Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la interfaz de usuario web los productos IBM Jazz Team Server (CVE-2020-4920)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
Los productos IBM Jazz Team Server son vulnerables a un ataque de tipo cross-site scripting almacenado. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 191396
Vulnerabilidad en un mensaje personalizado en la aplicación en los productos de IBM Jazz Team Server (CVE-2020-4964)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
Los productos de IBM Jazz Team Server contienen una vulnerabilidad no revelada que podría permitir a un usuario autenticado presentar un mensaje personalizado en la aplicación que podría ser usado para hacer un ataque de phishing a otros usuarios. IBM X-Force ID: 192419
Vulnerabilidad en los algoritmos criptográficos en los productos IBM Jazz Team Server (CVE-2020-4965)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
Los productos IBM Jazz Team Server utilizan algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 192422
Vulnerabilidad en la interfaz de usuario web en los productos IBM Jazz Team Server (CVE-2021-20519)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
Los productos IBM Jazz Team Server son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 198441
Vulnerabilidad en el parámetro formdata[wdt_ID] en el plugin wpDataTables – Tables & Table Charts premium WordPress (CVE-2021-24197)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
El plugin wpDataTables – Tables & Table Charts premium WordPress versiones anteriores a 3.4.2, presenta un Control de Acceso Inapropiado. Un usuario autenticado poco privilegiado que visita la página donde es publicada la tabla puede manipular los parámetros para acceder a los datos de otro usuario que están presentes en la misma tabla al asumir los permisos de usuario en la tabla por medio del parámetro formdata[wdt_ID]. Al explotar este problema, un atacante puede acceder y administrar los datos de todos los usuarios en la misma tabla
Vulnerabilidad en los parámetros id_key e id_val en el plugin wpDataTables – Tables & Table Charts premium WordPress (CVE-2021-24198)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
El plugin wpDataTables – Tables & Table Charts premium WordPress versiones anteriores a 3.4.2, presenta un Control de Acceso Inapropiado. Un usuario autenticado poco privilegiado que visita la página donde es publicada la tabla puede manipular los parámetros para eliminar los datos de otro usuario que están presentes en la misma tabla por medio de los parámetros id_key e id_val. Al explotar este problema, un atacante puede eliminar los datos de todos los usuarios de la misma tabla
Vulnerabilidad en el parámetro HTTP POST "start!" en la página de lista de tablas en el endpoint /wp-admin/admin-ajax.php?action=get_wdtable&table_id=1 en el plugin wp DataTables – Tables & Table Charts premium WordPress (CVE-2021-24199)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
El plugin wp DataTables – Tables & Table Charts premium WordPress versiones anteriores a 3.4.2, permite a un usuario autenticado poco privilegiado llevar a cabo una inyección SQL ciega basada en Booleanos en la página de lista de tablas en el endpoint /wp-admin/admin-ajax.php?action=get_wdtable&table_id=1, en el parámetro HTTP POST "start!". Esto permite a un atacante acceder a todos los datos de la base de datos y conseguir acceso a la aplicación de WordPress
Vulnerabilidad en el parámetro POST HTTP "length" en la página de lista de tablas en el endpoint /wp-admin/admin-ajax.php?action=get_wdtable&table_id=1 en el plugin premium de WordPress wpDataTables – Tables & Table Charts premium (CVE-2021-24200)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
13/04/2021
Descripción:
El plugin wpDataTables – Tables & Table Charts premium WordPress versiones anteriores a 3.4.2, permite a un usuario autenticado poco privilegiado llevar a cabo una inyección SQL ciega basada en Booleanos en la página de lista de tablas en el endpoint /wp-admin/admin-ajax.php?action=get_wdtable&table_id=1, en el parámetro POST HTTP "length". Esto permite a un atacante acceder a todos los datos de la base de datos y conseguir acceso a la aplicación de WordPress

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en del archivo /magnoliaAuthor/.magnolia/ en el parámetro setText en Magnolia CMS Magnolia CMS (CVE-2021-25893)
Gravedad:
BajaBaja
Publication date: 02/04/2021
Last modified:
15/04/2021
Descripción:
Magnolia CMS desde la versión 6.1.3 a la versión 6.2.3, contiene una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en el parámetro setText del archivo /magnoliaAuthor/.magnolia/
Vulnerabilidad en el archivo /magnoliaPublic/travel/members/login.html en el parámetro mgnlUserId en Magnolia CMS (CVE-2021-25894)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
15/04/2021
Descripción:
Magnolia CMS desde la versión 6.1.3 a la versión 6.2.3 contiene una vulnerabilidad de tipo cross site scripting (XSS) almacenado en el parámetro mgnlUserId del archivo /magnoliaPublic/travel/members/login.html
Vulnerabilidad en la función template en el paquete underscore (CVE-2021-23358)
Gravedad:
AltaAlta
Publication date: 29/03/2021
Last modified:
20/04/2021
Descripción:
El paquete underscore desde la versión 1.13.0-0 y anterior a la versión 1.13.0-2, desde la versión 1.3.2 y anterior a la versión 1.12.1, son vulnerables a una ejecución de código arbitraria por medio de la función template, particularmente cuando una propiedad variable es pasada como un argumento ya que no es saneado
Vulnerabilidad en el servicio ClamAV en Stormshield Network Security (SNS) (CVE-2021-27506)
Gravedad:
MediaMedia
Publication date: 19/03/2021
Last modified:
12/04/2021
Descripción:
El componente ClamAV Engine (versión 0.103.1 e inferior) incrustado en Storsmshield Network Security (SNS) está sujeto a DoS en caso de analizar archivos png malformados. Esto afecta a las versiones 9.1.0 a 9.1.11 de Netasq y a las versiones 1.0.0 a 4.2.0 de SNS. Este problema se ha solucionado en SNS versiones 3.7.19, 3.11.7 y 4.2.1.
Vulnerabilidad en la función remota del archivo scp.c en los caracteres backtick (`) en el argumento de destino en scp en OpenSSH (CVE-2020-15778)
Gravedad:
MediaMedia
Publication date: 24/07/2020
Last modified:
19/04/2021
Descripción:
** EN DISPUTA ** scp en OpenSSH versiones hasta 8.3p1 permite una inyección de comandos en la función toremote de scp.c, como lo demuestran los caracteres backtick en el argumento de destino. NOTA: según se informa, el proveedor ha declarado que omite intencionadamente la validación de las "transferencias de argumentos anómalos" porque eso podría "tener grandes posibilidades de romper los flujos de trabajo existentes"