Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el uso de la funcionalidad sub-option del módulo basic.py en Ansible Engine (CVE-2021-20228)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
07/08/2021
Descripción:
Se encontró un fallo en Ansible Engine versión 2.9.18, donde la información confidencial no está enmascarada por defecto y no está protegida por la funcionalidad no_log cuando se usa la funcionalidad sub-option del módulo basic.py. Este fallo permite a un atacante obtener información confidencial. La mayor amenaza de esta vulnerabilidad es la confidencialidad
Vulnerabilidad en la funcionalidad article comments en emlog (CVE-2021-30227)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en la funcionalidad article comments en emlog versión 6.0
Vulnerabilidad en Babel (CVE-2021-20095)
Gravedad:
Sin asignarSin asignar
Publication date: 29/04/2021
Last modified:
16/06/2021
Descripción:
Un Salto de Ruta Relativo en Babel versión 2.9.0, permite a un atacante cargar archivos de configuración local arbitrarios en el disco y ejecutar código arbitrario
Vulnerabilidad en la funcionalidad password reset en Pega Infinity (CVE-2021-27651)
Gravedad:
AltaAlta
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
En versiones 8.2.1 hasta 8.5.2 de Pega Infinity, la funcionalidad password reset para cuentas locales puede ser usada para omitir las comprobaciones de autenticación locales
Vulnerabilidad en Rukovoditel (CVE-2021-30224)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en Rukovoditel versión v2.8.3, permite a atacantes crear un usuario administrador con credenciales arbitrarias
Vulnerabilidad en un archivo de construcción en el archivo build.c en la función printstatus() en samurai (CVE-2021-30219)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
samurai versión 1.2, presenta una desreferencia de puntero NULL en la función printstatus() en el archivo build.c por medio de un archivo de construcción diseñado
Vulnerabilidad en un archivo de compilación en el archivo util.c en la función writefile() en samurai (CVE-2021-30218)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
samurai versión 1.2, presenta una desreferencia del puntero NULL en la función writefile() en el archivo util.c por medio de un archivo de compilación diseñado
Vulnerabilidad en Aruba AirWave Management Platform (CVE-2021-29137)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
Se detectó una vulnerabilidad de redireccionamiento abierto de una URL remota en Aruba AirWave Management Platform versiones anteriores a 8.2.12.1. Aruba ha publicado parches para AirWave Management Platform que abordan esta vulnerabilidad de seguridad
Vulnerabilidad en Aruba AirWave Management Platform (CVE-2021-25167)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
Se detectó una vulnerabilidad de acceso remoto no autorizado en Aruba AirWave Management Platform versiones anteriores a 8.2.12.1. Aruba ha publicado parches para AirWave Management Platform que abordan esta vulnerabilidad de seguridad
Vulnerabilidad en Aruba AirWave Management Platform (CVE-2021-25166)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
03/05/2021
Descripción:
Se detectó una vulnerabilidad de acceso remoto no autorizado en Aruba AirWave Management Platform versiones anteriores a 8.2.12.1. Aruba ha publicado parches para AirWave Management Platform que abordan esta vulnerabilidad de seguridad
Vulnerabilidad en la interfaz de usuario web en IBM Content Navigator (CVE-2021-20550)
Gravedad:
BajaBaja
Publication date: 27/04/2021
Last modified:
03/05/2021
Descripción:
IBM Content Navigator versión 3.0.CD, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista que puede conllevar a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 199168
Vulnerabilidad en la interfaz de usuario web en IBM Content Navigator (CVE-2021-20549)
Gravedad:
BajaBaja
Publication date: 27/04/2021
Last modified:
03/05/2021
Descripción:
IBM Content Navigator versión 3.0.CD, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista que puede conllevar a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 199167
Vulnerabilidad en la interfaz de usuario web en IBM Content Navigator (CVE-2021-20448)
Gravedad:
BajaBaja
Publication date: 27/04/2021
Last modified:
03/05/2021
Descripción:
IBM Content Navigator versión 3.0.CD, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista que puede conllevar a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 196624
Vulnerabilidad en vectores no especificados en DAP-1880AC (CVE-2021-20697)
Gravedad:
AltaAlta
Publication date: 25/04/2021
Last modified:
03/05/2021
Descripción:
Una falta de autenticación para funciones críticas en el firmware DAP-1880AC versión 1.21 y anteriores, permite a un atacante remoto iniciar sesión en el dispositivo como un usuario autenticado sin el privilegio de acceso por medio de vectores no especificados
