Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en AppX Deployment Server de Microsoft Windows (CVE-2021-28326)
Gravedad:
BajaBaja
Publication date: 13/04/2021
Last modified:
04/06/2021
Descripción:
Una vulnerabilidad de Denegación de Servicio de Windows AppX Deployment Server
Vulnerabilidad en Overlay Filter de Microsoft Windows (CVE-2021-26417)
Gravedad:
BajaBaja
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una Vulnerabilidad de Divulgación de Información de Overlay Filter de Windows
Vulnerabilidad en Visual Studio Installer de Microsoft (CVE-2021-27064)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Visual Studio Installer
Vulnerabilidad en Azure DevOps Server y Team Foundation Server de Microsoft (CVE-2021-27067)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Azure DevOps Server y Team Foundation Server
Vulnerabilidad en Win32k de Microsoft (CVE-2021-27072)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una Vulnerabilidad de Elevación de Privilegios de Win32k. Este ID de CVE es diferente de CVE-2021-28310
Vulnerabilidad en Media Photo Codec de Microsoft Windows (CVE-2021-27079)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Media Photo Codec de Windows
Vulnerabilidad en Services y Controller App de Microsoft Windows (CVE-2021-27086)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios de Services y Controller App de Windows
Vulnerabilidad en Event Tracing de Microsoft Windows (CVE-2021-27088)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios de Windows Event Tracing
Vulnerabilidad en Microsoft Internet Messaging API (CVE-2021-27089)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Internet Messaging API
Vulnerabilidad en Secure Kernel Mode de Microsoft Windows (CVE-2021-27090)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Secure Kernel Mode
Vulnerabilidad en el RPC Endpoint Mapper Service de Microsoft (CVE-2021-27091)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios del RPC Endpoint Mapper Service
Vulnerabilidad en el Kernel de Microsoft Windows (CVE-2021-28309)
Gravedad:
BajaBaja
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Divulgación de Información del Kernel de Windows. Este ID de CVE es diferente de CVE-2021-27093
Vulnerabilidad en el Media Video Decoder de Microsoft Windows (CVE-2021-28315)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota del Media Video Decoder de Windows. Este ID de CVE es diferente de CVE-2021-27095
Vulnerabilidad en el WLAN AutoConfig Service de Windows (CVE-2021-28316)
Gravedad:
BajaBaja
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Vulnerabilidad de omisión de la característica de seguridad del WLAN AutoConfig Service de Windows
Vulnerabilidad en la Codecs Library de Microsoft Windows (CVE-2021-28317)
Gravedad:
BajaBaja
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de la Codecs Library de Microsoft Windows
Vulnerabilidad en GDI+ de Microsoft Windows (CVE-2021-28318)
Gravedad:
BajaBaja
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de GDI+ de Windows
Vulnerabilidad en TCP/IP Driver de Microsoft Windows (CVE-2021-28319)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Denegación del TCP/IP Driver de Windows. Este ID de CVE es diferente de CVE-2021-28439
Vulnerabilidad en la Resource Manager PSM Service Extension de Microsoft Windows (CVE-2021-28320)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Vulnerabilidad de elevación de privilegios de la Resource Manager PSM Service Extension de Windows
Vulnerabilidad en el Diagnostics Hub Standard Collector Service de Microsoft (CVE-2021-28321)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
22/04/2021
Descripción:
Vulnerabilidad de Elevación de Privilegios del Diagnostics Hub Standard Collector Service. Este ID de CVE es diferente de CVE-2021-28313, CVE-2021-28322
Vulnerabilidad en el Diagnostics Hub Standard Collector Service de Microsoft (CVE-2021-28322)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
22/04/2021
Descripción:
Vulnerabilidad de Elevación de Privilegios del Diagnostics Hub Standard Collector Service. Este ID de CVE es diferente de CVE-2021-28313, CVE-2021-28321
Vulnerabilidad en el DNS de Microsoft Windows (CVE-2021-28323)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
22/04/2021
Descripción:
Una vulnerabilidad de Divulgación de Información del DNS de Windows. Este ID de CVE es diferente de CVE-2021-28328
Vulnerabilidad en el SMB de Microsoft Windows (CVE-2021-28324)
Gravedad:
MediaMedia
Publication date: 13/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de Divulgación de Información del SMB de Windows. Este ID de CVE es diferente de CVE-2021-28325
Vulnerabilidad en XQBACKUP el enrutador Xiaomi AX3600 ROM (CVE-2020-14104)
Gravedad:
MediaMedia
Publication date: 08/04/2021
Last modified:
15/04/2021
Descripción:
UNA CONDICIÓN DE CARRERA en XQBACKUP causa un error de ruta de descompresión en el enrutador Xiaomi AX3600 con ROM versión 1.0.50
Vulnerabilidad en la implementación del Link Layer Discovery Protocol (LLDP) para Enrutadores Cisco Small Business RV Series (CVE-2021-1308)
Gravedad:
MediaMedia
Publication date: 08/04/2021
Last modified:
15/04/2021
Descripción:
Múltiples vulnerabilidades en la implementación del Link Layer Discovery Protocol (LLDP) para Enrutadores Cisco Small Business RV Series. Un atacante adyacente no autenticado podría ejecutar código arbitrario o hacer que un enrutador afectado filtre la memoria del sistema o se recargue. Una pérdida de memoria o la recarga del dispositivo podrían causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso. Nota: LLDP es un protocolo de Capa 2. Para explotar estas vulnerabilidades, un atacante debe estar en el mismo dominio de transmisión que el dispositivo afectado (adyacente a Capa 2)
Vulnerabilidad en el envío de una petición de API SOAP en el endpoint de la API SOAP de Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition, Cisco Unified Communications Manager IM & amp; Presence Service (CVE-2021-1362)
Gravedad:
AltaAlta
Publication date: 08/04/2021
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad en el endpoint de la API SOAP de Cisco Unified Communications Manager, Cisco Unified Communications Manager Session Management Edition, Cisco Unified Communications Manager IM & amp; Presence Service, Cisco Unity Connection y Cisco Prime License Manager, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario en un dispositivo afectado. Esta vulnerabilidad es debido a un saneamiento inapropiado de la entrada suministrada por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición de API SOAP con parámetros diseñados hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios root en el sistema operativo Linux subyacente del dispositivo afectado
Vulnerabilidad en un enlace de restablecimiento de contraseña en CERN Indico (CVE-2021-30185)
Gravedad:
MediaMedia
Publication date: 07/04/2021
Last modified:
15/04/2021
Descripción:
CERN Indico versiones anteriores a 2.3.4, puede usar un encabezado de host proporcionado por un atacante en un enlace de restablecimiento de contraseña
Vulnerabilidad en la inicialización en el código de limpieza en XSA-365 (CVE-2021-28688)
Gravedad:
BajaBaja
Publication date: 06/04/2021
Last modified:
22/06/2021
Descripción:
La solución para XSA-365 incluye la inicialización de punteros de modo que el código de limpieza posterior no utilice valores no inicializados o obsoletos. Esta inicialización fue demasiado lejos y, en determinadas condiciones, también puede sobrescribir los punteros que están requiriendo una limpieza. La falta de limpieza resultaría en fugas de subsidios persistentes. A su vez, la filtración impediría a una limpieza completa después de que un invitado respectivo haya terminado, dejando dominios zombies. Todas las versiones de Linux que presentan la corrección para XSA-365 aplicada son vulnerables. XSA-365 se clasificó para afectar a las versiones de al menos 3.11
Vulnerabilidad en los archivos de configuración “package.json”, “tsconfig.json”, “.gitignore”, GitHub Workflows, “eslint”,” jest` en JavaScript en projen (CVE-2021-21423)
Gravedad:
MediaMedia
Publication date: 06/04/2021
Last modified:
15/04/2021
Descripción:
“projen” es una herramienta de generación de proyectos que sintetiza archivos de configuración de proyectos como “package.json”, “tsconfig.json”, “.gitignore”, GitHub Workflows, “eslint”,” jest`, y más, desde una definición well-typed escrita en JavaScript. Los usuarios de tipo de proyecto “NodeProject” de projen (incluido cualquier tipo de proyecto derivado de él) incluyen un flujo de trabajo “.github/workflows /rebuild-bot.yml” que puede permitir que cualquier usuario de GitHub active la ejecución de código no confiable en el contexto del repositorio "main" (en contraposición al de una bifurcación). En algunas situaciones, dicho código que no es de confianza puede potencialmente ser capaz de comprometerse con el repositorio "main". El flujo de trabajo rebuild-bot es activado con comentarios que incluyen “@projen rebuild” en la petición de extracción para activar un re-build del proyecto projen y la actualización de la petición de extracción con los archivos actualizados. Este flujo de trabajo es desencadenado por un evento “issue_comment” y, por lo tanto, siempre se ejecuta con un “GITHUB_TOKEN” que pertenece al repositorio en el que la petición de extracción es realizada (esto contrasta con los flujos de trabajo desencadenados por eventos “pull_request”, que siempre se ejecutan con un “GITHUB_TOKEN” perteneciente al repositorio desde el que la pull-request es realizada). Los repositorios que no contienen la protección de rama configurada en su rama predeterminada (normalmente, "main" o "master") posiblemente podrían permitir a un usuario no confiable conseguir acceso a secretos configurados en el repositorio (como tokens NPM, etc.). La protección de rama prohíbe esta escalada, ya que el "GITHUB_TOKEN" administrado no podría ser capaz de modificar el contenido de una rama protegida y los flujos de trabajo afectados deben definirse en la rama predeterminada
Vulnerabilidad en el almacenamiento externo del dispositivo en WhatsApp para Android y WhatsApp Business para Android (CVE-2021-24027)
Gravedad:
MediaMedia
Publication date: 06/04/2021
Last modified:
15/04/2021
Descripción:
Un problema de configuración de caché anterior a WhatsApp para Android versión v2.21.4.18 y WhatsApp Business para Android versión v2.21.4.18, puede haber permitido a un tercero con acceso al almacenamiento externo del dispositivo leer material TLS almacenado en caché
Vulnerabilidad en la canalización de decodificación de audio para llamadas en WhatsApp para Android, WhatsApp Business para Android, WhatsApp para iOS y WhatsApp Business para iOS (CVE-2021-24026)
Gravedad:
AltaAlta
Publication date: 06/04/2021
Last modified:
15/04/2021
Descripción:
Una falta de comprobación de límites dentro de la tubería de decodificación de audio para llamadas de WhatsApp en WhatsApp para Android versiones anteriores a v2.21.3, WhatsApp Business para Android versiones anteriores a v2.21.3, WhatsApp para iOS versiones anteriores a v2.21.32 y WhatsApp Business para iOS versiones anteriores a v2. 21.32, podría haber permitido una escritura fuera de límites
Vulnerabilidad en el archivo Module/Settings/UserExport.php en settings/userexport en Friendica (CVE-2021-30141)
Gravedad:
MediaMedia
Publication date: 05/04/2021
Last modified:
15/04/2021
Descripción:
** EN DISPUTA ** El archivo Module/Settings/UserExport.php en Friendica versiones hasta 2021.01, permite que settings/userexport sea usado por usuarios anónimos, como es demostrado por un intento de acceso a un desplazamiento de matriz en un valor de tipo null, y un consumo excesivo de la memoria. NOTA: el proveedor afirma que "la funcionalidad aún requiere una cookie de autenticación válida incluso si la ruta es accesible para usuarios no registrados"

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los datos PGN (Portable Game Notation) en el archivo frontend/cmd.cc en las funciones cmd_pgnload y cmd_pgnreplay en GNU Chess (CVE-2021-30184)
Gravedad:
MediaMedia
Publication date: 07/04/2021
Last modified:
12/07/2021
Descripción:
GNU Chess versión 6.2.7, permite a atacantes ejecutar código arbitrario por medio de datos PGN (Portable Game Notation) diseñados. Esto está relacionado con un desbordamiento de búfer en el uso de un archivo temporal .tmp.epd en las funciones cmd_pgnload y cmd_pgnreplay en el archivo frontend/cmd.cc
Vulnerabilidad en el control de acceso basado en IP en el módulo Net::Netmask para Perl (CVE-2021-29424)
Gravedad:
MediaMedia
Publication date: 06/04/2021
Last modified:
08/06/2021
Descripción:
El módulo Net::Netmask versiones anteriores a 2.0000 para Perl no considera apropiadamente los caracteres cero extraños al comienzo de una cadena de dirección IP, lo que (en algunas situaciones) permite a atacantes omitir el control de acceso basado en direcciones IP
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple (CVE-2021-1789)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
02/06/2021
Descripción:
Se abordó un problema de confusión de tipos con un manejo del estado mejorado. Este problema es corregido en macOS Big Sur versión 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, tvOS versión 14.4, watchOS versión 7.3, iOS versión 14.4 y iPadOS versión 14.4, Safari versión 14.0.3. El procesamiento de contenido web diseñado malicioso puede conllevar a una ejecución de código arbitraria.
Vulnerabilidad en "Clear History and Website Data" en diversos productos de Apple (CVE-2020-29623)
Gravedad:
BajaBaja
Publication date: 02/04/2021
Last modified:
02/06/2021
Descripción:
"Clear History and Website Data" no borró el historial. El problema se abordó con una eliminación de datos mejorada. Este problema es corregido en macOS Big Sur versión 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, iOS versión 14.3 y iPadOS versión 14.3, tvOS versión 14.3. Es posible que un usuario no pueda eliminar por completo el historial de navegación.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple (CVE-2020-27918)
Gravedad:
MediaMedia
Publication date: 08/12/2020
Last modified:
30/04/2021
Descripción:
Se abordó un problema de uso de la memoria previamente liberada, con una administración de la memoria mejorada. Este problema se corrigió en macOS Big Sur versión 11.0.1, watchOS versión 7.1, iOS versión 14.2 y iPadOS versión 14.2, iCloud para Windows versión 11.5, Safari versión 14.0.1, tvOS versión 14.2, iTunes versión 12.11 para Windows. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en Inter-Access Point Protocol (IAPP) de Cisco (CVE-2019-1800)
Gravedad:
MediaMedia
Publication date: 17/04/2019
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad en el manejo de los mensajes de Inter-Access Point Protocol (IAPP) por parte del programa Wireless LAN Controller (WLC) de Cisco, podría permitir que un atacante adyacente no autenticado cause una condición de denegación de servicio (DoS). La vulnerabilidad existe porque el programa valida incorrectamente la entrada en los campos dentro de los mensajes IAPP. Un atacante podría explotar la vulnerabilidad enviando mensajes IAPP maliciosos a un dispositivo afectado. Una explotación con éxito podría permitir al atacante hacer que el programa WLC de Cisco se vuelva a cargar, lo que resultaría en una condición DoS. Las versiones de software anteriores a 8.2.170.0, 8.5.150.0 y 8.8.100.0 están afectadas.
Vulnerabilidad en Protocolo Inter-Access Point (CVE-2019-1796)
Gravedad:
MediaMedia
Publication date: 17/04/2019
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad en el manejo de mensajes de Protocolo Inter-Access Point (IAPP) para el software Wireless LAN Controller (WLC) de Cisco, podría permitir que un atacante no identificado, localmente causar una condición de denegación de servicio (DoS). La vulnerabilidad existe porque el software comprueba incorrectamente la entrada en los campos dentro de los mensajes IAPP. Un atacante podría aprovechar la vulnerabilidad enviando mensajes IAPP maliciosos a un dispositivo afectado. Una operación con éxito podría permitir que el atacante hiciera que el software WLC de Cisco recargue, resultando en una condición DoS. Las versiones de software anteriores a 8.2.170.0, 8.5.150.0 y 8.8.100.0 se ven afectadas.
Vulnerabilidad en en administración basada en web del software Wireless LAN Controller (CVE-2019-1797)
Gravedad:
MediaMedia
Publication date: 17/04/2019
Last modified:
21/04/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web del software Wireless LAN Controller (WLC) de Cisco podría permitir que un atacante no identificado y remoto ejecute un ataque de tipo Cross-Site Request Forgery (CSRF) y realice acciones arbitrarias en el dispositivo con los privilegios del usuario, incluida la modificación de la configuración del dispositivo. La vulnerabilidad se debe a las protecciones de CSRF insuficientes para la interfaz de administración basada en web de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de interfaz a seguir un enlace creado. Una operación con éxito podría permitir al atacante realizar acciones arbitrarias en el dispositivo con los privilegios del usuario. Las versiones de software anteriores a 8.3.150.0, 8.5.135.0 y 8.8.100.0 se ven afectadas.
Vulnerabilidad en Protocolo Inter-Access Point (CVE-2019-1799)
Gravedad:
MediaMedia
Publication date: 17/04/2019
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad en el manejo de mensajes de Protocolo Inter-Access Point (IAPP) para el software Wireless LAN Controller (WLC) de Cisco, podría permitir que un atacante no identificado, adyacente causa una condición de denegación de servicio (DoS). La vulnerabilidad existe porque el software comprueba incorrectamente la entrada en los campos dentro de los mensajes IAPP. Un atacante podría aprovechar la vulnerabilidad enviando mensajes IAPP maliciosos a un dispositivo afectado. Una operación con éxito podría permitir que el atacante hiciera que el software WLC de Cisco se recargue, resultando en una condición DoS. Las versiones de software anteriores a 8.2.170.0, 8.5.150.0 y 8.8.100.0 se ven afectadas.
Vulnerabilidad en el kernel de Linux (CVE-2019-10125)
Gravedad:
AltaAlta
Publication date: 27/03/2019
Last modified:
02/06/2021
Descripción:
Se ha descubierto un problema en aio_poll() en fs/aio.c en el kernel de Linux hasta la versión 5.0.4. aio_poll_wake() podría liberar un archivo si un evento esperado se desencadena inmediatamente (por ejemplo, al cerrar un par de tuberías) tras el retorno de vfs_poll(); esto provocará un uso de memoria previamente liberada.
Vulnerabilidad en los dispositivos Cisco Wireless LAN Controller (CVE-2015-0679)
Gravedad:
MediaMedia
Publication date: 27/03/2015
Last modified:
15/04/2021
Descripción:
La funcionalidad web-authentication en los dispositivos Cisco Wireless LAN Controller (WLC) 7.3(103.8) y 7.4(110.0) permite a atacantes remotos causar una denegación de servicio (recarga de dispositivo) a través de una contraseña malformada, también conocido como Bug ID CSCui57980.
Vulnerabilidad en módulo de Drupal (CVE-2012-5569)
Gravedad:
MediaMedia
Publication date: 03/12/2012
Last modified:
15/04/2021
Descripción:
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en el módulo Basic webmail v6.x-1.x antes de v6.x-1.2 para Drupal, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través (1) el título de la página o (2) un mensaje de email manipulado.
Vulnerabilidad en Drupal (CVE-2008-3222)
Gravedad:
MediaMedia
Publication date: 18/07/2008
Last modified:
15/04/2021
Descripción:
Una vulnerabilidad de fijación de sesión en Drupal versiones 5.x anteriores a 5.9 y versiones 6.x anteriores a 6.3, cuando los módulos aportados "terminate the current request during a login event", permite a los atacantes remotos secuestrar sesiones web por medio de vectores desconocidos.
Vulnerabilidad en Drupal (CVE-2008-3220)
Gravedad:
MediaMedia
Publication date: 18/07/2008
Last modified:
15/04/2021
Descripción:
Vulnerabilidad de Falsificación de petición en sitios cruzados (CSRF) en versiones de Drupal 5.x anteriores a 5.8 y 6.X anteriores a 6.3 permite a atacantes remotos realizar acciones administrativas a través de vectores que impliquen la supresión de "cadenas traducidas".
Vulnerabilidad en Función filter_xss_admin en Drupal (CVE-2008-3219)
Gravedad:
MediaMedia
Publication date: 18/07/2008
Last modified:
15/04/2021
Descripción:
La función filter_xss_admin en versiones de Drupal 5.X anteriores a la 5.8 y 6.X anteriores a la 6.3 no "impide la utilización del objeto etiqueta HTML en la entrada de administrador" lo cual tiene un impacto desconocido y vectores de ataque, probablemente relacionados con un mecanismo de protección insuficiente de cross-site scripting (XSS).
Vulnerabilidad en Schema API de Drupal 6.x (CVE-2008-3223)
Gravedad:
AltaAlta
Publication date: 18/07/2008
Last modified:
15/04/2021
Descripción:
Vulnerabilidad de inyección SQL en el Schema API de versiones de Drupal 6.x anteriores a 6.3 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través de vectores relacionados con un "inadeacuado marcador de posición para campos 'numéricos'"
Vulnerabilidad en Drupal 6.x (CVE-2008-3221)
Gravedad:
MediaMedia
Publication date: 18/07/2008
Last modified:
15/04/2021
Descripción:
Vulnerabilidad de Falsificación de petición en sitios cruzados (CSRF) en versiones de Drupal 6.X anteriores a 6.3 permite a atacantes remotos realizar acciones administrativas a través de vectores que impliquen la supresión de identidades OpenID.
Vulnerabilidad en módulo The Organic Groups para Drupal (CVE-2008-3094)
Gravedad:
MediaMedia
Publication date: 09/07/2008
Last modified:
15/04/2021
Descripción:
El módulo The Organic Groups (OG) 5.x antes de 5.x-7.3 y 6.x antes de 6.x-1.0-RC1, un módulo para Drupal, permite a atacantes remotos obtener información sensible (nombres de grupo privados) mediante vectores no especificados.