Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la configuración predeterminada en el servicio binario Syncfusion Dashboard Service en Dream Report (CVE-2020-13532)
Gravedad:
AltaAlta
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. En la configuración predeterminada, el servicio binario Syncfusion Dashboard Service puede ser reemplazado para escalar privilegios a NT SYSTEM. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en la configuración predeterminada en las claves de registro en Dream Report (CVE-2020-13533)
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. En la configuración predeterminada, las siguientes claves de registro, que hacen referencia a binarios con permisos débiles, pueden ser abusadas por parte de atacantes para hacer efectivamente un "backdoor" de los archivos de instalación y escalar los privilegios cuando un nuevo usuario inicia sesión y usa la aplicación
Vulnerabilidad en COM Class Identifiers (CLSID) en Dream Report (CVE-2020-13534)
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en Dream Report versión 5 R20-2. COM Class Identifiers (CLSID), instalado por Dream Report versión 5 20-2, hace referencia a LocalServer32 e InprocServer32 con privilegios débiles que pueden conllevar a una escalada de privilegios cuando son usados. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en el envío de una petición HTTP en SonicWall Email Security (CVE-2021-20021)
Gravedad:
AltaAlta
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
Una vulnerabilidad en SonicWall Email Security versión 10.0.9.x, permite a un atacante crear una cuenta administrativa mediante el envío de una petición HTTP diseñada en el host remoto
Vulnerabilidad en el mecanismo de registro de auditoría del sistema de archivos en IBM Spectrum Scale (CVE-2021-29671)
Gravedad:
BajaBaja
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
IBM Spectrum Scale versión 5.1.0.1, podría permitir a un atacante local omitir el mecanismo de registro de auditoría del sistema de archivos cuando el registro de auditoría de archivos está habilitado. IBM X-Force ID: 199478
Vulnerabilidad en /tools/ping en Unibox U-50 y UniBox Enterprise Series y UniBox Campus Series (CVE-2020-21883)
Gravedad:
AltaAlta
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
Unibox U-50 versión 2.4 y UniBox Enterprise Series versión 2.4 y UniBox Campus Series versión 2.4, contienen una vulnerabilidad de inyección de comandos del Sistema Operativo en /tools/ping, que puede conllevar a la toma de control completa del dispositivo
Vulnerabilidad en /tools/network-trace, /list_users, /list_byod?usertype=raduser, /dhcp_leases, /go?rid=202 en Unibox SMB y UniBox Enterprise Series y UniBox Campus Series (CVE-2020-21884)
Gravedad:
AltaAlta
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
Unibox SMB versión 2.4 y UniBox Enterprise Series versión 2.4 y UniBox Campus Series versión 2.4, contienen una vulnerabilidad de tipo cross-site request forgery (CSRF) en /tools/network-trace, /list_users, /list_byod?usertype=raduser, /dhcp_leases, /go?rid=202 en el que una petición HTTP especialmente diseñada puede reconfigurar el dispositivo
Vulnerabilidad en el archivo /cgi-bin/test_version.asp en Skyworth Digital Technology (CVE-2021-25326)
Gravedad:
BajaBaja
Publication date: 09/04/2021
Last modified:
04/05/2021
Descripción:
Skyworth Digital Technology RN510 versión V.3.1.0.4, está afectada por una vulnerabilidad de control de acceso incorrecta en el archivo /cgi-bin/test_version.asp. Si el Wi-Fi está conectado pero un usuario no autenticado visita una URL, es posible que se revelen la contraseña SSID y la contraseña de la Interfaz de Usuario web
CVE-2021-25327
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
04/05/2021
Descripción:
Skyworth Digital Technology RN510 versión V.3.1.0.4, contiene una vulnerabilidad de tipo cross-site request forgery (CSRF) en los archivos /cgi-bin/net-routeadd.asp y /cgi-bin/sec-urlfilter.asp. Una falta de protección de tipo CSRF en los dispositivos puede conllevar a un ataque de tipo XSRF, ya que las páginas anteriores son vulnerables a un ataque de tipo cross-site scripting (XSS)
CVE-2021-25328
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
04/05/2021
Descripción:
Skyworth Digital Technology RN510 versión V.3.1.0.4 RN510 versión V.3.1.0.4, contiene una vulnerabilidad de desbordamiento del búfer en el archivo /cgi-bin/app-staticIP.asp. Un atacante autenticado puede enviar una petición especialmente diseñada al endpoint que puede conllevar a una denegación de servicio (DoS) o a una posible ejecución de código en el dispositivo
Vulnerabilidad en la preferencia de gadgets del panel de control del plugin de gadgets de Atlassian en Jira Server y Jira Data Center (CVE-2020-36287)
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
14/04/2021
Descripción:
El recurso de preferencia de gadgets del panel de control del plugin de gadgets de Atlassian usado en Jira Server y Jira Data Center versiones anteriores a 8.13.5, y desde versión 8.14.0 anterior a 8.15.1, permite a atacantes remotos y anónimos obtener configuraciones relacionadas con gadgets por medio de una falta de comprobación de permisos
Vulnerabilidad en el procesamiento de una entrada XML en Forcepoint Web Security Content Gateway (CVE-2020-6590)
Gravedad:
MediaMedia
Publication date: 08/04/2021
Last modified:
14/04/2021
Descripción:
Forcepoint Web Security Content Gateway versiones anteriores a 8.5.4, procesan inapropiadamente una entrada XML, conllevando a una divulgación de información

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: