Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el componente Toolgate en las instalaciones afectadas de Parallels Desktop (CVE-2021-27243)
Gravedad:
MediaMedia
Publication date: 29/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de Parallels Desktop versión 16.0.1-48919. Un atacante primero debe obtener la capacidad de ejecutar código poco privilegiado en el sistema invitado de destino para explotar esta vulnerabilidad. El fallo específico se presenta dentro del componente Toolgate. El problema resulta de una falta de comprobación apropiada de los datos suministrados por el usuario, lo que puede causar un desbordamiento de enteros antes de asignar un búfer. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto del hipervisor. Era ZDI-CAN-11924
Vulnerabilidad en el componente Toolgate en las instalaciones afectadas de Parallels Desktop (CVE-2021-27244)
Gravedad:
BajaBaja
Publication date: 29/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes locales divulgar información confidencial sobre las instalaciones afectadas de Parallels Desktop versión 16.0.1-48919. Un atacante primero debe obtener la capacidad de ejecutar código poco privilegiado en el sistema invitado de destino para explotar esta vulnerabilidad. El fallo específico se presenta dentro del componente Toolgate. El problema resulta de una falta de comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para escalar privilegios y ejecutar código arbitrario en el contexto del hipervisor. Era ZDI-CAN-11925
Vulnerabilidad en el ajuste de atributos de configuración en Xerox AltaLink B80xx, C8030/C8035, C8045/C8055 y C8070 (CVE-2021-28669)
Gravedad:
MediaMedia
Publication date: 29/03/2021
Last modified:
01/04/2021
Descripción:
Xerox AltaLink B80xx versiones anteriores a 103.008.020.23120, C8030/C8035 versiones anteriores a 103.001.020.23120, C8045/C8055 versiones anteriores a 103.002.020.23120 y C8070 versiones anteriores a 103.003.020.23120, proporcionan la habilidad de ajustar atributos de configuración sin derechos administrativos
Vulnerabilidad en la funcionalidad Scan To Mailbox en Xerox AltaLink B8045/B8090, C8030/C8035, C8045/C8055 y C8070 (CVE-2021-28670)
Gravedad:
MediaMedia
Publication date: 29/03/2021
Last modified:
01/04/2021
Descripción:
Xerox AltaLink B8045/B8090 versiones anteriores a 103.008.030.32000, C8030/C8035 versiones anteriores a 103.001.030.32000, C8045/C8055 versiones anteriores a 103.002.030.32000 y C8070 versiones anteriores a 103.003.030.32000, permiten a usuarios no autorizados, aprovechar la funcionalidad Scan To Mailbox, para eliminar archivos arbitrarios del disco
Vulnerabilidad en algunos productos Aruba Instant Access Point (IAP) (CVE-2019-5317)
Gravedad:
MediaMedia
Publication date: 29/03/2021
Last modified:
01/04/2021
Descripción:
Se detectó una vulnerabilidad de omisión de autenticación local en algunos productos Aruba Instant Access Point (IAP) en versiones: Aruba Instant versiones 6.4.x: 6.4.4.8-4.2.4.18 y anteriores; Aruba Instant versiones 6.5.x: 6.5.4.15 y anteriores; Aruba Instant versiones 8.3.x: 8.3.0.11 y anteriores; Aruba Instant versiones 8.4.x: 8.4.0.5 y anteriores; Aruba Instant versiones 8.5.x: 8.5.0.6 y anteriores; Aruba Instant versiones 8.6.x: 8.6.0.2 y anteriores. Aruba, ha lanzado parches para Aruba Instant que abordan esta vulnerabilidad de seguridad
Vulnerabilidad en una página web en NBBDownloader.ocx ActiveX Control en Groupware (CVE-2020-7850)
Gravedad:
MediaMedia
Publication date: 29/03/2021
Last modified:
01/04/2021
Descripción:
NBBDownloader.ocx ActiveX Control en Groupware, contiene una vulnerabilidad que podría permitir la descarga y ejecución de archivos remotos al ajustar unos argumentos en el método activex. Un atacante remoto podría inducir a un usuario a acceder a una página web diseñada, causando daños como una infección de código malicioso
Vulnerabilidad en el envío de paquetes IPv6 en un producto ZTE (CVE-2021-21727)
Gravedad:
AltaAlta
Publication date: 29/03/2021
Last modified:
01/04/2021
Descripción:
Un producto ZTE presenta una vulnerabilidad de DoS. Un atacante remoto puede amplificar el tráfico mediante el envío de paquetes IPv6 cuidadosamente construidos hacia los dispositivos afectados, lo que eventualmente conlleva a una denegación de servicio del dispositivo. Esto afecta a: (ZXHN F623) (Todas las versiones hasta V6.0.0P3T33)
Vulnerabilidad en el endpoint "GET/users/list-clients" de wire-server (CVE-2021-21396)
Gravedad:
MediaMedia
Publication date: 26/03/2021
Last modified:
01/04/2021
Descripción:
wire-server es un back-end de código abierto para Wire, una plataforma de colaboración segura. En wire-server desde la versión 16-02-2021 y versiones anteriores a 02-03-2021, los metadatos del cliente de todos los usuarios estaban expuestos en el endpoint "GET/users/list-clients". El endpoint puede ser usado por cualquier usuario con inicio de sesión y que pueda pedir los detalles del cliente de cualquier otro usuario (no se requiere conexión) en la medida en que pueda encontrar su ID de usuario. Los metadatos expuestos incluían id, clase, tipo, ubicación, hora y cookie. Un usuario en un backend Wire podría usar este endpoint para encontrar la hora y la ubicación de registro para cada dispositivo para una lista determinada de usuarios. Como solución alternativa, elimine "/list-clients" de la configuración de nginx. Esto ha sido corregido en la versión 02-03-2021.
Vulnerabilidad en el endpoint de los miembros de la API REST en BuddyPress (CVE-2021-21389)
Gravedad:
AltaAlta
Publication date: 26/03/2021
Last modified:
01/04/2021
Descripción:
BuddyPress es un plugin de WordPress de código abierto para crear un sitio comunitario. En versiones de BuddyPress de 5.0.0 versiones anteriores a 7.2.1, es posible para un usuario regular sin privilegios obtener derechos de administrador al explotar un problema en el endpoint de los miembros de la API REST. La vulnerabilidad ha sido corregida en BuddyPress versión 7.2.1. Las instalaciones existentes del plugin deben actualizarse a esta versión para mitigar el problema.
Vulnerabilidad en la base de datos LDAP (CVE-2020-35518)
Gravedad:
MediaMedia
Publication date: 26/03/2021
Last modified:
01/04/2021
Descripción:
Cuando se vincula con un DN durante la autenticación, la respuesta de 389-ds-base será diferente si el DN se presenta o no. Esto puede ser usado por un atacante no autenticado para comprobar la existencia de una entrada en la base de datos de LDAP.
Vulnerabilidad en un enlace simbólico en utilidades ar, objcopy, strip y ranlib en GNU binutils (CVE-2021-20197)
Gravedad:
BajaBaja
Publication date: 26/03/2021
Last modified:
01/04/2021
Descripción:
Se presenta una ventana de carrera abierta cuando se escribe la salida en las siguientes utilidades en GNU binutils versiones 2.35 y anteriores: ar, objcopy, strip, ranlib. Cuando estas utilidades son ejecutadas como un usuario privilegiado (presumiblemente como parte de un script que actualiza binarios entre diferentes usuarios), un usuario sin privilegios puede engañar a estas utilidades para que obtengan la propiedad de archivos arbitrario por medio de un enlace simbólico.
Vulnerabilidad en un componente runtime en MuleSoft (CVE-2021-1626)
Gravedad:
AltaAlta
Publication date: 26/03/2021
Last modified:
01/04/2021
Descripción:
MuleSoft es consciente de una vulnerabilidad de Ejecución de Código Remota que afecta a determinadas versiones de un componente runtime de Mule que puede afectar tanto a CloudHub como a los clientes locales. Versiones afectadas: runtime de Mule versiones 4.1.x y 4.2.x lanzado antes del 2 de febrero de 2021.
Vulnerabilidad en un componente runtime en MuleSoft (CVE-2021-1627)
Gravedad:
AltaAlta
Publication date: 26/03/2021
Last modified:
01/04/2021
Descripción:
MuleSoft es consciente de una vulnerabilidad de Server Side Request Forgery que afecta a determinadas versiones de un componente runtime de Mule que puede afectar tanto a los clientes de CloudHub como a los locales. Esto afecta a: runtime de Mule versiones 3.8.x,3.9.x,4.x lanzado antes del 2 de febrero de 2021.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la función template en el paquete underscore (CVE-2021-23358)
Gravedad:
AltaAlta
Publication date: 29/03/2021
Last modified:
20/04/2021
Descripción:
El paquete underscore desde la versión 1.13.0-0 y anterior a la versión 1.13.0-2, desde la versión 1.3.2 y anterior a la versión 1.12.1, son vulnerables a una ejecución de código arbitraria por medio de la función template, particularmente cuando una propiedad variable es pasada como un argumento ya que no es saneado
Vulnerabilidad en un componente runtime en MuleSoft (CVE-2021-1628)
Gravedad:
AltaAlta
Publication date: 26/03/2021
Last modified:
01/04/2021
Descripción:
MuleSoft es consciente de una vulnerabilidad de XML External Entity (XXE) que afecta a determinadas versiones de un componente runtime de Mule que puede afectar tanto a los clientes de CloudHub como a los clientes locales. Versiones afectadas: runtime de Mule versiones 4.x lanzado antes del 2 de febrero de 2021.