Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-1427)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Múltiples vulnerabilidades en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows, podrían permitir a un atacante local autenticado secuestrar archivos DLL o ejecutables que son usados por la aplicación. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios SYSTEM. Para explotar estas vulnerabilidades, el atacante debe tener credenciales válidas en el sistema Windows. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en el parámetro isbn para el archivo edit_book.php en Online Book Store (CVE-2020-19107)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Una vulnerabilidad de inyección SQL en Online Book Store versión v1.0, por medio del parámetro isbn para el archivo edit_book.php, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en el parámetro pubid para el archivo bookPerPub.php en Online Book Store (CVE-2020-19108)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Una vulnerabilidad de inyección SQL en Online Book Store versión v1.0, por medio del parámetro pubid para el archivo bookPerPub.php, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en el parámetro bookisbn para el archivo admin_edit.php en Online Book Store (CVE-2020-19109)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Una vulnerabilidad de inyección SQL en Online Book Store versión v1.0, por medio del parámetro bookisbn para el archivo admin_edit.php, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-1430)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Múltiples vulnerabilidades en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows, podrían permitir a un atacante local autenticado secuestrar archivos DLL o ejecutables que son usadas por la aplicación. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios SYSTEM. Para explotar estas vulnerabilidades, el atacante debe tener credenciales válidas en el sistema Windows. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en la función edit_user en Chamilo LMS (CVE-2020-23127)
Gravedad:
MediaMedia
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Chamilo LMS versión 1.11.10, está afectado por una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) por medio de la función edit_user al apuntar a un usuario administrador
Vulnerabilidad en el parámetro bookisbn al parámetro book.php en Online Book Store (CVE-2020-19110)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Una vulnerabilidad de inyección SQL en Online Book Store versión v1.0, por medio del parámetro bookisbn al parámetro book.php, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-1429)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Múltiples vulnerabilidades en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows, podrían permitir a un atacante local autenticado secuestrar archivos DLL o ejecutables que son usadas por la aplicación. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios SYSTEM. Para explotar estas vulnerabilidades, el atacante debe tener credenciales válidas en el sistema Windows. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-1428)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Múltiples vulnerabilidades en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows, podrían permitir a un atacante local autenticado secuestrar archivos DLL o ejecutables que son usadas por la aplicación. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios SYSTEM. Para explotar estas vulnerabilidades, el atacante debe tener credenciales válidas en el sistema Windows. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-1426)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Múltiples vulnerabilidades en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows, podrían permitir a un atacante local autenticado secuestrar archivos DLL o ejecutables que son usados por la aplicación. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios SYSTEM. Para explotar estas vulnerabilidades, el atacante debe tener credenciales válidas en el sistema Windows. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en el parámetro publisher para el archivo edit_book.php en Online Book Store (CVE-2020-19114)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Una vulnerabilidad de inyección SQL en Online Book Store versión v1.0, por medio del parámetro publisher para el archivo edit_book.php, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en el parámetro bookisbn para el archivo admin_delete.php en Online Book Store (CVE-2020-19112)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Una vulnerabilidad de inyección SQL en Online Book Store versión v1.0, por medio del parámetro bookisbn para el archivo admin_delete.php, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en el envío un mensaje IPC en el canal de comunicación entre procesos (IPC) de Cisco AnyConnect Secure Mobility Client Software (CVE-2021-1519)
Gravedad:
BajaBaja
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Una vulnerabilidad en el canal de comunicación entre procesos (IPC) de Cisco AnyConnect Secure Mobility Client Software, podría permitir a un atacante local autenticado sobrescribir los perfiles de VPN en un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por un usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío un mensaje IPC diseñado al proceso AnyConnect. Una explotación con éxito podría permitir al atacante modificar los archivos de perfil de VPN. Para explotar esta vulnerabilidad, el atacante debe tener credenciales válidas en el sistema afectado
Vulnerabilidad en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-1496)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
07/05/2021
Descripción:
Múltiples vulnerabilidades en los procesos de instalación, desinstalación y actualización de Cisco AnyConnect Secure Mobility Client para Windows, podrían permitir a un atacante local autenticado secuestrar archivos DLL o ejecutables que utiliza la aplicación. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en un dispositivo afectado con privilegios SYSTEM. Para explotar estas vulnerabilidades, el atacante debe tener credenciales válidas en el sistema Windows. Para obtener más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el Plugin de WordPress "JetWidgets For Elementor" (CVE-2021-24268)
Gravedad:
BajaBaja
Publication date: 05/05/2021
Last modified:
07/05/2021
Descripción:
El Plugin "JetWidgets For Elementor" WordPress versiones anteriores a 1.0.9, presenta varios widgets que son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) almacenado por usuarios con menos privilegios, como los contribuyentes, todo por medio de un método similar
Vulnerabilidad en Apache Ozone Cluster (CVE-2020-17517)
Gravedad:
MediaMedia
Publication date: 27/04/2021
Last modified:
07/05/2021
Descripción:
Los depósitos y claves de S3 en un Apache Ozone Cluster seguro deben ser inaccesibles para el acceso anónimo por defecto. La vulnerabilidad de seguridad actual permite el acceso a claves y depósitos por medio de un comando curl o una petición HTTP no autenticada. Esto permite el acceso no autorizado a depósitos y claves, exponiendo así los datos a clientes o usuarios anónimos. Esto afectó a Apache Ozone anterior a la versión 1.1.0
Vulnerabilidad en csrf_token en BlackCat CMS (CVE-2020-25453)
Gravedad:
MediaMedia
Publication date: 15/09/2020
Last modified:
06/05/2021
Descripción:
Se detectó un problema en BlackCat CMS versiones anteriores a 1.4. Se presenta vulnerabilidad de tipo CSRF (omisión de csrf_token) que permite una ejecución de código arbitraria remota