Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las entradas de tipo Documento en Devolutions Serve (CVE-2021-23925)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en Devolutions Server versiones anteriores a 2020.3. Se presenta una vulnerabilidad de tipo cross-site scripting en las entradas de tipo Documento.
Vulnerabilidad en el componente spark gateway en las compilaciones de Manage Engine OpManager (CVE-2021-20078)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Las compilaciones de Manage Engine OpManager por debajo de 125346, son vulnerables a una vulnerabilidad de denegación de servicio remota debido a un problema de salto de ruta en el componente spark gateway. Esto permite que un atacante remoto elimine remotamente cualquier directorio o directorios del sistema operativo.
Vulnerabilidad en cadenas octales en el paquete netmask npm (CVE-2021-28918)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Una comprobación inapropiada de entrada de cadenas octales en el paquete netmask npm versiones v1.0.6 y anteriores, permite a atacantes remotos no autenticados llevar a cabo ataques de tipo SSRF, RFI y LFI indeterminados en muchos de los paquetes dependientes. Un atacante remoto no autenticado puede omitir unos paquetes que dependen de la máscara de red para filtrar las direcciones IP y llegar a hosts críticos de VPN o LAN.
Vulnerabilidad en la función uri::Formatter en la crate rocket para Rust (CVE-2021-29935)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate rocket versiones anteriores a 0.4.7 para Rust. La función uri::Formatter puede presentar un uso de la memoria previamente liberada si una función proporcionada por el usuario entra en pánico.
Vulnerabilidad en swap_index en una función len() en la crate reorder para Rust (CVE-2021-29942)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate reorder hasta el 24 de febrero de 2021 para Rust. swap_index puede devolver valores no inicializados si un iterador devuelve una función len() que es demasiado grande.
Vulnerabilidad en swap_index en una función len() en la crate reorder para Rust (CVE-2021-29941)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate reorder hasta el 24 de febrero de 2021 para Rust. swap_index presenta una escritura fuera de límites si un iterador devuelve una función len() que es demasiado pequeña.
Vulnerabilidad en la función map en la crate through para Rust (CVE-2021-29940)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate through hasta el 18-02-2021 para Rust. Se presenta una doble liberación (en through y through_and) tras un pánico de la función map.
Vulnerabilidad en la función StackVec::extend en la crate stackvector para Rust (CVE-2021-29939)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate stackvector hasta el 19-02-2021 para Rust. Se presenta una escritura fuera de límites en la función StackVec::extend si size_hint proporciona determinados datos anómalos.
Vulnerabilidad en la función SliceDeque::Drain_filter en la crate slice-deque para Rust (CVE-2021-29938)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate slice-deque hasta el 19-02-2021 para Rust. Puede ocurrir una doble perdida en la función SliceDeque::Drain_filter tras un pánico en una función predecida.
Vulnerabilidad en una llamada de value.clone() en la función misc::vec_with_size() en la crate telemetry para Rust (CVE-2021-29937)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate telemetry hasta el 17-02-2021 para Rust. Se presenta una perdida de la memoria no inicializada si una llamada de value.clone() entra en pánico dentro de la función misc::vec_with_size().
Vulnerabilidad en la implementación de FromIterator para Vector y Matrix en la crate adtensor para Rust (CVE-2021-29936)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate adtensor hasta el 11-01-2021 para Rust. Se presenta una perdida de la memoria no inicializada por medio de la implementación de FromIterator para Vector y Matrix.
Vulnerabilidad en una operación de Lectura en la función PartialReader en la crate uu_od para Rust (CVE-2021-29934)
Gravedad:
AltaAlta
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la función PartialReader en la crate uu_od versiones anteriores a 0.0.4 para Rust. Los atacantes pueden leer el contenido de ubicaciones de la memoria no inicializada por medio de una operación de Lectura proporcionada por el usuario.
Vulnerabilidad en un método .next() en la crate insert_many para Rust. (CVE-2021-29933)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate insert_many hasta el 26/01/2021 para Rust. Unos elementos pueden caer dos veces si un método .next() entra en pánico.
Vulnerabilidad en la función T::drop() en la crate arenavec para Rust (CVE-2021-29931)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate arenavec hasta el 12 de enero de 2021 para Rust. Algunas veces puede ocurrir una doble perdida tras un pánico en la función T::drop().
Vulnerabilidad en la función T::default() en la crate arenavec para Rust (CVE-2021-29930)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en la crate arenavec hasta el 12 de enero de 2021 para Rust. A veces, una perdida de la memoria no inicializada puede ocurrir tras un pánico en la función T::default().
