Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un error de tiempo de ejecución de FPE en "tf.raw_ops.FusedBatchNorm" en TensorFlow (CVE-2021-29555)
Gravedad:
BajaBaja
Publication date: 14/05/2021
Last modified:
18/05/2021
Descripción:
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. Un atacante puede causar una denegación de servicio por medio de un error de tiempo de ejecución de FPE en "tf.raw_ops.FusedBatchNorm". Esto es debido a que la implementación (https://github.com/tensorflow/tensorflow/blob/828f346274841fa7505f7020e88ca36c22e557ab/tensorflow/core/kernels/fused_batch_norm_op.cc#L295-L297) realiza una división basada en una última dimensión del tensor "x" . Dado que esto está controlado por el usuario, un atacante puede desencadenar una denegación de servicio. La corrección será incluída en TensorFlow versión 2.5.0. También seleccionaremos este commit en TensorFlow versión 2.4.2, TensorFlow versión 2.3.3, TensorFlow versión 2.2.3 y TensorFlow versión 2.1.4, ya que estos también están afectados y aún están en el rango admitido
Vulnerabilidad en un error de tiempo de ejecución de FPE en "tf.raw_ops.SparseMatMul"en TensorFlow (CVE-2021-29557)
Gravedad:
BajaBaja
Publication date: 14/05/2021
Last modified:
18/05/2021
Descripción:
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. Un atacante puede causar una denegación de servicio por medio de un error de tiempo de ejecución de FPE en "tf.raw_ops.SparseMatMul". La división por 0 ocurre en el código Eigen porque el tensor "b" está vacío. La corrección será incluída en TensorFlow versión 2.5.0. También seleccionaremos este commit en TensorFlow versión 2.4.2, TensorFlow versión 2.3.3, TensorFlow versión 2.2.3 y TensorFlow versión 2.1.4, ya que estos también están afectados y aún están en el rango admitido
Vulnerabilidad en la implementación de "tf.raw_ops.MaxPoolGradWithArgmax" (CVE-2021-29570)
Gravedad:
BajaBaja
Publication date: 14/05/2021
Last modified:
18/05/2021
Descripción:
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. La implementación de "tf.raw_ops.MaxPoolGradWithArgmax" puede causar una lectura fuera de límites de los datos asignados a la pila si el atacante suministra entradas especialmente diseñadas. La implementación (https://github.com/tensorflow/tensorflow/blob/ef0c008ee84bad91ec6725ddc42091e19a30cf0e/tensorflow/core/kernels/maxpooling_op.cc#L1016-L1017) usa el mismo valor para indexar en dos matrices diferentes, pero no hay garantía de que los tamaños son idénticos. La corrección será incluida en TensorFlow versión 2.5.0. También seleccionaremos este commit en TensorFlow versión 2.4.2, TensorFlow versión 2.3.3, TensorFlow versión 2.2.3 y TensorFlow versión 2.1.4, ya que estos también están afectados y aún están en el rango admitido
Vulnerabilidad en la implementación de "tf.raw_ops.ReverseSequence" en TensorFlow (CVE-2021-29575)
Gravedad:
BajaBaja
Publication date: 14/05/2021
Last modified:
18/05/2021
Descripción:
TensorFlow es una plataforma de código abierto de extremo a extremo para el aprendizaje automático. La implementación de "tf.raw_ops.ReverseSequence" permite el desbordamiento de pila y/o la denegación de servicio basada en fallos de` CHECK`. La implementación (https://github.com/tensorflow/tensorflow/blob/5b3b071975e01f0d250c928b2a8f901cd53b90a7/tensorflow/core/kernels/reverse_sequence_op.cc#L114-L118) no comprueba que "seq_dim" y "batch_dim" son válidos. Los valores negativos de "sq_dim" pueden causar un desbordamiento de la pila o un fallo de "CHECK", según la versión del código Eigen usada para implementar la operación. Los valores no comprobados de "batch_dim" pueden mostrar un comportamiento similar. La corrección será incluida en TensorFlow versión 2.5.0. También seleccionaremos este commit en TensorFlow versión 2.4.2, TensorFlow versión 2.3.3, TensorFlow versión 2.2.3 y TensorFlow versión 2.1.4
Vulnerabilidad en la página "admin/info.php?Shuyu" en el campo "Website SEO Keywords" en LAOBANCMS (CVE-2020-18165)
Gravedad:
BajaBaja
Publication date: 12/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en LAOBANCMS versión v2.0, permite a atacantes remotos ejecutar código arbitrario al inyectar comandos en el campo "Website SEO Keywords" en la página "admin/info.php?Shuyu"
Vulnerabilidad en el tablero de mensajes en guestbook en Dhcms (CVE-2020-19274)
Gravedad:
MediaMedia
Publication date: 12/05/2021
Last modified:
18/05/2021
Descripción:
Se presenta una vulnerabilidad del tipo Cross Site Scripting (XSS) en Dhcms versiones del 18-09-2017, en guestbook por medio del tablero de mensajes, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en el controlador Microsoft Bluetooth (CVE-2021-31182)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad del controlador Microsoft Bluetooth
Vulnerabilidad en Windows SMB Client de Microsoft (CVE-2021-31205)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Omisión de la Característica de Seguridad de Windows SMB Client
Vulnerabilidad en Common Utilities de Microsoft (CVE-2021-31200)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Common Utilities
Vulnerabilidad en Microsoft Exchange Server (CVE-2021-31198)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
22/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Exchange Server. Este ID de CVE es diferente de CVE-2021-31195
Vulnerabilidad en Windows Media Foundation Core de Microsoft (CVE-2021-31192)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Windows Media Foundation Core
Vulnerabilidad en Microsoft Office Graphics (CVE-2021-31180)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Office Graphics
Vulnerabilidad en Microsoft Office (CVE-2021-31175)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Office. Este ID de CVE es diferente de CVE-2021-31176, CVE-2021-31177, CVE-2021-31179
Vulnerabilidad en Microsoft SharePoint Server (CVE-2021-31173)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Microsoft SharePoint Server
Vulnerabilidad en Microsoft SharePoint (CVE-2021-31172)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Microsoft SharePoint. Este ID de CVE es diferente de CVE-2021-26418, CVE-2021-28478
Vulnerabilidad en Microsoft Excel (CVE-2021-31174)
Gravedad:
BajaBaja
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Microsoft Excel
Vulnerabilidad en Microsoft SharePoint (CVE-2021-28478)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Microsoft SharePoint. Este ID de CVE es diferente de CVE-2021-26418, CVE-2021-31172
Vulnerabilidad en Web Media Extensions (CVE-2021-28465)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Web Media Extensions
Vulnerabilidad en Microsoft Jet Red Database Engine y Access Connectivity Engine (CVE-2021-28455)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Jet Red Database Engine y Access Connectivity Engine
Vulnerabilidad en Skype Empresarial y Lync (CVE-2021-26421)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Skype Business y Lync
Vulnerabilidad en Microsoft SharePoint (CVE-2021-26418)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Microsoft SharePoint. Este ID de CVE es diferente de CVE-2021-28478, CVE-2021-31172
Vulnerabilidad en JetBrains Code With Me (CVE-2021-31900)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
En JetBrains Code With Me incluido en los IDE compatibles versiones anteriores a 2021.1, un cliente podía abrir un navegador en un host
Vulnerabilidad en los IDE en JetBrains Code With Me (CVE-2021-31899)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
18/05/2021
Descripción:
En JetBrains Code With Me incluido en los IDE compatibles versiones anteriores a 2021.1, el cliente podía ejecutar código en modo de solo lectura
Vulnerabilidad en el componente "/controller/publishHotel.php" en los campos de datos en Hotels_Server (CVE-2020-18102)
Gravedad:
MediaMedia
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Hotels_Server versión v1.0, permite a atacantes remotos ejecutar código arbitrario al inyectar comandos diseñados en los campos de datos en el componente "/controller/publishHotel.php"
Vulnerabilidad en un archivo STL en la funcionalidad import_stl.cc:import_stl() de Openscad openscad-2020.12-RC2 (CVE-2020-28600)
Gravedad:
MediaMedia
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites en la funcionalidad import_stl.cc:import_stl() de Openscad openscad-2020.12-RC2. Un archivo STL especialmente diseñado puede conllevar a una ejecución de código. Un atacante puede proporcionar un archivo malicioso para activar esta vulnerabilidad
Vulnerabilidad en admin.php?c=admin&f=save en PHPOK (CVE-2020-19199)
Gravedad:
MediaMedia
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en PHPOK versión 5.2.060, por medio de admin.php?c=admin&f=save, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario
Vulnerabilidad en el motor JavaScript en un documento PDF del Software de Foxit PDF Reader (CVE-2021-21822)
Gravedad:
MediaMedia
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Se presenta una vulnerabilidad de uso de la memoria previamente liberada en el motor JavaScript de Software de Foxit PDF Reader, versión 10.1.3.37598. Un documento PDF especialmente diseñado puede desencadenar la reutilización de la memoria previamente liberada, lo que puede conllevar a una ejecución de código arbitrario. Un atacante necesita engañar a un usuario para abrir un archivo o sitio malicioso para activar esta vulnerabilidad si la extensión del plugin del navegador está habilitada
Vulnerabilidad en CNCSoft ScreenEditor de Delta Electronics (CVE-2021-22672)
Gravedad:
MediaMedia
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
CNCSoft ScreenEditor de Delta Electronics en versiones anteriores a v1.01.30, podría permitir la corrupción de datos, una condición de denegación de servicio o la ejecución de código. La vulnerabilidad puede permitir a un atacante ejecutar remotamente código arbitrario
Vulnerabilidad en un paquete lldp en el archivo userdisk/vport_lldpd en Moxa Camera VPort 06EC-2V Series (CVE-2021-25845)
Gravedad:
MediaMedia
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Una comprobación inapropiada de ChassisID TLV en el archivo userdisk/vport_lldpd en Moxa Camera VPort 06EC-2V Series, versión 1.1, permite a atacantes causar una denegación de servicio debido a una desreferencia de puntero NULL por medio de un paquete lldp diseñado
Vulnerabilidad en un paquete lldp en el archivo userdisk/vport_lldpd en Moxa Camera VPort 06EC-2V Series (CVE-2021-25846)
Gravedad:
AltaAlta
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Una comprobación inapropiada de ChassisID TLV en el archivo userdisk/vport_lldpd en Moxa Camera VPort 06EC-2V Series, versión 1.1, permite a atacantes causar una denegación de servicio debido a un número negativo pasado a la función memcpy por medio de un paquete lldp diseñado
Vulnerabilidad en un paquete lldp en el archivo userdisk/vport_lldpd en el campo de longitud de LLDP-MED TLV en Moxa Camera VPort 06EC-2V Series (CVE-2021-25847)
Gravedad:
AltaAlta
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Una comprobación inapropiada del campo de longitud de LLDP-MED TLV en el archivo userdisk/vport_lldpd en Moxa Camera VPort 06EC-2V Series, versión 1.1, permite una divulgación de información a los atacantes debido a la variable de contador de bucle controlable por medio de un paquete lldp diseñado
Vulnerabilidad en un paquete lldp en el archivo userdisk/vport_lldpd en el campo de longitud de LLDP-MED TLV en Moxa Camera VPort 06EC-2V Series (CVE-2021-25848)
Gravedad:
AltaAlta
Publication date: 10/05/2021
Last modified:
18/05/2021
Descripción:
Una comprobación inapropiada del campo de longitud de LLDP-MED TLV en el archivo userdisk/vport_lldpd en Moxa Camera VPort 06EC-2V Series, versión 1.1, permite una divulgación de información a los atacantes debido al uso de la variable de contador de bucle fijo sin comprobar la longitud real disponible por medio de un paquete lldp diseñado
Vulnerabilidad en Atlassian Connect Spring Boot (ACSB) (CVE-2021-26077)
Gravedad:
MediaMedia
Publication date: 09/05/2021
Last modified:
18/05/2021
Descripción:
