Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el producto Oracle Payables de Oracle E-Business Suite (componente:India Localization, Results) (CVE-2021-2259)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Payables de Oracle E-Business Suite (componente:India Localization, Results). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Payables. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Payables, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Payables. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Site Hub de Oracle E-Business Suite (componente: Sites) (CVE-2021-2270)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Site Hub de Oracle E-Business Suite (componente: Sites). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Site Hub. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de Oracle Site Hub, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Site Hub. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Advanced Pricing de Oracle E-Business Suite (componente: Price Book) (CVE-2021-2269)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Advanced Pricing de Oracle E-Business Suite (componente: Price Book). La versión compatible que está afectada es la 12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Advanced Pricing. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Advanced Pricing, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Advanced Pricing. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Quoting de Oracle E-Business Suite (componente: Courseware) (CVE-2021-2268)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Quoting de Oracle E-Business Suite (componente: Courseware). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Quoting. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de Oracle Quoting, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Quoting. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Labor Distribution de Oracle E-Business Suite (componente: User Interface (CVE-2021-2267)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Labor Distribution de Oracle E-Business Suite (componente: User Interface). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Labor Distribution. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Labor Distribution, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Labor Distribution. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Sourcing de Oracle E-Business Suite (componente: Intelligence, RFx) (CVE-2021-2263)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Sourcing de Oracle E-Business Suite (componente: Intelligence, RFx). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Sourcing. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Sourcing, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Sourcing. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Purchasing de Oracle E-Business Suite (componente: Endeca) (CVE-2021-2262)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Purchasing de Oracle E-Business Suite (componente: Endeca). La versión compatible que está afectada es la 12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTPS comprometer a Oracle Purchasing. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de Oracle Purchasing, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Purchasing. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Lease and Finance Management de Oracle E-Business Suite (componente: Quotes) (CVE-2021-2261)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Lease and Finance Management de Oracle E-Business Suite (componente: Quotes). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Lease and Finance Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Lease and Finance Management, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Lease and Finance Management. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Human Resources de Oracle E-Business Suite (componente: iRecruitment) (CVE-2021-2260)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Human Resources de Oracle E-Business Suite (componente: iRecruitment). La versión compatible que está afectada es la 12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Human Resources. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Human Resources, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Human Resources. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Work in Process de Oracle E-Business Suite (componente: Resource Exceptions) (CVE-2021-2271)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Work in Process de Oracle E-Business Suite (componente: Resource Exceptions). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3-12.2.8. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Work in Process.  Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Work in Process, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Work in Process. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Projects de Oracle E-Business Suite (componente: User Interface) (CVE-2021-2258)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Projects de Oracle E-Business Suite (componente: User Interface). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Projects. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de Oracle Projects, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Projects. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Storage Cloud Software Appliance de Oracle Storage Gateway (componente: Management Console) (CVE-2021-2257)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Storage Cloud Software Appliance de Oracle Storage Gateway (componente: Management Console). La versión compatible que está afectada es anterior a la 16.3.1.4.2. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Storage Cloud Software Appliance. Si bien la vulnerabilidad se encuentra en Oracle Storage Cloud Software Appliance, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Storage Cloud Software Appliance. Nota: La actualización de Oracle Storage Cloud Software Appliance a la versión 16.3.1.4.2 o posterior solucionará estas vulnerabilidades. Descargue la última versión de Oracle Storage Cloud Software Appliance desde (a href=" https://www.oracle.com/downloads/cloud/oscsa-downloads.html")here. Refer to Document (a href="https://support.oracle.com/rstype=doc&id=2768897.1")2768897.1 para mayores detalles. CVSS 3.1 Puntuación Base 4.1 (Impactos en la Confidencialidad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N)
Vulnerabilidad en el producto Oracle Storage Cloud Software Appliance de Oracle Storage Gateway (componente: Management Console) (CVE-2021-2256)
Gravedad:
AltaAlta
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Storage Cloud Software Appliance de Oracle Storage Gateway (componente: Management Console). La versión compatible que está afectada es anterior a la 16.3.1.4.2. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Storage Cloud Software Appliance. Si bien la vulnerabilidad se encuentra en Oracle Storage Cloud Software Appliance, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Storage Cloud Software Appliance. Nota: La actualización de Oracle Storage Cloud Software Appliance a la versión 16.3.1.4.2 o posterior solucionará estas vulnerabilidades. Descargue la última versión de Oracle Storage Cloud Software Appliance de (a href = "https://www.oracle.com/downloads/cloud/oscsa-downloads.html") aquí. Consulte el documento
Vulnerabilidad en el producto Oracle Service Contracts de Oracle E-Business Suite (componente: Authoring) (CVE-2021-2255)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Service Contracts de Oracle E-Business Suite (componente: Authoring). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Service Contracts. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Service Contracts, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Service Contracts. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Project Contracts de Oracle E-Business Suite (componente: Hold Management) (CVE-2021-2254)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Project Contracts de Oracle E-Business Suite (componente: Hold Management). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Project Contracts. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Project Contracts, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Project Contracts. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Advanced Supply Chain Planning de Oracle Supply Chain (componente: Core) (CVE-2021-2253)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Advanced Supply Chain Planning de Oracle Supply Chain (componente: Core). Las versiones compatibles que están afectadas son 12.1 y 12.2. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Advanced Supply Chain Planning. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Advanced Supply Chain Planning, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Advanced Supply Chain Planning. CVSS 3.1 Puntuación Base 9.1 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Loans de Oracle E-Business Suite (componente: Loan Details, Loan Accounting Events) (CVE-2021-2252)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Loans de Oracle E-Business Suite (componente: Loan Details, Loan Accounting Events). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Loans. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Loans, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Loans. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Engineering de Oracle E-Business Suite (componente: Change Management) (CVE-2021-2290)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Engineering de Oracle E-Business Suite (componente: Change Management). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Engineering. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Engineering, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Engineering. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Cloud Infrastructure Storage Gateway de Oracle Storage Gateway (componente: Management Console) (CVE-2021-2320)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Cloud Infrastructure Storage Gateway de Oracle Storage Gateway (componente: Management Console). La versión compatible que está afectada es anterior a la 1.4. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Cloud Infrastructure Storage Gateway. Si bien la vulnerabilidad está en Oracle Cloud Infrastructure Storage Gateway, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Cloud Infrastructure Storage Gateway. Nota: La actualización de Oracle Cloud Infrastructure Storage Gateway a versión 1.4 o posteriores solucionará estas vulnerabilidades. Descargue la última versión de Oracle Cloud Infrastructure Storage Gateway desde (a href=" https://www.oracle.com/downloads/cloud/oci-storage-gateway-downloads.html"Mhere. Refer to Document a href="https://support.oracle.com/rs?type=doc&id=2768897.1")2768897.1 para más detalles. CVSS 3.1 Puntuación Base 9.1 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS: 3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle HRMS (France) de Oracle E-Business Suite (componente: French HR) (CVE-2021-2316)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle HRMS (France) de Oracle E-Business Suite (componente: French HR). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle HRMS (France). Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle HRMS (France) así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle HRMS (France). CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: Web Listener) (CVE-2021-2315)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: Web Listener). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle HTTP Server. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle HTTP Server, así como en el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle HTTP Server. CVSS 3.1 Puntuación Base 5.4 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N)
Vulnerabilidad en el producto Oracle Application Object Library de Oracle E-Business Suite (componente: Profiles) (CVE-2021-2314)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Application Object Library de Oracle E-Business Suite (componente: Profiles). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Application Object Library. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de la biblioteca de objetos de aplicación de Oracle, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Application Object Library. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Hospitality Inventory Management de Oracle Food and Beverage Applications (componente: Export to Reporting and Analytics) (CVE-2021-2311)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Hospitality Inventory Management de Oracle Food and Beverage Applications (componente: Export to Reporting and Analytics). La versión compatible que está afectada es 9.1.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Hospitality Inventory Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Hospitality Inventory Management. CVSS 3.1 Puntuación Base 6.5 (Impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto Oracle Concurrent Processing de Oracle E-Business Suite (componente: BI Publisher Integration) (CVE-2021-2295)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Concurrent Processing de Oracle E-Business Suite (componente: BI Publisher Integration). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Concurrent Processing. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Concurrent Processing, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Concurrent Processing. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core) (CVE-2021-2294)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de T3, IIOP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle WebLogic Server y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 6.5 (Impactos en la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L)
Vulnerabilidad en el producto Oracle Document Management and Collaboration de Oracle E-Business Suite (componente: Document Management) (CVE-2021-2292)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Document Management and Collaboration de Oracle E-Business Suite (componente: Document Management). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Document Management and Collaboration. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de Oracle Document Management and Collaboration, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Document Management and Collaboration. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle CRM Technical Foundation de Oracle E-Business Suite (componente: Data Source) (CVE-2021-2251)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle CRM Technical Foundation de Oracle E-Business Suite (componente: Data Source). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle CRM Technical Foundation. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle CRM Technical Foundation, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle CRM Technical Foundation. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Product Hub de Oracle E-Business Suite (componente: Template, GTIN search) (CVE-2021-2289)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Product Hub de Oracle E-Business Suite (componente: Template, GTIN search). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Product Hub. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Product Hub, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Product Hub. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Bills of Material de Oracle E-Business Suite (componente: Bill Issues) (CVE-2021-2288)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Bills of Material de Oracle E-Business Suite (componente: Bill Issues). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Bills of Material. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de Oracle Bills of Material, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Bills of Material. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware (componente: Core) (CVE-2021-2277)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware (componente: Core). Las versiones compatibles que están afectadas son 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Coherence. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Coherence. CVSS 3.1 Puntuación Base 7.5 (Impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto Oracle iSetup de Oracle E-Business Suite (componente: General Ledger Update Transform, Reports) (CVE-2021-2276)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle iSetup de Oracle E-Business Suite (componente: General Ledger Update Transform, Reports). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle iSetup. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o de todos los datos accesibles de Oracle iSetup, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iSetup. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports) (CVE-2021-2275)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Applications Manager. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Applications Manager, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Applications Manager. CVSS 3.1 Puntuación Base 6.5 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle E-Business Tax de Oracle E-Business Suite (componente: User Interface) (CVE-2021-2274)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle E-Business Tax de Oracle E-Business Suite (componente: User Interface). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle E-Business Tax. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle E-Business Tax, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle E-Business Tax. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Subdger Accounting de Oracle E-Business Suite (componente: Inquiries) (CVE-2021-2272)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Subdger Accounting de Oracle E-Business Suite (componente: Inquiries). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Subledger Accounting. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Subdger Accounting, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Subdger Accounting. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Landed Cost Management de Oracle E-Business Suite (componente: Shipment Workbench) (CVE-2021-2249)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Landed Cost Management de Oracle E-Business Suite (componente: Shipment Workbench). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Landed Cost Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Landed Cost Management, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Landed Cost Management. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Secure Global Desktop de Oracle Virtualization (componente: Server) (CVE-2021-2248)
Gravedad:
AltaAlta
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Secure Global Desktop de Oracle Virtualization (componente: Server). La versión compatible que está afectada es la 5.6. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de SKID comprometer a Oracle Secure Global Desktop. Si bien la vulnerabilidad está en Oracle Secure Global Desktop, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Secure Global Desktop. CVSS 3.1 Puntuación Base 10.0 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle Advanced Collections de Oracle E-Business Suite (componente: Admin) (CVE-2021-2247)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Advanced Collections de Oracle E-Business Suite (componente: Admin). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Advanced Collections. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Advanced Collections, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Advanced Collections. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Universal Work Queue de Oracle E-Business Suite (componente: Work Provider Site Level Administration) (CVE-2021-2246)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Universal Work Queue de Oracle E-Business Suite (componente: Work Provider Site Level Administration). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Universal Work Queue. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Universal Work Queue, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Universal Work Queue. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el componente Oracle Database - Enterprise Edition Unified Audit de Oracle Database Server (CVE-2021-2245)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el componente Oracle Database - Enterprise Edition Unified Audit de Oracle Database Server. Las versiones compatibles que están afectadas son 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado que tenga el privilegio Create Audit Policy con acceso a la red por medio de Oracle Net comprometer a Oracle Database - Enterprise Edition Unified Audit. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Database - Enterprise Edition Unified Audit. CVSS 3.1 Puntuación Base 2.7 (Impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N)
Vulnerabilidad en el producto Hyperion Analytic Provider Services de Oracle Hyperion (componente: JAPI) (CVE-2021-2244)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Hyperion Analytic Provider Services de Oracle Hyperion (componente: JAPI). Las versiones compatibles que están afectadas son 11.1.2.4 y 12.2.1.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Hyperion Analytic Provider Services. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Hyperion Analytic Provider Services los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Hyperion Analytic Provider Services. CVSS 3.1 Puntuación Base 9.6 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-2242)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Outside In Technology, así como en el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación base CVSS dependen del software que utiliza Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 8.2 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N)
Vulnerabilidad en el producto Oracle iStore de Oracle E-Business Suite (componente: Shopping Cart) (CVE-2021-2241)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle iStore de Oracle E-Business Suite (componente: Shopping Cart). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle iStore. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle iStore, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iStore. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-2240)
Gravedad:
AltaAlta
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como en el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y la capacidad no autorizada de causar una denegación de servicio parcial. (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación base CVSS dependen del software que utiliza Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.3 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
Vulnerabilidad en el plugin de WordPress Advanced Custom Fields Pro (CVE-2021-24241)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
El plugin de WordPress Advanced Custom Fields Pro versiones anteriores a 5.9.1, no escapaba apropiadamente de la URL de actualización generada cuando la generaba en un atributo, conllevando un problema de tipo Cross-Site Scripting reflejado en la página de configuración de actualización
Vulnerabilidad en la funcionalidad manual update en el plugin de WordPress Business Hours Pro (CVE-2021-24240)
Gravedad:
AltaAlta
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
El plugin de WordPress Business Hours Pro versiones hasta 5.5.0, permite a un atacante remoto cargar archivos arbitrarios usando su funcionalidad manual update, conllevando a una vulnerabilidad de ejecución de código remota no autenticada
Vulnerabilidad en el parámetro GET start_date en su página Tour List en el tema Goto de WordPress (CVE-2021-24235)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
El tema Goto de WordPress versiones anteriores a 2.0, no sanea las palabras clave y el parámetro GET start_date en su página Tour List, conllevando a un problema de tipo Cross-Site Scripting reflejado no autenticado
Vulnerabilidad en el parámetro tab en la página Search Forms del lugin Ivory Search WordPres (CVE-2021-24234)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
La página Search Forms del lugin Ivory Search WordPress versiones anteriores a 4.6.1, no saneaba apropiadamente el parámetro tab antes de mostrarlo en la página, conllevando a un problema de tipo Cross-Site Scripting reflejado cuando se abre un enlace diseñados malicioso como un usuario con privilegios elevados. Es requerido un conocimiento del id de formulario para conllevar el ataque
Vulnerabilidad en el plugin Cooked Pro WordPress (CVE-2021-24233)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
El plugin Cooked Pro WordPress versiones anteriores a 1.7.5.6 estuvo afectado por problemas de tipo Cross-Site Scripting reflejado no autenticado, debido a un saneamiento inapropiado de la entrada del usuario mientras se devuelve a las páginas como un atributo arbitrario
Vulnerabilidad en el plugin de WordPress Advanced Booking Calendar (CVE-2021-24232)
Gravedad:
BajaBaja
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
El plugin de WordPress Advanced Booking Calendar versiones anteriores a 1.6.8, no sanea el mensaje de error de licencia cuando se muestra en la página de configuración, conllevando un problema de tipo Cross-Site Scripting reflejado y autenticado
Vulnerabilidad en la URL de la página de descarga de AquaNPlayer (CVE-2020-7858)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
Se presenta una vulnerabilidad de salto de directorio en la URL de la página de descarga de AquaNPlayer versión 2.0.0.92. La IP de la URL de la página de descarga es localhost y un atacante puede saltar directorios usando secuencias "dot dot" (../../) para visualizar el archivo de host en el sistema. Esta vulnerabilidad puede causar un filtrado de información
Vulnerabilidad en HashiCorp Vault y Vault Enterprise (CVE-2021-29653)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
29/04/2021
Descripción:
HashiCorp Vault y Vault Enterprise versiones 1.5.1 y posteriores, bajo determinadas circunstancias, pueden excluir certificados revocados pero no vencidos de la CRL. Corregido en versiones 1.5.8, 1.6.4 y 1.7.1
Vulnerabilidad en Wrongthink (CVE-2021-29467)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
29/04/2021
Descripción:
Wrongthink es un programa de chat de igual a igual cifrado. Un usuario puede comprobar su huella digital en el servicio e ingresar un script para ejecutar JavaScript arbitrario en el sitio. No se presentan soluciones alternativas, pero se presenta un parche en la versión 2.4.1
Vulnerabilidad en el servicio VPN en Aviatrix VPN Client (CVE-2020-27569)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
29/04/2021
Descripción:
Se presenta una Escritura de Archivos Arbitraria en Aviatrix VPN Client versiones 2.8.2 y anteriores. El servicio VPN escribe registros en una ubicación que es de tipo world writable y puede ser aprovechado para conseguir acceso de escritura a cualquier archivo del sistema
Vulnerabilidad en el recurso del controlador en Aviatrix Controller (CVE-2020-27568)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
29/04/2021
Descripción:
Se presentan Permisos de Archivo No Seguros en Aviatrix Controller versión 5.3.1516. Se encontraron varios directorios y archivos de tipo world writable en el recurso del controlador. Nota: Todos los dispositivos Aviatrix están completamente encriptados. Ésta es una capa adicional de seguridad
Vulnerabilidad en el archivo /usr/libexec/xscreensaver/sonar en la función cap_net_raw en el paquete Debian xscreensaver para XScreenSaver (CVE-2021-31523)
Gravedad:
AltaAlta
Publication date: 21/04/2021
Last modified:
29/04/2021
Descripción:
El paquete Debian xscreensaver versión 5.42+dfsg1-1 para XScreenSaver presenta la función cap_net_raw habilitado para el archivo /usr/libexec/xscreensaver/sonar, lo que permite a usuarios locales alcanzar privilegios porque podría decirse que esto es incompatible con el diseño de la dependencia de la biblioteca Mesa 3D Graphics
Vulnerabilidad en el archivo gif2rgb.c en la función DumpScreen2RGB en giflib (CVE-2020-23922)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
05/05/2021
Descripción:
Se detectó un problema en giflib versiones hasta 5.1.4. La función DumpScreen2RGB en el archivo gif2rgb.c presenta una lectura excesiva del búfer en la región heap de la memoria
Vulnerabilidad en los problemas round-trip de XML en el REXML gem en Ruby (CVE-2021-28965)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
29/04/2021
Descripción:
El REXML gem versiones anteriores a 3.2.5 en Ruby versiones anteriores a 2.6.7, versiones 2.7.x anteriores a 2.7.3 y versiones 3.x anteriores a 3.0.1, no aborda apropiadamente los problemas round-trip de XML. Puede ser producido un documento incorrecto después de analizarlo y serializarlo
Vulnerabilidad en Xplatform (CVE-2020-7857)
Gravedad:
AltaAlta
Publication date: 20/04/2021
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad de XPlatform podría permitir a un atacante no autenticado ejecutar un comando arbitrario. Esta vulnerabilidad se presenta debido a una comprobación insuficiente de clases inapropiadas. Este problema afecta a: Tobesoft XPlatform versiones anteriores a 9.2.2.280
Vulnerabilidad en App Within Minutes en XWiki Platform (CVE-2021-29459)
Gravedad:
MediaMedia
Publication date: 20/04/2021
Last modified:
29/04/2021
Descripción:
XWiki Platform es una plataforma wiki genérica que ofrece servicios en tiempo de ejecución para aplicaciones creadas sobre ella. Es posible inyectar scripts de forma persistente en XWiki versiones anteriores a 12.6.3 y 12.8. Unos usuarios no registrados pueden completar campos de texto simple. Los usuarios registrados pueden completar su información personal y (si presentan derechos de edición) completar los valores de las listas estáticas usando App Within Minutes. No se presenta una solución sencilla excepto actualizar XWiki. La vulnerabilidad ha sido parcheada en XWiki versiones 12.8 y 12.6.3
Vulnerabilidad en el Proveedor LDAP en Dell PowerScale OneFS (CVE-2020-26197)
Gravedad:
MediaMedia
Publication date: 20/04/2021
Last modified:
29/04/2021
Descripción:
Dell PowerScale OneFS versiones 8.1.0 - 9.1.0, contiene una vulnerabilidad de Proveedor LDAP inhabilitado para conectarse por medio de TLSv1.2. Puede facilitar la escucha a escondidas y descifrar dicho tráfico para un actor malicioso. Nota: Esto no afecta a los clústeres que no dependen de un servidor LDAP para el proveedor de autenticación
Vulnerabilidad en la comunicación Ethernet de la serie de productos TOYOPUC de JTEKT Corporation (CVE-2021-27458)
Gravedad:
MediaMedia
Publication date: 19/04/2021
Last modified:
29/04/2021
Descripción:
Si la comunicación Ethernet de la serie de productos TOYOPUC de JTEKT Corporation" (Serie TOYOPUC-PC10: PC10G-CPU TCC-6353: Todas las versiones, PC10GE TCC-6464: Todas las versiones, PC10P TCC-6372: Todas las versiones, PC10P-DP TCC-6726: Todas las versiones, PC10P-DP-IO TCC-6752: Todas las versiones, PC10B-P TCC-6373: Todas las versiones, PC10B TCC-1021: Todas las versiones, PC10B-E/C TCU-6521: Todas las versiones, PC10E TCC-4737: Todas las versiones; Serie TOYOPUC-Plus: Plus CPU TCC-6740: Todas las versiones, Plus EX TCU-6741: Todas las versiones, Plus EX2 TCU-6858: Todas las versiones, Plus EFR TCU-6743: Todas las versiones, Plus EFR2 TCU-6859: Todas las versiones, Plus 2P-EFR TCU-6929: Todas las versiones, Plus BUS-EX TCU-6900: Todas las versiones; Serie TOYOPUC-PC3J/PC2J: FL/ET-T-V2H THU-6289: Todas las versiones, 2PORT-EFR THU-6404: Todas las versiones) son dejadas en estado abierto por un atacante, las comunicaciones Ethernet no pueden ser establecidas con otros dispositivos, dependiendo de la configuración de los parámetros del enlace
Vulnerabilidad en un sistema de archivos CIFS krb5 en cifs-utils (CVE-2021-20208)
Gravedad:
MediaMedia
Publication date: 19/04/2021
Last modified:
29/04/2021
Descripción:
Se encontró un fallo en cifs-utils en versiones anteriores a la 6.13. Cuando un usuario monta un sistema de archivos CIFS krb5 desde un contenedor, puede usar las credenciales de Kerberos del host. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos
Vulnerabilidad en la interfaz de administración en una petición POST en Wagtail (CVE-2021-29434)
Gravedad:
BajaBaja
Publication date: 19/04/2021
Last modified:
29/04/2021
Descripción:
Wagtail es un sistema de gestión de contenido de Django. En las versiones afectadas de Wagtail, al guardar el contenido de un campo de texto enriquecido en la interfaz de administración, Wagtail no aplica comprobaciones del lado del servidor para garantizar a las URL de los enlaces usar un protocolo válido. Un usuario malicioso con acceso a la interfaz de administración podría entonces diseñar una petición POST para publicar contenido con URLs "javascript:" que contengan código arbitrario. La vulnerabilidad no es explotable por un visitante ordinario del sitio sin acceso al administrador de Wagtail. Véase el aviso de GitHub al que se hace referencia para obtener detalles adicionales, incluyendo una solución alternativa. Las versiones parcheadas ha sido lanzadas como Wagtail versión 2.11.7 (para la rama LTS 2.11) y Wagtail versión 2.12.4 (para la rama 2.12 actual)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

CVE-2021-23336
Gravedad:
MediaMedia
Publication date: 15/02/2021
Last modified:
03/05/2021
Descripción:
El paquete python/cpython desde versiones 0 y anteriores a 3.6.13, desde versiones 3.7.0 y anteriores a 3.7.10, desde versiones 3.8.0 y anteriores a 3.8.8, desde versiones 3.9.0 y anteriores a 3.9.2, son vulnerables al envenenamiento de caché web por medio de urllib.parse.parse_qsl y urllib.parse.parse_qs usando un vector llamado encubrimiento de parámetros. Cuando el atacante puede separar los parámetros de la consulta usando un punto y coma (;), pueden causar una diferencia en la interpretación de la petición entre el proxy (que se ejecuta con la configuración predeterminada) y el servidor. Esto puede resultar en que las peticiones maliciosas se almacenen en caché como completamente seguras, ya que el proxy normalmente no vería el punto y coma como un separador y, por lo tanto, no lo incluiría en una clave de caché de un parámetro sin clave
Vulnerabilidad en la ruta de servicio ejecutable de FortiClientConsole (CVE-2019-17658)
Gravedad:
AltaAlta
Publication date: 12/03/2020
Last modified:
29/04/2021
Descripción:
Una vulnerabilidad de ruta de servicio no citada en el componente FortiTray de FortiClient de FortiClientWindows versiones v6.2.2 y anteriores, permite a un atacante alcanzar privilegios elevados por medio de la ruta de servicio ejecutable de FortiClientConsole.
Vulnerabilidad en el servlet OPMDeviceDetailsServlet en Zoho ManageEngine OpManager (CVE-2019-17602)
Gravedad:
AltaAlta
Publication date: 15/10/2019
Last modified:
04/05/2021
Descripción:
Se detectó un problema en Zoho ManageEngine OpManager versiones anteriores a 12.4 build 124089. El servlet OPMDeviceDetailsServlet es propenso a la inyección SQL. Dependiendo de la configuración, esta vulnerabilidad podría ser explotada no autenticado o autenticado.
Vulnerabilidad en ESTsoft ALZip (CVE-2017-11323)
Gravedad:
MediaMedia
Publication date: 19/08/2017
Last modified:
03/05/2021
Descripción:
Un desbordamiento de búfer basado en pila en ESTsoft ALZip 8.51 y anteriores permite que atacantes remotos ejecuten código arbitrario mediante un archivo de dispositivo MS-DOS manipulado, tal y como demuestra el uso de "AUX» como subcadena inicial de un nombre de archivo.