Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el encabezado HTTP User-Agent en Settings.aspx?view=About en Directum (CVE-2021-31794)
Gravedad:
MediaMedia
Publication date: 24/04/2021
Last modified:
30/04/2021
Descripción:
Settings.aspx?view=About en Directum versión 5.8.2, permite un ataque de tipo XSS por medio del encabezado HTTP User-Agent
Vulnerabilidad en Object.prototype en jquery-bbq (CVE-2021-20086)
Gravedad:
MediaMedia
Publication date: 23/04/2021
Last modified:
04/05/2021
Descripción:
Una Modificación Controlada Inapropiadamente de Object Prototype Attributes ("Prototype Pollution") en jquery-bbq versión 1.2.1, permite a un usuario malicioso inyectar propiedades en Object.prototype
Vulnerabilidad en Object.prototype en purl (CVE-2021-20089)
Gravedad:
MediaMedia
Publication date: 23/04/2021
Last modified:
04/05/2021
Descripción:
Una Modificación Controlada Inapropiadamente de Object Prototype Attributes ("Prototype Pollution") en purl versión 2.3.2, permite a un usuario malicioso inyectar propiedades en Object.prototype
Vulnerabilidad en Object.prototype en jquery-deparam (CVE-2021-20087)
Gravedad:
MediaMedia
Publication date: 23/04/2021
Last modified:
01/05/2021
Descripción:
Una Modificación Controlada Inapropiadamente de Object Prototype Attributes ("Prototype Pollution") en jquery-deparam versión 0.5.1, permite a un usuario malicioso inyectar propiedades en Object.prototype
Vulnerabilidad en Object.prototype en mootools-more (CVE-2021-20088)
Gravedad:
MediaMedia
Publication date: 23/04/2021
Last modified:
01/05/2021
Descripción:
Una Modificación Controlada Inapropiadamente de Object Prototype Attributes ("Prototype Pollution") en mootools-more versión 1.6.0, permite a un usuario malicioso inyectar propiedades en Object.prototype
Vulnerabilidad en permisos de archivo en el directorio conf/ en Wowza Streaming Engine (CVE-2021-31540)
Gravedad:
BajaBaja
Publication date: 23/04/2021
Last modified:
28/06/2021
Descripción:
Wowza Streaming Engine versiones hasta 4.8.5 (en una instalación predeterminada) presenta permisos de archivo incorrectos de archivos de configuración en el directorio conf/. Un usuario local habitual puede leer y escribir en todos los archivos de configuración, por ejemplo, modificar la configuración del servidor de aplicaciones
Vulnerabilidad en el producto Oracle Legal Entity Configurator de Oracle E-Business Suite (componente: Create Contracts) (CVE-2021-2273)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
01/05/2021
Descripción:
Una vulnerabilidad en el producto Oracle Legal Entity Configurator de Oracle E-Business Suite (componente: Create Contracts). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Legal Entity Configurator. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Legal Entity Configurator, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Legal Entity Configurator. CVSS 3.1 Puntuación Base 8.1 (Impactos en la Confidencialidad e Integridad). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo conf/admin.password en Wowza Streaming Engine (CVE-2021-31539)
Gravedad:
BajaBaja
Publication date: 23/04/2021
Last modified:
05/05/2021
Descripción:
Wowza Streaming Engine versiones hasta 4.8.8.01 (en una instalación predeterminada) presenta contraseñas de texto sin cifrar almacenadas en el archivo conf/admin.password. Un usuario local habitual puede leer nombres de usuario y contraseñas
Vulnerabilidad en la función grub_script_function_create() en GRUB2 (CVE-2020-15706)
Gravedad:
MediaMedia
Publication date: 29/07/2020
Last modified:
30/04/2021
Descripción:
GRUB2 contiene una condición de carrera en la función grub_script_function_create() que conlleva a una vulnerabilidad de uso de la memoria previamente liberada la cual puede ser desencadenada al redefinir una función mientras la misma función ya se está ejecutando, conllevando a una ejecución de código arbitrario y a una omisión de restricción de arranque seguro. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores
Vulnerabilidad en las funciones grub_cmd_initrd y grub_initrd_init en el componente efilinux de GRUB2 incluido en Debian, Red Hat y Ubuntu (CVE-2020-15707)
Gravedad:
MediaMedia
Publication date: 29/07/2020
Last modified:
13/09/2021
Descripción:
Se detectaron desbordamientos de enteros en las funciones grub_cmd_initrd y grub_initrd_init en el componente efilinux de GRUB2, como se incluye en Debian, Red Hat y Ubuntu (la funcionalidad no está incluida aguas arriba de GRUB2), conllevando a un desbordamiento del búfer en la región heap de la memoria. Estos podrían ser activados por una gran cantidad de argumentos para el comando initrd en arquitecturas de 32 bits, o un sistema de archivos diseñado con archivos muy grandes en cualquier arquitectura. Un atacante podría usar esto para ejecutar código arbitrario y omitir las restricciones UEFI Secure Boot. Este problema afecta a GRUB2 versiones 2.04 y versiones anteriores