Vulnerabilidad en el envio de una petición a un programa CGI en DAP-1880AC (CVE-2021-20696)
Gravedad:
AltaAlta
Publication date: 25/04/2021
Last modified:
03/05/2021
Descripción:
Un DAP-1880AC versiones de firmware 1.21 y anteriores, permite a un atacante autenticado remoto ejecutar comandos arbitrarios del Sistema Operativo mediante el envio de una petición especialmente diseñada a un programa CGI específico
Vulnerabilidad en vectores no especificados en DAP-1880AC (CVE-2021-20694)
Gravedad:
MediaMedia
Publication date: 25/04/2021
Last modified:
03/05/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en DAP-1880AC versiones de firmware 1.21 y anteriores, permite a un atacante autenticado remoto omitir una restricción de acceso e iniciar un servicio Telnet por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en DAP-1880AC (CVE-2021-20695)
Gravedad:
AltaAlta
Publication date: 25/04/2021
Last modified:
03/05/2021
Descripción:
Un seguimiento inapropiado de la vulnerabilidad de la cadena confiable de un certificado en DAP-1880AC versiones de firmware 1.21 y anteriores, permite a un atacante autenticado remoto alcanzar privilegios root por medio de vectores no especificados
Vulnerabilidad en los datos del usuario en el formato de archivo DjVu en ExifTool (CVE-2021-22204)
Gravedad:
MediaMedia
Publication date: 23/04/2021
Last modified:
16/05/2021
Descripción:
Una neutralización inapropiada de los datos del usuario en el formato de archivo DjVu en ExifTool versiones 7.44 y posteriores, permite una ejecución de código arbitrario cuando se analiza la imagen maliciosa
Vulnerabilidad en Node-redis (CVE-2021-29469)
Gravedad:
MediaMedia
Publication date: 23/04/2021
Last modified:
11/06/2021
Descripción:
Node-redis es un cliente de Node.js Redis. versiones anteriores a 3.1.1, cuando un cliente está en modo de monitoreo, la expresión regular que comienza a usarse para detectar mensajes de monitoreo podría causar un retroceso exponencial en algunas cadenas. Este problema podría conllevar a una denegación de servicio. El problema está parcheado en versión 3.1.1
Vulnerabilidad en el comando de depuración en Secure Folder (CVE-2021-25382)
Gravedad:
BajaBaja
Publication date: 23/04/2021
Last modified:
03/05/2021
Descripción:
Una autorización inapropiada para usar el comando de depuración en Secure Folder versiones anteriores a SMR Oct-2020 Release 1, permite el acceso no autorizado a los contenidos en Secure Folder por medio del comando de depuración
Vulnerabilidad en NVIDIA Windows GPU Display Driver para Windows (CVE-2021-1078)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
03/05/2021
Descripción:
NVIDIA Windows GPU Display Driver para Windows, todas las versiones, contiene Una vulnerabilidad en el controlador del kernel (nvlddmkm.sys) donde una desreferencia del puntero NULL puede conllevar a un bloqueo del sistema
Vulnerabilidad en NVIDIA GPU Display Driver para Windows y Linux (CVE-2021-1077)
Gravedad:
BajaBaja
Publication date: 21/04/2021
Last modified:
03/05/2021
Descripción:
NVIDIA GPU Display Driver para Windows y Linux, la rama del controlador R450 y R460, contiene Una vulnerabilidad en la que el software usa un recuento de referencia para administrar un recurso que se actualiza inapropiadamente, lo que puede llevar a la denegación de servicio
Vulnerabilidad en NVIDIA GPU Display Driver para Windows y Linux (CVE-2021-1076)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
03/05/2021
Descripción:
NVIDIA GPU Display Driver para Windows y Linux, todas las versiones, contiene Una vulnerabilidad en la capa del modo kernel (nvlddmkm.sys o nvidia.ko) donde un control de acceso inapropiado puede conllevar a una denegación de servicio, divulgación de información o corrupción de datos

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una extensión de Chrome en extensions de Google Chrome (CVE-2021-21202)
Gravedad:
MediaMedia
Publication date: 26/04/2021
Last modified:
01/06/2021
Descripción:
Un uso de la memoria previamente liberada en extensions de Google Chrome versiones anteriores a 90.0.4430.72, permitía a un atacante convencer a un usuario de instalar una extensión maliciosa para llevar a cabo potencialmente un escape del sandbox por medio de una extensión de Chrome diseñada
Vulnerabilidad en una extensión de Chrome en permissions de Google Chrome (CVE-2021-21201)
Gravedad:
MediaMedia
Publication date: 26/04/2021
Last modified:
02/06/2021
Descripción:
Un uso de la memoria previamente liberada en permissions en Google Chrome versiones anteriores a 90.0.4430.72, permitía a un atacante remoto que había comprometido el proceso del renderizador llevar a cabo potencialmente un escape del sandbox por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Blink en Google Chrome OS X (CVE-2021-21204)
Gravedad:
MediaMedia
Publication date: 26/04/2021
Last modified:
01/06/2021
Descripción:
Un uso de la memoria previamente liberada en Blink en Google Chrome en OS X versiones anteriores a 90.0.4430.72, permitía a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Blink en Google Chrome (CVE-2021-21203)
Gravedad:
MediaMedia
Publication date: 26/04/2021
Last modified:
01/06/2021
Descripción:
Un uso de la memoria previamente liberada en Blink en Google Chrome versiones anteriores a 90.0.4430.72, permitía a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en NVIDIA Windows GPU Display Driver para Windows (CVE-2021-1075)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
30/06/2021
Descripción:
El controlador de pantalla de la GPU de NVIDIA para Windows, en todas sus versiones, contiene una vulnerabilidad en el manejador de la capa de modo del kernel (nvlddmkm.sys) para DxgkDdiEscape en la que el programa hace referencia a un puntero que contiene una ubicación para la memoria que ya no es válida, lo que puede conducir a la ejecución de código, la denegación de servicio o la escalada de privilegios. El atacante no tiene ningún control sobre la información y puede realizar una modificación limitada de los datos
Vulnerabilidad en NVIDIA Windows GPU Display Driver para Windows (CVE-2021-1074)
Gravedad:
MediaMedia
Publication date: 21/04/2021
Last modified:
01/06/2021
Descripción:
El instalador de NVIDIA GPU Display Driver for Windows contiene una vulnerabilidad por la que un atacante con acceso local no privilegiado al sistema puede ser capaz de reemplazar un recurso de la aplicación con archivos maliciosos. Este ataque requiere que un usuario con derechos de administración del sistema ejecute el instalador y que el atacante reemplace los archivos en un intervalo de tiempo muy corto entre la validación de la integridad del archivo y la ejecución. Este ataque puede llevar a la ejecución de código, escalada de privilegios, denegación de servicio y divulgación de información
Vulnerabilidad en el uso de la API de MediaWiki (CVE-2021-30152)
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
17/07/2021
Descripción:
Se detectó un problema en MediaWiki versiones anteriores a 1.31.13 y versiones 1.32.x hasta 1.35.x versiones anteriores a 1.35.2. Cuando es usada la API de MediaWiki para "proteger" una página, un usuario actualmente puede proteger a un nivel más alto del que actualmente posee permisos
Vulnerabilidad en la función ContentModelChange en MediaWiki (CVE-2021-30155)
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
17/07/2021
Descripción:
Se detectó un problema en MediaWiki versiones anteriores a 1.31.12 y versiones 1.32.x hasta 1.35.x versiones anteriores a 1.35.2. La función ContentModelChange no comprueba si un usuario presenta permisos correctos para crear y ajustar el modelo de contenido de una página inexistente
Vulnerabilidad en Special:Contributions en MediaWiki (CVE-2021-30156)
Gravedad:
MediaMedia
Publication date: 09/04/2021
Last modified:
03/05/2021
Descripción:
Se detectó un problema en MediaWiki versiones anteriores a 1.31.12 y 1.32.xa 1.35.x versiones anteriores a 1.35.2. Special:Contributions pueden filtrar que un usuario "hidden" exista
Vulnerabilidad en el uso de Special:ResetTokens en MediaWiki (CVE-2021-30158)
Gravedad:
MediaMedia
Publication date: 06/04/2021
Last modified:
17/07/2021
Descripción:
Se detectó un problema en MediaWiki versiones anteriores a 1.31.12 y versiones 1.32.x hasta 1.35.x anteriores a 1.35.2. Los usuarios bloqueados no pueden usar Special:ResetTokens. Esto presenta relevancia para la seguridad porque un usuario bloqueado podría haber compartido accidentalmente un token, o podría saber que un token ha sido comprometido y, sin embargo, no puede bloquear ningún uso futuro potencial del token por una parte no autorizada
Vulnerabilidad en algunos de los mensajes de etiqueta rcfilters-filter-* en las páginas especiales de ChangesLis en MediaWiki (CVE-2021-30157)
Gravedad:
MediaMedia
Publication date: 06/04/2021
Last modified:
17/07/2021
Descripción:
Se detectó un problema en MediaWiki versiones anteriores a 1.31.12 y versiones 1.32.x hasta 1.35.x versiones anteriores a 1.35.2. En las páginas especiales de ChangesList, como Special:RecentChanges y Special:Watchlist, algunos de los mensajes de etiqueta rcfilters-filter-* son generados en HTML sin escape, conllevando a una vulnerabilidad de tipo XSS
Vulnerabilidad en Special: NewFiles en MediaWiki (CVE-2021-30154)
Gravedad:
MediaMedia
Publication date: 06/04/2021
Last modified:
17/07/2021
Descripción:
Se detectó un problema en MediaWiki versiones anteriores a 1.31.12 y versiones 1.32.x hasta 1.35.x anteriores a 1.35.2. En Special: NewFiles, todos los mensajes mediastatistics-header-* son generados en HTML sin escape, conllevando a una vulnerabilidad de tipo XSS
Vulnerabilidad en un acceso local en el firmware Intel® Ethernet 700 Series Controllers (CVE-2019-0150)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Un control de acceso insuficiente en el firmware Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 7.0 puede habilitar a un usuario privilegiado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Vulnerabilidad en un acceso local en el firmware para Intel® Ethernet 700 Series Controllers. (CVE-2019-0139)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
21/07/2021
Descripción:
Un control de acceso insuficiente en el firmware para Intel® Ethernet 700 Series Controllers versiones anteriores a 7.0, puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios, denegación de servicio o divulgación de información por medio de un acceso local.
Vulnerabilidad en un acceso adyacente en el firmware para Intel® Ethernet 700 Series Controllers (CVE-2019-0140)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Un desbordamiento del búfer en el firmware para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 7.0, puede habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso adyacente.
Vulnerabilidad en un acceso local en el controlador ilp60x64.sys (CVE-2019-0142)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
21/07/2021
Descripción:
Un control de acceso insuficiente en el controlador ilp60x64.sys para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 1.33.0.0, puede habilitar a un usuario privilegiado para permitir una escalada de privilegios por medio de un acceso local.
Vulnerabilidad en un acceso local en los controladores en modo Kernel para Intel® Ethernet 700 Series Controllers. (CVE-2019-0143)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Una excepción no manejada en los controladores en modo Kernel para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 7.0 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Vulnerabilidad en un acceso local en el firmware para Intel® Ethernet 700 Series Controllers (CVE-2019-0144)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Una excepción no manejada en el firmware para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 7.0 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Vulnerabilidad en un acceso local en el controlador i40e para Intel® Ethernet 700 Series Controllers. (CVE-2019-0145)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Un desbordamiento del búfer en el controlador i40e para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 7.0 puede habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local.
Vulnerabilidad en un acceso local en el controlador i40e para Intel® Ethernet 700 Series Controllers. (CVE-2019-0146)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Una pérdida de recursos en el controlador i40e para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 2.8.43 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Vulnerabilidad en un acceso local en el controlador i40e para Intel® Ethernet 700 Series Controllers. (CVE-2019-0147)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Una comprobación de entrada insuficiente en el controlador i40e para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 7.0 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Vulnerabilidad en un acceso local en el controlador i40e para Intel® Ethernet 700 Series Controllers. (CVE-2019-0148)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Un perdida de recursos en el controlador i40e para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 7.0 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Vulnerabilidad en un acceso local en el controlador i40e para Intel® Ethernet 700 Series Controllers. (CVE-2019-0149)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
03/05/2021
Descripción:
Una comprobación de entrada insuficiente en el controlador i40e para Intel® Ethernet 700 Series Controllers versiones anteriores a la versión 2.8.43 puede habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso local.
Vulnerabilidad en los dispositivos Brickstream (CVE-2018-12920)
Gravedad:
MediaMedia
Publication date: 28/06/2018
Last modified:
03/05/2021
Descripción:
Los dispositivos Brickstream 2300 permiten que los atacantes remotos obtengan información potencialmente sensible mediante una petición directa a los URI basic.html#ipsettings o basic.html#datadelivery.
Vulnerabilidad en Apache OFBiz (CVE-2016-2170)
Gravedad:
AltaAlta
Publication date: 12/04/2016
Last modified:
30/07/2021
Descripción:
Apache OFBiz 12.04.x en versiones anteriores a 12.04.06 y 13.07.x en versiones anteriores a 13.07.03 permiten a atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado manipulado, relacionado con la librería Apache Commons Collections.