Vulnerabilidad en la configuración de política en BTCPay Server (CVE-2021-29251)
Gravedad:
BajaBaja
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
BTCPay Server versiones anteriores a 1.0.7.1, maneja inapropiadamente la configuración de política en la que unos usuarios pueden registrarse (en Server Settings ) Policies). Esto afecta a los casos de uso de Docker en los que se configura un servidor de correo.
Vulnerabilidad en el recurso /rest/api/1.0/render en Jira Server y Data Center (CVE-2020-36238)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
El recurso /rest/api/1.0/render en Jira Server y Data Center anterior a versión 8.5.13, desde versión 8.6.0 anterior a versión 8.13.5 y desde versión 8.14.0 anterior a versión 8.15.1, permite a atacantes anónimos remotos determinar si un nombre de usuario es válido o no mediante una falta de comprobación de permisos.
Vulnerabilidad en la función de búsqueda de membersOf JQL en Jira Server y Data Center (CVE-2020-36286)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
06/04/2021
Descripción:
La función de búsqueda de membersOf JQL en Jira Server y Data Center anterior a versión 8.5.13, desde versión 8.6.0 anterior a versión 8.13.5 y desde versión 8.14.0 anterior a versión 8.15.1, permite a atacantes remotos y anónimos determinar si existe un grupo y si miembros de grupos están asignados a un campo de problema visible públicamente.
Vulnerabilidad en la funcionalidad screenshot en PRTG Network Monitor (CVE-2021-27220)
Gravedad:
MediaMedia
Publication date: 31/03/2021
Last modified:
06/04/2021
Descripción:
Se detectó un problema en PRTG Network Monitor versiones anteriores a 21.1.66.1623. Al invocar la funcionalidad screenshot con rutas de contexto preparadas, un atacante puede verificar la existencia de ciertos archivos en el sistema de archivos del servidor web de PRTG.
Vulnerabilidad en los controles insuficientes sobre el conjunto permitido de permisos en el Google Exposure Notification Verification Server (CVE-2021-22538)
Gravedad:
MediaMedia
Publication date: 31/03/2021
Last modified:
06/04/2021
Descripción:
Una vulnerabilidad de escalada de privilegios que afecta al Google Exposure Notification Verification Server (versiones anteriores a 0.23.1), permite a un atacante que (1) tenga permisos de UserWrite y (2) esté usando una petición cuidadosamente diseñada o un proxy malicioso, crear otro usuario con un nivel de privilegios mayores que los suyos. Esto se presenta debido a controles insuficientes sobre el conjunto permitido de permisos. El evento de creación de nuevo usuario se capturaría en el Registro de Eventos.
Vulnerabilidad en la página de registro en el parámetro name del archivo admin/add_jobs.php en CourseMS (CVE-2021-29663)
Gravedad:
BajaBaja
Publication date: 31/03/2021
Last modified:
06/04/2021
Descripción:
CourseMS (también se conoce como Course Registration Management System) versión 2.1 está afectado por un cross-site scripting (XSS). Cuando un atacante con acceso a una cuenta de administrador crea un puesto de trabajo en el área del Site (también se conoce como el parámetro name del archivo admin/add_jobs.php), puede insertar una carga útil XSS. Esta carga útil se ejecutará cada vez que alguien visite la página de registro.
Vulnerabilidad en el proceso Traffic Management Microkernel (TMM) en BIG-IP (CVE-2021-23007)
Gravedad:
MediaMedia
Publication date: 31/03/2021
Last modified:
06/04/2021
Descripción:
En BIG-IP versiones 14.1.4 y 16.0.1.1, cuando el proceso Traffic Management Microkernel (TMM) maneja cierto tráfico no revelado, puede comenzar a eliminar todo el tráfico IP fragmentado. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD).
Vulnerabilidad en el campo de condición del boletín en ps_emailsubscription para la plataforma PrestaShop (CVE-2021-21418)
Gravedad:
BajaBaja
Publication date: 31/03/2021
Last modified:
06/04/2021
Descripción:
ps_emailsubscription es un módulo de suscripción al boletín para la plataforma PrestaShop. Un empleado puede inyectar javascript en el campo de condición del boletín que luego se ejecutará en la oficina principal. El problema se ha solucionado en la versión 2.6.1.
Vulnerabilidad en una carpeta de espacio de trabajo en la extensión no oficial vscode-rufo para Visual Studio Code (CVE-2021-29658)
Gravedad:
MediaMedia
Publication date: 31/03/2021
Last modified:
06/04/2021
Descripción:
La extensión no oficial vscode-rufo versiones anteriores a 0.0.4 para Visual Studio Code permite a los atacantes ejecutar binarios arbitrarios si el usuario abre una carpeta de espacio de trabajo diseñada.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: