), permiten a un atacante no autenticado lograr una ejecución de código arbitrario en el contexto del usuario actual
Vulnerabilidad en el análisis de un archivo en el contexto del usuario actual en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine y ArcGIS Pro (CVE-2021-29097)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
31/03/2021
Descripción:
Múltiples vulnerabilidades de desbordamiento de búfer cuando se analiza un archivo especialmente diseñado en Esri ArcReader, ArcGIS Desktop, ArcGIS Engine versiones 10.8.1 (y anteriores) y ArcGIS Pro versiones 2.7 (y anteriores), permiten a un atacante no autenticado lograr una ejecución de código arbitrario en el contexto del usuario actual
Vulnerabilidad en el análisis de un archivo en el contexto de la cuenta de servicio en Esri ArcGIS Server (CVE-2021-29095)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
31/03/2021
Descripción:
Múltiples vulnerabilidades de puntero no inicializado cuando se analiza un archivo especialmente diseñado en Esri ArcGIS Server versiones 10.8.1 (y anteriores), permiten a un atacante autenticado con permisos especializados lograr una ejecución de código arbitrario en el contexto de la cuenta de servicio
Vulnerabilidad en el script /admin/sysmon.php de Invigo Automatic Device Management (ADM) (CVE-2020-10579)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Un salto de directorio en el script /admin/sysmon.php de Invigo Automatic Device Management (ADM) versiones hasta 5.0, permite a atacantes remotos enumerar el contenido de los directorios del servidor arbitrarios accesibles para el usuario que ejecuta la aplicación
Vulnerabilidad en el archivo archive.php en el parámetro "report_type" en SEO Panel (CVE-2021-29010)
Gravedad:
BajaBaja
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Un problema de tipo cross-site scripting (XSS) en SEO Panel versión 4.8.0, permite a atacantes remotos inyectar JavaScript por medio del archivo archive.php en el parámetro "report_type"
Vulnerabilidad en el archivo archive.php en el parámetro "type" en SEO Panel (CVE-2021-29009)
Gravedad:
BajaBaja
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Un problema de tipo cross-site scripting (XSS) en SEO Panel versión 4.8.0, permite a atacantes remotos inyectar JavaScript por medio del archivo archive.php en el parámetro "type"
Vulnerabilidad en el archivo webmaster-tools.php en el parámetro "to_time" en SEO Panel (CVE-2021-29008)
Gravedad:
BajaBaja
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Un problema de tipo cross-site scripting (XSS) en SEO Panel versión 4.8.0, permite a atacantes remotos inyectar JavaScript por medio del archivo webmaster-tools.php en el parámetro "to_time"
Vulnerabilidad en el archivo stats.php en el parámetro "statsBreakdown" en Revive Adserver (CVE-2021-22889)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Revive Adserver versiones anteriores a v5.2.0, es susceptible a una vulnerabilidad XSS reflejado en el parámetro "statsBreakdown" del archivo stats.php (y posiblemente otros scripts) debido a que las comillas simples no se escapan. Un atacante podría engañar a un usuario con acceso a la interfaz de usuario de una instancia de Revive Adserver para que haga clic en una URL diseñada específicamente y presionar una determinada combinación de teclas para ejecutar el código JavaScript inyectado
Vulnerabilidad en el archivo campaign-zone-zones.php en el parámetro "status" en Revive Adserver (CVE-2021-22888)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Revive Adserver versiones anteriores a v5.2.0, es susceptible a una vulnerabilidad de tipo XSS reflejado en el parámetro "status" del archivo campaign-zone-zones.php. Un atacante podría engañar a un usuario con acceso a la interfaz de usuario de una instancia de Revive Adserver para hacer clic en una URL específicamente diseñada y ejecutar código JavaScript inyectado
Vulnerabilidad en el script /admin/search_by.php de Invigo Automatic Device Management (ADM) (CVE-2020-10584)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Un salto de directorio en el script /admin/search_by.php de Invigo Automatic Device Management (ADM) versiones hasta 5.0, permite a atacantes remotos leer archivos de servidor arbitrarios accesibles para el usuario que ejecuta la aplicación