Autenticación rota en Atlassian Connect Spring Boot (ACSB) en la versión 1.1.0 antes de la versión 2.1.3 y a partir de la versión 2.1.4 antes de la versión 2.1.5: Atlassian Connect Spring Boot es un paquete Java Spring Boot para crear aplicaciones de Atlassian Connect. La autenticación entre los productos de Atlassian y la aplicación Atlassian Connect Spring Boot se produce con un JWT de servidor a servidor o un JWT de contexto. Las versiones de Atlassian Connect Spring Boot 1.1.0 antes de la versión 2.1.3 y las versiones 2.1.4 antes de la versión 2.1.5 aceptan erróneamente JWTs de contexto en los puntos finales del ciclo de vida (como la instalación) cuando sólo deberían aceptarse JWTs de servidor a servidor, lo que permite a un atacante enviar eventos de reinstalación autenticados a una aplicación
Vulnerabilidad en el parámetro Url en el sistema de comunicación omnidireccional (CVE-2021-30173)
Gravedad:
MediaMedia
Publication date: 07/05/2021
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad de Inclusión de Archivos Locales del sistema de comunicación omnidireccional permite a un atacante autenticado remoto inyectar una ruta absoluta en el parámetro Url y acceder a un archivo arbitrario
Vulnerabilidad en peticiones HTTP en Open Distro para Elasticsearch (ODFE) (CVE-2021-31828)
Gravedad:
MediaMedia
Publication date: 06/05/2021
Last modified:
18/05/2021
Descripción:
Un problema de SSRF en Open Distro para Elasticsearch (ODFE) versiones anteriores a 1.13.1.0, permite a un usuario privilegiado existente enumerar los servicios de escucha o interactuar con los recursos configurados por medio de peticiones HTTP que exceden el alcance previsto del plugin Alerting
Vulnerabilidad en el URI /snapshot en los dispositivos NightOwl WDB-20-V2 (CVE-2021-31793)
Gravedad:
MediaMedia
Publication date: 06/05/2021
Last modified:
18/05/2021
Descripción:
Se presenta un problema en los dispositivos NightOwl WDB-20-V2 WDB-20-V2_20190314, que permite a un usuario no autenticado conseguir acceso a snapshots y video streams desde el doorbell. La aplicación binaria ofrece un servidor web en el puerto 80 que permite a un usuario no autenticado tomar una instantánea de la camera doorbell por medio del URI /snapshot
Vulnerabilidad en la funcionalidad frontend build de com.vaadin:flow-server (CVE-2021-31411)
Gravedad:
MediaMedia
Publication date: 05/05/2021
Last modified:
18/05/2021
Descripción:
Un uso de directorio temporal no seguro en la funcionalidad frontend build de com.vaadin:flow-server versiones 2.0.9 hasta 2.5.2 (Vaadin versiones 14.0.3 hasta Vaadin 14.5.2), versiones 3.0 anteriores 6.0 (Vaadin versiones 15 anteriores a 19) y versiones 6.0 .0 hasta 6.0.5 (Vaadin versiones 19.0.0 hasta 19.0.4), permite a usuarios locales inyectar código malicioso en los recursos frontend durante la reconstrucción de la aplicación
Vulnerabilidad en la ACL en el parámetro de configuración "set-max-intset-entries" en Redis (CVE-2021-29478)
Gravedad:
MediaMedia
Publication date: 04/05/2021
Last modified:
09/07/2021
Descripción:
Redis es una estructura de datos en memoria de código abierto (con licencia BSD) almacenado, utilizado como base de datos, caché y agente de mensajes. Un bug de desbordamiento de enteros en Redis versiones 6.2 anteriores a 6.2.3, podría ser explotada para corromper la pila y potencialmente resultar en una ejecución de código remota. Redis versiones 6.0 y anteriores no están directamente afectadas por este problema. El problema es corregido en la versión 6.2.3. Una solución alternativa para mitigar el problema sin parchear el ejecutable "redis-server" es impedir que los usuarios modifiquen el parámetro de configuración "set-max-intset-entries". Esto puede realizarse usando la ACL para restringir que los usuarios no privilegiados usen el comando "CONFIG SET"
Vulnerabilidad en la Interfaz Web en los dispositivos Libre Wireless LS9 (CVE-2020-35758)
Gravedad:
AltaAlta
Publication date: 03/05/2021
Last modified:
18/05/2021
Descripción:
Se detectó un problema en los dispositivos Libre Wireless LS9 versión LS1.5/p7040. Se presenta una Omisión de Autenticación en la Interfaz Web. Esta interfaz no restringe apropiadamente el acceso a la funcionalidad interna. A pesar de presentar una página de inicio de sesión con contraseña en el primer acceso, una autenticación no es requerida para acceder a la funcionalidad privilegiada. Como tal, es posible acceder directamente a las API que no deberían estar expuestas a un usuario no autenticado.
Vulnerabilidad en el archivo lib/header.c en la función hdrblobInit() en rpmdb en RPM (CVE-2021-20266)
Gravedad:
MediaMedia
Publication date: 30/04/2021
Last modified:
20/07/2021
Descripción:
Se detectó un fallo en RPM en la función hdrblobInit() en el archivo lib/header.c. Este fallo permite a un atacante que puede modificar el rpmdb causar una lectura fuera de límites. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en .NET y Visual Studio de Microsoft (CVE-2021-31204)
Gravedad:
MediaMedia
Publication date: 11/05/2021
Last modified:
07/07/2021
Descripción:
Una vulnerabilidad de Escalada de Privilegios de .NET y Visual Studio
Vulnerabilidad en el archivo drivers/md/dm-ioctl.c en la función list_devices en el módulo de controlador Multi-device en el kernel de Linux (CVE-2021-31916)
Gravedad:
MediaMedia
Publication date: 06/05/2021
Last modified:
22/06/2021
Descripción:
Se encontró un fallo de escritura de la memoria fuera de límites (OOB) en la función list_devices en el archivo drivers/md/dm-ioctl.c en el módulo de controlador Multi-device en el kernel de Linux versiones anteriores a 5.12. Un fallo de comprobación limitada permite a un atacante con privilegios de usuario especial (CAP_SYS_ADMIN) conseguir acceso a la memoria fuera de límites, conllevando a un bloqueo del sistema o una filtración de información interna del kernel. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Vulnerabilidad en PHPMailer (CVE-2020-36326)
Gravedad:
AltaAlta
Publication date: 28/04/2021
Last modified:
14/06/2021
Descripción:
PHPMailer versión 6.1.8 hasta la versión 6.4.0 permite la inyección de objetos a través de Phar Deserialization vía addAttachment con un nombre de ruta UNC. NOTA: esto es similar a CVE-2018-19296, pero surgió porque la versión 6.1.8 corrigió un problema de funcionalidad en el que los nombres de ruta UNC siempre se consideraban ilegibles por PHPMailer, incluso en contextos seguros. Como efecto secundario no intencionado, esta corrección eliminó el código que bloqueaba la explotación de addAttachment
Vulnerabilidad en .NET Core y Visual Studio de Microsoft (CVE-2021-1721)
Gravedad:
MediaMedia
Publication date: 25/02/2021
Last modified:
16/08/2021
Descripción:
Una Vulnerabilidad de Denegación de Servicio de .NET Core y Visual Studio
Vulnerabilidad en .NET Core de Microsoft (CVE-2021-24112)
Gravedad:
AltaAlta
Publication date: 25/02/2021
Last modified:
07/07/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de .NET Core. Este ID de CVE es diferente de CVE-2021-26701
Vulnerabilidad en .NET Core de Microsoft (CVE-2021-26701)
Gravedad:
AltaAlta
Publication date: 25/02/2021
Last modified:
16/08/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de .NET Core. Este ID de CVE es diferente de CVE-2021-24112
Vulnerabilidad en un contexto de objeto DOM en diversos productos Apple (CVE-2020-3864)
Gravedad:
AltaAlta
Publication date: 27/10/2020
Last modified:
18/05/2021
Descripción:
Se abordó un problema lógico con una comprobación mejorada. Este problema se corrigió en iCloud para Windows versión 7.17, iTunes versión 12.10.4 para Windows, iCloud para Windows versión 10.9.2, tvOS versión 13.3.1, Safari versión 13.0.5, iOS versión 13.3.1 y iPadOS versión 13.3.1. Es posible que un contexto de objeto DOM no haya tenido un origen de seguridad único
Vulnerabilidad en el procesamiento de contenido web en diversos productos Apple (CVE-2019-8846)
Gravedad:
AltaAlta
Publication date: 27/10/2020
Last modified:
18/05/2021
Descripción:
Se abordó un problema de uso de la memoria previamente liberada con una administración de la memoria mejorada. Este problema se corrigió en tvOS versión 13.3, iCloud para Windows versión 10.9, iOS versión 13.3 y iPadOS versión 13.3, Safari versión 13.0.4, iTunes versión 12.10.3 para Windows, iCloud para Windows versión 7.16. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en el procesamiento de contenido web en diversos productos Apple (CVE-2019-8844)
Gravedad:
AltaAlta
Publication date: 27/10/2020
Last modified:
18/05/2021
Descripción:
Se abordó múltiples problemas de corrupción de memoria con un manejo de la memoria mejorada. Este problema se corrigió en tvOS versión 13.3, watchOS versión 6.1.1, iCloud para Windows versión 10.9, iOS versión 13.3 y iPadOS versión 13.3, Safari versión 13.0.4, iTunes versión 12.10.3 para Windows, iCloud para Windows versión 7.16. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en el procesamiento de contenido web en diversos productos Apple (CVE-2019-8835)
