Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los archivos internos en el plugin Patreon WordPress (CVE-2021-24227)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
14/04/2021
Descripción:
El equipo de Jetpack Scan identificó una vulnerabilidad de Divulgación de Archivos Locales en el plugin Patreon WordPress versiones anteriores a 1.7.0, que podría ser abusado por cualquiera que visite el sitio. Con este vector de ataque, un atacante podría filtrar archivos internos importantes como wp-config.php, que contiene credenciales de base de datos y claves criptográficas utilizadas en la generación de nonces y cookies
Vulnerabilidad en el Formulario de Inicio de Sesión en el plugin Patreon WordPress (CVE-2021-24228)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
14/04/2021
Descripción:
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Scripting Reflejado en el Formulario de Inicio de Sesión en el plugin Patreon WordPress versiones anteriores a 1.7.2. El formulario de inicio de sesión de WordPress (wp-login.php) está conectado por el plugin y ofrece permitir a los usuarios autenticarse en el sitio utilizando su cuenta de Patreon. Desafortunadamente, parte de la lógica del registro de errores detrás de la escena permitió que la entrada controlada por el usuario sea reflejada en la página de inicio de sesión, sin sanear
Vulnerabilidad en la visita de un enlace en el plugin Patreon de WordPress (CVE-2021-24231)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
04/05/2021
Descripción:
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Request Forgery en el plugin Patreon de WordPress versiones anteriores a 1.7.0, permitiendo a un atacante hacer que un administrador registrado desconecte el sitio de Patreon al visitar un enlace especialmente diseñado
Vulnerabilidad en la acción AJAX patreon_save_attachment_patreon_level del plugin Patreon WordPress (CVE-2021-24229)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
14/04/2021
Descripción:
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Scripting Reflejado por medio de la acción AJAX patreon_save_attachment_patreon_level del plugin Patreon WordPress versiones anteriores a 1.7.2. Este enlace AJAX es utilizado para actualizar el nivel de compromiso requerido por los suscriptores de Patreon para acceder a un archivo adjunto determinado. Esta acción es accesible para cuentas de usuario con el privilegio "manage_options" (es decir, solo administradores). Desafortunadamente, uno de los parámetros utilizados en este endpoint AJAX no es saneado antes de volver a imprimirse al usuario, por lo que el riesgo que representa es el mismo que el de la vulnerabilidad XSS previo
Vulnerabilidad en la meta "wp_capabilities" en el plugin Patreon de WordPress (CVE-2021-24230)
Gravedad:
MediaMedia
Publication date: 12/04/2021
Last modified:
04/05/2021
Descripción:
El equipo de Jetpack Scan identificó una vulnerabilidad de tipo Cross-Site Request Forgery en el plugin Patreon de WordPress versiones anteriores a 1.7.0, permitiendo a un atacante hacer que un usuario registrado sobrescriba o cree metadatos de usuario arbitrarios en la cuenta de la víctima una vez visitada. Si se explota, este error se puede utilizar para sobrescribir la meta "wp_capabilities", que contiene los roles y privilegios de la cuenta de usuario afectada. Hacer esto esencialmente los bloquearía fuera del sitio, impidiéndoles acceder a contenido pago
Vulnerabilidad en la carga de un archivo en el host en SonicWall Email Security (CVE-2021-20022)
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
SonicWall Email Security versión 10.0.9.x, contiene una vulnerabilidad que permite a un atacante autenticado posteriormente cargar un archivo arbitrario en el host remoto
Vulnerabilidad en el plugin de Micro Focus Application Automation Tools Plugin - Jenkins (CVE-2021-22511)
Gravedad:
MediaMedia
Publication date: 08/04/2021
Last modified:
14/04/2021
Descripción:
Una vulnerabilidad de comprobación inapropiada de certificado en el plugin de Micro Focus Application Automation Tools Plugin - Jenkins. La vulnerabilidad afecta a versión 6.7 y versiones anteriores. La vulnerabilidad podría permitir la desactivación incondicional de certificados SSL/TLS

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: