Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el procesamiento de un archivo fuente en diversos productos de Apple (CVE-2020-27944)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se presentó un problema de corrupción de memoria en un procesamiento de archivos de fuentes. Este problema es abordado con una comprobación de la entrada mejorada. Este problema es corregido en watchOS versión 7.2, macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, iOS versión 14.3 y iPadOS versión 14.3, tvOS versión 14.3. El procesamiento de un archivo fuente diseñado maliciosamente puede conllevar a una ejecución de código arbitraria.
Vulnerabilidad en el procesamiento de un archivo fuente en diversos productos de Apple (CVE-2020-27943)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se presentó un problema de corrupción de memoria en un procesamiento de archivos de fuentes. Este problema es abordado con una comprobación de la entrada mejorada. Este problema es corregido en tvOS versión 14.3, iOS versión 14.3 y iPadOS versión 14.3, macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, watchOS versión 7.2. El procesamiento de un archivo fuente diseñado maliciosamente puede conllevar a una ejecución de código arbitraria.
Vulnerabilidad en una aplicación en diversos productos de Apple (CVE-2020-27938)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de lógica con una administración de estado mejorada. Este problema es corregido en macOS Big Sur versión 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave. Una aplicación maliciosa puede ser capaz de elevar privilegios.
Vulnerabilidad en una aplicación en diversos productos de Apple (CVE-2020-27937)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de lógica con una administración de estado mejorada. Este problema es corregido en macOS Big Sur versión 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, macOS Big Sur versión 11.0.1. Una aplicación maliciosa puede ser capaz de acceder a información privada.
Vulnerabilidad en un usuario local en macOS Big Sur, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave de Apple (CVE-2020-27936)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se presentó un problema de lectura fuera de límites que conllevó a una divulgación de la memoria del Kernel. Este problema se abordó con una comprobación de la entrada mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave. Un usuario local puede ser capaz de causar una finalización inesperada del sistema o leer la memoria del kernel.
Vulnerabilidad en un proceso en sandbox en diversos productos de Apple (CVE-2020-27935)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordaron múltiples problemas con una lógica mejorada. Este problema es corregido en iOS versión 14.2 y iPadOS versión 14.2, macOS Big Sur versión 11.0.1, watchOS versión 7.1, tvOS versión 14.2. Un proceso en sandbox puede ser capaz de omitir las restricciones del sandbox.
Vulnerabilidad en una aplicación en diversos productos de Apple (CVE-2020-27915)
Gravedad:
AltaAlta
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de corrupción de memoria con una comprobación de la entrada mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, macOS Big Sur versión 11.0.1. Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una aplicación en diversos productos de Apple (CVE-2020-27914)
Gravedad:
AltaAlta
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de corrupción de memoria con una comprobación de la entrada mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, macOS Big Sur versión 11.0.1. Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios system.
Vulnerabilidad en el procesamiento de un archivo de audio en diversos productos de Apple (CVE-2020-27908)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó una lectura fuera de límites con una comprobación de la entrada mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, macOS Big Sur versión 11.0.1, iOS versión 14.2 y iPadOS versión 14.2, watchOS versión 7.1, tvOS versión 14.2. El procesamiento de un archivo de audio diseñado malicioso puede conllevar a una ejecución de código arbitraria.
Vulnerabilidad en un proceso en sandbox en diversos productos de Apple (CVE-2020-27907)
Gravedad:
AltaAlta
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de lógica con unas restricciones mejoradas. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, macOS Big Sur versión 11.0.1. Un proceso en sandbox puede ser capaz de omitir las restricciones del sandbox.
Vulnerabilidad en un proceso en sandbox en diversos productos de Apple (CVE-2020-27901)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de lógica con unas restricciones mejoradas. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, macOS Big Sur versión 11.0.1. Un proceso en sandbox puede ser capaz de omitir las restricciones del sandbox.
Vulnerabilidad en un atacante local en diversos productos de Apple (CVE-2020-27899)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de uso de la memoria previamente liberada con una administración de la memoria mejorada. Este problema es corregido en iOS versión 14.2 y iPadOS versión 14.2, macOS Big Sur versión 11.0.1, watchOS versión 7.1, tvOS versión 14.2. Un atacante local puede ser capaz de elevar sus privilegios.
Vulnerabilidad en el compartir la pantalla en macOS Big Sur de Apple (CVE-2020-27893)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se presentó un problema al compartir la pantalla. Este problema es abordado con una administración de estado mejorada. Este problema es corregido en macOS Big Sur versión 11.0.1. Un usuario con acceso para compartir pantalla puede visualizar la pantalla de otro usuario.
Vulnerabilidad en una aplicación en macOS Big Sur de Apple (CVE-2020-10008)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de lógica con unas restricciones mejoradas. Este problema es corregido en macOS Big Sur versión 11.0.1. Una aplicación maliciosa con privilegios root puede ser capaz de acceder a información privada.
Vulnerabilidad en una aplicación en macOS Big Sur, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave de Apple (CVE-2020-10001)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se abordó un problema de comprobación de la entrada con un manejo de la memoria mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave. Una aplicación maliciosa puede ser capaz de leer la memoria restringida.
Vulnerabilidad en una página Wiki en GitLab CE/EE (CVE-2021-22203)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 13.7.9. Una página Wiki especialmente diseñada permitía a atacantes leer archivos arbitrarios en el servidor.
Vulnerabilidad en un archivo de importación en GitLab CE/EE (CVE-2021-22201)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 13.9. Un archivo de importación especialmente diseñado podría leer archivos en el servidor.
Vulnerabilidad en imágenes de métricas de incidentes de proyectos públicos en GitLab CE/EE (CVE-2021-22198)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones desde 13.8 y superiores, permitiendo a un usuario autenticado eliminar imágenes de métricas de incidentes de proyectos públicos.
Vulnerabilidad en el acceso a un MR en GitLab CE/EE (CVE-2021-22197)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 10.6, donde se presenta un bucle infinito cuando un usuario autenticado con derechos específicos accede a un MR que tiene la rama de origen y de destino apuntando entre sí.
Vulnerabilidad en un nombre de rama en GitLab CE/EE (CVE-2021-22196)
Gravedad:
BajaBaja
Publication date: 02/04/2021
Last modified:
07/04/2021
Descripción:
Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 13.4. Era posible explotar una vulnerabilidad de tipo cross-site-scripting almacenada en una petición de combinación por medio de un nombre de rama diseñado específicamente.
Vulnerabilidad en el parámetro sort_by en la funcionalidad email search en dispositivos FireEye EX 3500 en eMPS (CVE-2021-28969)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
07/04/2021
Descripción:
eMPS versión 9.0.1.923211, en dispositivos FireEye EX 3500 permite a los usuarios autenticados remotamente llevar a cabo ataques de inyección SQL a través del parámetro sort_by en la funcionalidad email search. Según el proveedor, el problema se solucionó en la versión 9.0.3. NOTA: esto es diferente de CVE-2020-25034 y afecta a las versiones más recientes del software.
Vulnerabilidad en el BIOS UX360CA de las computadoras portátiles ASUS (CVE-2021-26943)
Gravedad:
AltaAlta
Publication date: 31/03/2021
Last modified:
07/04/2021
Descripción:
El BIOS UX360CA versiones hasta 303 en las computadoras portátiles ASUS permite a un atacante (con el privilegio ring 0) sobrescribir ubicaciones de la memoria física casi arbitrarias, incluida la SMRAM, y ejecutar código arbitrario en la SMM (problema 3 de 3).
Vulnerabilidad en unas limitaciones de la API en isolated-vm (CVE-2021-21413)
Gravedad:
MediaMedia
Publication date: 30/03/2021
Last modified:
07/04/2021
Descripción:
isolated-vm es una biblioteca para nodejs que le da acceso a la interfaz Isolate de v8. Las versiones de isolated-vm anteriores a v4.0.0 presentan unas limitaciones de la API que puede facilitar a implementadores una exposición de supuestos aislamientos seguros para los permisos del aislamiento de nodejs principal. Los objetos de referencia permiten el acceso a la cadena de prototipos completa de la referencia subyacente. En un entorno donde el implementador ha expuesto una instancia de Referencia a un atacante, podría ser capaz de usarla para adquirir una Referencia al objeto de Función del contexto de nodejs. Se podrían realizar ataques específicos de aplicaciones similares al modificar el prototipo local de otros objetos API. Un acceso a los objetos NativeModule podría permitir a un atacante cargar y ejecutar código nativo desde cualquier lugar del sistema de archivos. Si es combinado con, por ejemplo, una API de carga de archivos, esto permitiría una ejecución de código arbitrario. Esto es abordado en versión v4.0.0 mediante una serie de cambios relacionados.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una aplicación en diversos productos de Apple. (CVE-2020-10015)
Gravedad:
AltaAlta
Publication date: 02/04/2021
Last modified:
13/04/2021
Descripción:
Se abordó un problema de escritura fuera de límites con una comprobación de límites mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, macOS Big Sur versión 11.0.1. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en una aplicación en diversos productos de Apple (CVE-2020-27941)
Gravedad:
AltaAlta
Publication date: 02/04/2021
Last modified:
13/04/2021
Descripción:
Se abordó un problema de comprobación con una lógica mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en las entradas de metadatos XMP en el archivo models/metadata.py en el paquete pikepdf (CVE-2021-29421)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
02/06/2021
Descripción:
El archivo models/metadata.py en el paquete pikepdf versión 1.3.0 hasta 2.9.2 para Python, permite un XXE cuando se analizan las entradas de metadatos XMP.
Vulnerabilidad en una comprobación de integridad en Acrobat Reader DC (CVE-2021-28546)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
14/09/2021
Descripción:
Acrobat Reader DC versiones 2020.013.20074 (y anteriores), versiones 2020.001.30018 (y anteriores) y versiones 2017.011.30188 (y anteriores), carecen de compatibilidad con una comprobación de integridad. Un atacante no autentificado podría aprovechar esta vulnerabilidad para modificar el contenido de un PDF certificado sin invalidar la certificación. Una explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir el archivo manipulado.
Vulnerabilidad en una comprobación de integridad en Acrobat Reader DC (CVE-2021-28545)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
08/09/2021
Descripción:
Las versiones de Acrobat Reader DC 2020.013.20074 (y anteriores), 2020.001.30018 (y anteriores) y 2017.011.30188 (y anteriores) carecen de soporte para una comprobación de integridad. Un atacante no autentificado podría manipular completamente los datos de un PDF certificado sin invalidar la certificación original. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir el archivo manipulado
CVE-2021-29662
Gravedad:
MediaMedia
Publication date: 31/03/2021
Last modified:
08/06/2021
Descripción:
El módulo Data::Validate::IP versiones hasta 0.29 para Perl, no considera apropiadamente los caracteres cero extraños al comienzo de una cadena de dirección IP, lo que (en algunas situaciones) permite a los atacantes omitir el control de acceso que se basa en direcciones IP.