Gravedad:
AltaAlta
Publication date: 27/10/2020
Last modified:
18/05/2021
Descripción:
Se abordó múltiples problemas de corrupción de memoria con un manejo de la memoria mejorada. Este problema se corrigió en tvOS versión 13.3, iCloud para Windows versión 10.9, iOS versión 13.3 y iPadOS versión 13.3, Safari versión 13.0.4, iTunes versión 12.10.3 para Windows, iCloud para Windows versión 7.16. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en las peticiones web en .NET Core o .NET Framework en Microsoft (CVE-2020-1108)
Gravedad:
MediaMedia
Publication date: 21/05/2020
Last modified:
18/05/2021
Descripción:
Se presenta una vulnerabilidad denegación de servicio cuando .NET Core o .NET Framework manejan inapropiadamente las peticiones web, también se conoce como ".NET Core & .NET Framework Denial of Service Vulnerability"
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8536)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, watchOS versión 5.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8544)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, watchOS versión 5.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8669)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8672)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8676)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8684)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8688)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8689)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8814)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8815)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8816)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, watchOS versión 6.1, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8506)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Se solucionó un problema de confusión de tipos mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, watchOS versión 5.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8535)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/05/2021
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la administración del estado. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el producto Oracle JDeveloper and ADF de Oracle Fusion Middleware (CVE-2019-2904)
Gravedad:
AltaAlta
Publication date: 16/10/2019
Last modified:
18/05/2021
Descripción:
Una vulnerabilidad en el producto Oracle JDeveloper and ADF de Oracle Fusion Middleware (componente: ADF Faces). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle JDeveloper and ADF. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle JDeveloper and ADF. CVSS 3.0 Puntuación Base 9.8 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en PHPMailer (CVE-2018-19296)
Gravedad:
MediaMedia
Publication date: 16/11/2018
Last modified:
21/05/2021
Descripción:
PHPMailer en versiones anteriores a la 5.2.27 y versiones 6.x anteriores a la 6.0.6 es vulnerable a un ataque de inyección de objetos.
Vulnerabilidad en Apache PDFBox (CVE-2018-11797)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
21/05/2021
Descripción:
En Apache PDFBox 1.8.0 a 1.8.15 y 2.0.0RC1 a 2.0.11, un archivo PDF cuidadosamente manipulado puede desencadenar un cálculo que se ejecuta demasiado tiempo al analizar el árbol de páginas.
Vulnerabilidad en strongSwan (CVE-2018-10811)
Gravedad:
MediaMedia
Publication date: 19/06/2018
Last modified:
18/05/2021
Descripción:
strongSwan, en versiones 5.6.0 y anteriores, permite una denegación de servicio (DoS) remota debido a la falta de inicialización de una variable.
Vulnerabilidad en el módulo mysql node (CVE-2015-9244)
Gravedad:
AltaAlta
Publication date: 29/05/2018
Last modified:
18/05/2021
Descripción:
Las claves de objetos en el módulo mysql node en versiones v2.0.0-alpha7 y anteriores no se escapan con "mysql.escape()", lo que podría conducir a una inyección SQL.
Vulnerabilidad en los certificados X.509 de los servidores SSL en la aplicación de Radio Javan para iOS (CVE-2017-8938)
Gravedad:
MediaMedia
Publication date: 15/05/2017
Last modified:
18/05/2021
Descripción:
La aplicación de Radio Javan versiones 9.3.4 hasta 9.6.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado diseñado.