Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la interfaz de usuario web en los Productos de IBM Jazz Foundation (CVE-2021-20520)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 198572.
Vulnerabilidad en los Productos de IBM Jazz Foundation en la interfaz de usuario web (CVE-2021-20518)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 198437.
Vulnerabilidad en la interfaz de usuario web en los Productos de IBM Jazz Foundation (CVE-2021-20506)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 198231.
Vulnerabilidad en la interfaz de usuario web en los Productos de IBM Jazz Foundation (CVE-2021-20504)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 198231.
Vulnerabilidad en la interfaz de usuario web en los Productos de IBM Jazz Foundation (CVE-2021-20503)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 198182.
Vulnerabilidad en procesamiento de datos XML en los Productos de IBM Jazz Foundation (CVE-2021-20502)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo XML External Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de la memoria. IBM X-Force ID: 198059.
Vulnerabilidad en la interfaz de usuario web en los Productos de IBM Jazz Foundation (CVE-2021-20447)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 196623.
Vulnerabilidad en la interfaz de usuario web en los Productos de IBM Jazz Foundation (CVE-2021-20352)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Los Productos de IBM Jazz Foundation son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 194710.
Vulnerabilidad en procesamiento de datos XML en IBM Cloud Pak for Automation (CVE-2021-20482)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
IBM Cloud Pak for Automation versiones 20.0.2 y 20.0.3 IF002, son vulnerables a un ataque de tipo External Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de la memoria. ID de IBM X-Force: 197504.
Vulnerabilidad en las credenciales de usuario en IBM UrbanCode Deploy (UCD) (CVE-2020-4884)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
IBM UrbanCode Deploy (UCD) versiones 6.2.7.9, 7.0.5.4 y 7.1.1.1, almacena las credenciales de usuario en texto plano que puede leer un usuario local. ID de IBM X-Force: 190908.
Vulnerabilidad en IBM UrbanCode Deploy (UCD) (CVE-2020-4848)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
IBM UrbanCode Deploy (UCD) versiones 6.2.7.9, 7.0.5.4 y 7.1.1.1, podría permitir a un usuario autenticado iniciar un plugin o comparar recursos del proceso a los que no debería tener acceso. IBM X-Force ID: 190293.
Vulnerabilidad en el manejo de objetos U3D en archivos PDF en las instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27269)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de una estructura asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual Was ZDI-CAN-12390.
Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en las instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27271)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede causar una condición de corrupción de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-12438.
Vulnerabilidad en el análisis de imágenes JPEG2000 en las instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27270)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El defecto específico existe dentro del análisis de imágenes JPEG2000. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de una estructura asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-12230.
Vulnerabilidad en el manejo de objetos U3D en archivos PDF en las instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27268)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D en archivos PDF. El problema es debido a la falta de validación de la existencia de un objeto versiones anteriores a realizar operaciones en el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-12295.
Vulnerabilidad en el manejo de objetos U3D en archivos PDF en las instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27267)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D en archivos PDF. El problema es debido a la falta de validación de la existencia de un objeto versiones anteriores a realizar operaciones en el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-12294.
Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27266)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-12293.
Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27265)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-12292.
Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27264)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-12291.
Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27263)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-12290.
Vulnerabilidad en el manejo de objetos U3D insertados en archivos PDF en instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27262)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D insertados en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-12270.
Vulnerabilidad en el manejo de objetos U3D en archivos PDF en las instalaciones afectadas de Foxit PhantomPDF (CVE-2021-27261)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Foxit PhantomPDF versión 10.1.0.37527. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. El fallo especifico se presenta dentro del manejo de objetos U3D en archivos PDF. El problema es debido a la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una lectura más allá del final de una estructura asignada. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-12269.
Vulnerabilidad en todos los campos a WebUI en INSMA Wifi Mini Spy 1080P HD Security IP Camera (CVE-2020-19639)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en INSMA Wifi Mini Spy 1080P HD Security IP Camera versión 1.9.7 B, por medio de todos los campos a WebUI.
Vulnerabilidad en el archivo "seeyon/hrSalary.do" en el parámetro "method" en Zhiyuan G6 Government Collaboration System (CVE-2020-20545)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
31/03/2021
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Zhiyuan G6 Government Collaboration System versión V6.1SP1, por medio del parámetro "method" en el archivo "seeyon/hrSalary.do".
Vulnerabilidad en la página de configuración de FTP en la página de configuración "goform/formSetFtpCfg" en INSMA Wifi Mini Spy 1080P HD Security IP Camera (CVE-2020-19643)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en INSMA Wifi Mini Spy 1080P HD Security IP Camera versión 1.9.7 B, por medio de todos los campos en la página de configuración de FTP en la página de configuración "goform/formSetFtpCfg".
Vulnerabilidad en un archivo ASP GoAhead en la tarjeta SD en INSMA Wifi Mini Spy 1080P HD Security IP Camera (CVE-2020-19642)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Se detectó un problema en INSMA Wifi Mini Spy 1080P HD Security IP Camera versión 1.9.7 B. Un atacante local puede ejecutar código arbitrario editando el archivo "recdata.db" para llamar a un archivo ASP GoAhead especialmente diseñado en la tarjeta SD.
Vulnerabilidad en una petición a "/goform/formUserMng" en INSMA Wifi Mini Spy 1080P HD Security IP Camera (CVE-2020-19641)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Se detectó un problema en INSMA Wifi Mini Spy 1080P HD Security IP Camera versión 1.9.7 B. Unos atacantes autenticados con el privilegio "Operator" pueden alcanzar privilegios de administrador por medio de una petición diseñada a "/goform/formUserMng".
Vulnerabilidad en un comando de reinicio oculto en "/media/?action=cmd" en INSMA Wifi Mini Spy 1080P HD Security IP Camera (CVE-2020-19640)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
01/04/2021
Descripción:
Se detectó un problema en INSMA Wifi Mini Spy 1080P HD Security IP Camera versión 1.9.7 B. Un atacante no autenticado puede reiniciar el dispositivo causando una denegación de servicio, por medio de un comando de reinicio oculto en "/media/?action=cmd".

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en las contraseñas del almacén de claves en IBM UrbanCode Deploy (UCD) (CVE-2020-4944)
Gravedad:
BajaBaja
Publication date: 30/03/2021
Last modified:
29/09/2021
Descripción:
IBM UrbanCode Deploy (UCD) versiones 7.0.3.0, 7.0.4.0, 7.0.5.3, 7.0.5.4, 7.1.0.0, 7.1.1.0, 7.1.1.1 y 7.1.1.2, almacena las contraseñas del almacén de claves en texto plano después de un edit manual, que puede ser leído por un usuario local. IBM X-Force ID: 191944.