Vulnerabilidad en el script /admin/admapi.php de Invigo Automatic Device Management (ADM) (CVE-2020-10583)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
El archivo script /admin/admapi.php de Invigo Automatic Device Management (ADM) versiones hasta 5.0, permite a atacantes autenticados remotos ejecutar comandos arbitrarios del sistema operativo en el servidor como el usuario que ejecuta la aplicación
Vulnerabilidad en el script /admin/display_errors.php de Invigo Automatic Device Management (ADM) (CVE-2020-10582)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Una inyección SQL en el script /admin/display_errors.php de Invigo Automatic Device Management (ADM) versiones hasta 5.0, permite a atacantes remotos ejecutar peticiones SQL arbitrarias (incluyendo una lectura y una modificación de datos) en la base de datos
Vulnerabilidad en múltiples funcionalidades de administración de Invigo Automatic Device Management (ADM) (CVE-2020-10581)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Unos problemas de comprobación de validez de múltiples sesiones en múltiples funcionalidades de administración de Invigo Automatic Device Management (ADM) versiones hasta 5.0, permiten a atacantes remotos leer datos potencialmente confidenciales alojados por la aplicación
Vulnerabilidad en el script /admin/broadcast.php de Invigo Automatic Device Management (ADM) (CVE-2020-10580)
Gravedad:
MediaMedia
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Una inyección de comando en el script /admin/broadcast.php de Invigo Automatic Device Management (ADM) versiones hasta 5.0, permite a atacantes autenticados remoto ejecutar código PHP arbitrario en el servidor como el usuario que ejecuta la aplicación
Vulnerabilidad en la función post_process_urlencoded en libmicrohttpd (CVE-2021-3466)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
04/05/2021
Descripción:
Se encontró un fallo en libmicrohttpd en versiones anteriores a 0.9.71. Una falta de comprobación de límites en la función post_process_urlencoded conlleva a un desbordamiento del búfer, permitiendo a un atacante remoto escribir datos arbitrarios en una aplicación que usa libmicrohttpd. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en la integración comúnmente usada de libtpms con OpenSSL (CVE-2021-3446)
Gravedad:
BajaBaja
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
Se encontró un fallo en libtpms en versiones anteriores a 0.8.2. La integración comúnmente usada de libtpms con OpenSSL contenía una vulnerabilidad relacionada con el IV devuelto (vector de inicialización) cuando se usaban determinados cifrados simétricos. En lugar de devolver el último IV, devolvió el IV inicial a la persona que llama, debilitando así los pasos posteriores de cifrado y descifrado. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos
Vulnerabilidad en una petición CGI en Privoxy (CVE-2021-20217)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.31. Un fallo de aserción es desencadenado por una petición CGI diseñada puede conllevar a una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Vulnerabilidad en un fallo de descompresión en Privoxy (CVE-2021-20216)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.31. Una pérdida de memoria ocurre cuando un fallo de descompresión inesperadamente puede conllevar a una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Vulnerabilidad en el controlador CGI show-status en Privoxy (CVE-2021-20215)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.29. Unas pérdidas de memoria en el manejador CGI show-status cuando un fallo de las asignaciones de memoria puede conllevar a un bloqueo del sistema
Vulnerabilidad en el controlador CGI de etiquetas de cliente en Privoxy (CVE-2021-20214)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.29. Unas pérdidas de memoria en el manejador CGI de etiquetas de cliente cuando las etiquetas de cliente son configuradas y un fallo de las asignaciones de memoria puede conllevar a un bloqueo del sistema
Vulnerabilidad en un error pcre en Privoxy (CVE-2021-20212)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.29. Una pérdida de memoria si son ejecutados múltiples filtros y es omitido el último debido a un error pcre conlleva un bloqueo del sistema
Vulnerabilidad en etiquetas de cliente activas en Privoxy (CVE-2021-20211)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.29. Una pérdida de memoria cuando las etiquetas de cliente están activas puede causar un bloqueo del sistema
Vulnerabilidad en el controlador CGI show-status en Privoxy (CVE-2021-20210)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.29. Una pérdida de memoria en el controlador CGI show-status cuando no son configurados archivos de filtro puede conllevar a un bloqueo del sistema
Vulnerabilidad en el almacenamiento de una respuesta en el búfer en Privoxy (CVE-2020-35502)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
08/07/2021
Descripción:
Se encontró un fallo en Privoxy en versiones anteriores a 3.0.29. Unas pérdidas de memoria cuando una respuesta es almacenada en el búfer y es alcanzado el límite del búfer o Privoxy se está quedando sin memoria pueden conllevar a un bloqueo del sistema
Vulnerabilidad en el instalador de Duo Authentication Proxy (CVE-2021-1492)
Gravedad:
BajaBaja
Publication date: 25/03/2021
Last modified:
26/03/2021
Descripción:
El instalador de Duo Authentication Proxy anterior a versión 5.2.1, no comprobaba apropiadamente las rutas de instalación de archivos. Esto permite a un atacante con privilegios de usuario local coaccionar al instalador para que escriba en directorios privilegiados arbitrarios. Si tiene éxito, un atacante puede manipular los archivos usados por el instalador de Duo Authentication Proxy, causar una denegación de servicio (DoS) al eliminar archivos o reemplazar archivos del sistema para lograr potencialmente una elevación de privilegios. Esto solo se puede explotar durante nuevas instalaciones, mientras el instalador se está ejecutando, y no es explotable una vez finalizada la instalación. Las versiones 5.2.1 del instalador de Duo Authentication Proxy solucionan este problema
Vulnerabilidad en los archivos de configuración (.cf) de reglas maliciosas en n Apache SpamAssassin (CVE-2020-1946)
Gravedad:
AltaAlta
Publication date: 25/03/2021
Last modified:
26/05/2021
Descripción:
En Apache SpamAssassin anterior a versión 3.4.5, los archivos de configuración de reglas maliciosas (.cf) se pueden configurar para ejecutar comandos del sistema sin ningún resultado ni errores. Con esto, las explotaciones se pueden inyectar en varios escenarios. Además de actualizar a la versión 3.4.5 de SA, los usuarios solo deben usar canales de actualización o archivos .cf de terceros desde lugares de confianza

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los archivos drivers/block/xen-blkback/blkback.c y drivers/xen/xen-scsiback.c en modo PV en el kernel de Linux usado en Xen (CVE-2021-26931)
Gravedad:
BajaBaja
Publication date: 16/02/2021
Last modified:
30/03/2021
Descripción:
Se detectó un problema en el kernel de Linux versiones 2.6.39 hasta 5.10.16, como es usado en Xen. Los backends de bloque, red y SCSI consideran determinados errores como un bug simple, causando deliberadamente un bloqueo del kernel. Para los errores que pueden estar al menos bajo la influencia de los invitados (como las condiciones de falta de memoria), no es correcto suponer un bug simple. Sin embargo, las asignaciones de memoria que pueden causar tales bloqueos ocurren solo cuando Linux se ejecuta en modo PV. Esto afecta a los archivos drivers/block/xen-blkback/blkback.c y drivers/xen/xen-scsiback.c
Vulnerabilidad en el archivo drivers/block/xen-blkback/blkback.c en el kernel de Linux usado en Xen (CVE-2021-26930)
Gravedad:
MediaMedia
Publication date: 16/02/2021
Last modified:
30/03/2021
Descripción:
Se detectó un problema en el kernel de Linux versiones 3.11 hasta 5.10.16, como es usado Xen. Para atender las peticiones al backend de PV, los mapas de controladores otorgan referencias proporcionadas por el frontend. En este proceso, se pueden encontrar errores. En un caso, un error encontrado anteriormente podría descartarse mediante un procesamiento posterior, resultando en que la persona que llama asuma un mapeo exitoso y, por lo tanto, las operaciones posteriores intentan acceder al espacio que no fue asignado. En otro caso, el estado interno no se actualizaría lo suficiente, impidiendo una recuperación segura del error. Esto afecta al archivo drivers/block/xen-blkback/blkback.c