Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro compnomenclature en la página "getAssets.jsp" de OpenClinic GA (CVE-2020-27236)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la página "getAssets.jsp" de OpenClinic GA versión 5.173.3 en el parámetro compnomenclature. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad
Vulnerabilidad en el parámetro description en la página "getAssets.jsp" de OpenClinic GA (CVE-2020-27235)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la página "getAssets.jsp" de OpenClinic GA versión 5.173.3 en el parámetro description. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad
Vulnerabilidad en el parámetro serviceUID en la página "getAssets.jsp" de OpenClinic GA (CVE-2020-27234)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la página "getAssets.jsp" de OpenClinic GA versión 5.173.3 en el parámetro serviceUID. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad
Vulnerabilidad en el parámetro SupplierUID en la página "getAssets.jsp" de OpenClinic GA (CVE-2020-27233)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la página "getAssets.jsp" de OpenClinic GA versión 5.173.3 en el parámetro SupplierUID. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad
Vulnerabilidad en el archivo /edit_group.php en el parámetro POST parent_id en phpGACL (CVE-2020-13568)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL en phpGACL versión 3.3.7. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. Un atacante puede enviar una petición HTTP para desencadenar esta vulnerabilidad en admin el archivo /edit_group.php, cuando la acción del parámetro POST es "Submit", el parámetro POST parent_id conlleva a una inyección SQL
Vulnerabilidad en el archivo admin/edit_group.php en el parámetro POST delete_group en phpGACL (CVE-2020-13566)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Se presentan vulnerabilidades de inyección SQL en phpGACL versión 3.3.7. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. Un atacante puede enviar una petición HTTP para desencadenar esta vulnerabilidad en el archivo admin/edit_group.php, cuando la acción del parámetro POST es "Delete", el parámetro POST delete_group conlleva a una inyección SQL
Vulnerabilidad en el encabezado Authorization para el endpoint /v2/devices/add en la aplicación ZEROF Expert para dispositivos móviles (CVE-2021-30176)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
La aplicación ZEROF Expert versión pro/2.0 para dispositivos móviles permite una inyección SQL por medio del encabezado Authorization para el endpoint /v2/devices/add
Vulnerabilidad en el endpoint /HandleEvent en ZEROF Web Server (CVE-2021-30175)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
ZEROF Web Server versión 1.0 (Abril de 2021) permite una inyección SQL por medio del endpoint /HandleEvent para la página de inicio de sesión
Vulnerabilidad en asignación de permisos en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28645)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Una vulnerabilidad de asignación de permisos incorrecta en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1, podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Vulnerabilidad en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25253)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un recurso usado por el servicio podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Vulnerabilidad en un archivo confidencial en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1 (CVE-2021-25250)
Gravedad:
AltaAlta
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en Trend Micro Apex One, Trend Micro Apex One as a Service y OfficeScan XG SP1, en un archivo confidencial podría permitir a un atacante local escalar los privilegios en las instalaciones afectadas. Nota: un atacante primero debe obtener la habilidad de ejecutar código poco privilegiado en el sistema de destino para explotar esta vulnerabilidad
Vulnerabilidad en Trend Micro Password Manager (CVE-2021-28647)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Trend Micro Password Manager versión 5 (Consumer) es vulnerable a una vulnerabilidad de secuestro DLL que podría permitir a un atacante inyectar un archivo DLL malicioso durante el progreso de la instalación y podría ejecutar un programa malicioso cada vez que un usuario instala un programa
Vulnerabilidad en archivo de registro en Trend Micro Apex One, Apex One as a Service y OfficeScan XG SP1 (CVE-2021-28646)
Gravedad:
BajaBaja
Publication date: 13/04/2021
Last modified:
14/04/2021
Descripción:
Una vulnerabilidad de permisos de archivo no segura en Trend Micro Apex One, Apex One as a Service and OfficeScan XG SP1, podría permitir a un atacante local tomar el control de un archivo de registro específico en las instalaciones afectadas

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el campo Full Name en el archivo register-patient.php en Remote Clinic (CVE-2021-30030)
Gravedad:
BajaBaja
Publication date: 12/04/2021
Last modified:
27/08/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo Full Name en el archivo register-patient.php
Vulnerabilidad en el campo First Name o Last Name en el archivo staff/register.php en Remote Clinic (CVE-2021-30044)
Gravedad:
BajaBaja
Publication date: 12/04/2021
Last modified:
27/08/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0, por medio del campo First Name o Last Name en el archivo staff/register.php
Vulnerabilidad en el campo "Clinic Name", "Clinic Address", "Clinic City" o "Clinic Contact" en el archivo clinics/register.php en Remote Clinic (CVE-2021-30042)
Gravedad:
BajaBaja
Publication date: 12/04/2021
Last modified:
27/08/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo "Clinic Name", "Clinic Address", "Clinic City" o "Clinic Contact" en el archivo clinics/register.php
Vulnerabilidad en el campo "Fever" o "Blood Pressure" en el archivo patients/register-report.php en Remote Clinic (CVE-2021-30039)
Gravedad:
BajaBaja
Publication date: 12/04/2021
Last modified:
27/08/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo "Fever" o "Blood Pressure" en el archivo patients/register-report.php
Vulnerabilidad en el campo Symptons en el archivo patients/register-report.php en Remote Clinic (CVE-2021-30034)
Gravedad:
BajaBaja
Publication date: 12/04/2021
Last modified:
27/08/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 por medio del campo Symptons en el archivo patients/register-report.php