Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el botón de pago en BTCPay Server (CVE-2021-29249)
Gravedad:
MediaMedia
Publication date: 26/03/2021
Last modified:
31/03/2021
Descripción:
BTCPay Server versiones anteriores a 1.0.6.0, cuando es usado el botón de pago, presenta una vulnerabilidad de privacidad.
Vulnerabilidad en la lista de paquetes packages.json en Nimble doCmd en Nim (CVE-2021-21372)
Gravedad:
MediaMedia
Publication date: 26/03/2021
Last modified:
31/03/2021
Descripción:
Nimble es un administrador de paquetes para el lenguaje de programación Nim. En la versión de lanzamiento de Nim versiones anteriores a 1.2.10 y 1.4.4, Nimble doCmd es usado en diferentes lugares y puede ser aprovechado para ejecutar comandos arbitrarios. Un atacante puede crear una entrada maliciosa en la lista de paquetes packages.json para desencadenar una ejecución del código.
Vulnerabilidad en HTTPS en una URL no TLS http://irclogs.nim-lang.org/packages.json en "nimble refresh" en Nim (CVE-2021-21373)
Gravedad:
MediaMedia
Publication date: 26/03/2021
Last modified:
31/03/2021
Descripción:
Nimble es un administrador de paquetes para el lenguaje de programación Nim. En las versiones de lanzamiento de Nim anteriores a 1.2.10 y 1.4.4, la "nimble refresh" extrae una lista de paquetes de Nimble por medio de HTTPS por defecto. En caso de error, recurre a una URL no TLS http://irclogs.nim-lang.org/packages.json. Un atacante capaz de ejecutar MitM puede entregar una lista de paquetes modificada que contenga paquetes de software malicioso. Si los paquetes son instalados y usados, el ataque se convierte en una ejecución de código que no es confiable.
Vulnerabilidad en el manejo del id del proceso child/parent del kernel de Linux (CVE-2020-35508)
Gravedad:
MediaMedia
Publication date: 26/03/2021
Last modified:
12/04/2021
Descripción:
Se ha encontrado una posibilidad de fallo de condición de carrera y de inicialización incorrecta del id del proceso en el manejo del id del proceso child/parent del kernel de Linux mientras se filtran los manejadores de señales. Un atacante local es capaz de abusar de este fallo para omitir unas comprobaciones y enviar cualquier señal a un proceso privilegiado.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: