Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el renderizado de la pestaña de propiedad en Plone (CVE-2021-33508)
Gravedad:
BajaBaja
Publication date: 21/05/2021
Last modified:
24/05/2021
Descripción:
Plone versiones hasta 5.2.4, permite un ataque de tipo XSS por medio de un nombre completo que es manejado inapropiadamente durante el renderizado de la pestaña de propiedad de un elemento de contenido
Vulnerabilidad en los argumentos de palabras clave en la transformación ReStructuredText en un script de Python en Plone (CVE-2021-33509)
Gravedad:
AltaAlta
Publication date: 21/05/2021
Last modified:
24/05/2021
Descripción:
Plone versiones hasta 5.2.4, permite a administradores autenticados remotos diseñar E/S de discos por medio de argumentos de palabras clave diseñados a la transformación ReStructuredText en un script de Python
Vulnerabilidad en una URL de evento en Plone (CVE-2021-33510)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
24/05/2021
Descripción:
Plone versiones hasta 5.2.4, permite a administradores autenticados remotos conducir ataques de tipo SSRF por medio de una URL de evento para leer una línea de un archivo
Vulnerabilidad en el analizador lxml en Plone (CVE-2021-33511)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
24/05/2021
Descripción:
Plone versiones hasta 5.2.4, permite un ataque de tipo SSRF por medio del analizador lxml. Esto afecta los temas Diazo, esquemas Dexterity TTW y modeladores en plone.app.theming, plone.app.dexterity y plone.supermodel
Vulnerabilidad en un documento SVG o HTML en Plone (CVE-2021-33512)
Gravedad:
BajaBaja
Publication date: 21/05/2021
Last modified:
24/05/2021
Descripción:
Plone versiones hasta 5.2.4, permite un ataque de tipo XSS almacenado (por un Colaborador) al cargar un documento SVG o HTML
Vulnerabilidad en los métodos inline_diff en Products.CMFDiffTool en Plone (CVE-2021-33513)
Gravedad:
BajaBaja
Publication date: 21/05/2021
Last modified:
24/05/2021
Descripción:
Plone versiones hasta 5.2.4, permite un ataque de tipo XSS por medio de los métodos inline_diff en Products.CMFDiffTool
Vulnerabilidad en la función ShiftBytes en libwebp (CVE-2018-25013)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
11/06/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró una lectura fuera de límites en la función ShiftBytes. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos y la disponibilidad del servicio
Vulnerabilidad en la función WebPMuxCreateInternal en libwebp (CVE-2018-25009)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
11/06/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró una lectura fuera de límites en la función WebPMuxCreateInternal. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos y la disponibilidad del servicio
Vulnerabilidad en la función ApplyFilter en libwebp (CVE-2018-25010)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
23/07/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró una lectura fuera de límites en la función ApplyFilter. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos y la disponibilidad del servicio
Vulnerabilidad en la función PutLE16() en libwebp (CVE-2018-25011)
Gravedad:
AltaAlta
Publication date: 21/05/2021
Last modified:
23/07/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró un desbordamiento del búfer en la región heap de la memoria en la función PutLE16(). La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en la función WebPMuxCreateInternal en libwebp (CVE-2018-25012)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
06/06/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró una lectura fuera de límites en la función WebPMuxCreateInternal. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos y la disponibilidad del servicio
Vulnerabilidad en la función ReadSymbol en libwebp (CVE-2018-25014)
Gravedad:
AltaAlta
Publication date: 21/05/2021
Last modified:
23/07/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se utiliza una variable unitaria en la función ReadSymbol. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en la función WebPDecodeRGBInto en libwebp (CVE-2020-36328)
Gravedad:
AltaAlta
Publication date: 21/05/2021
Last modified:
23/07/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Un desbordamiento del búfer en la región heap de la memoria en la función WebPDecodeRGBInto es posible debido a una verificación no válida del tamaño del búfer. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en un subproceso en libwebp (CVE-2020-36329)
Gravedad:
AltaAlta
Publication date: 21/05/2021
Last modified:
23/07/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró un uso de la memoria previamente liberada debido a que un subproceso se eliminó demasiado pronto. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en la función ChunkVerifyAndAssign en libwebp (CVE-2020-36330)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
23/07/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró una lectura fuera de límites en la función ChunkVerifyAndAssign. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos y la disponibilidad del servicio
Vulnerabilidad en la función ChunkAssignData en libwebp (CVE-2020-36331)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
23/07/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Se encontró una lectura fuera de límites en la función ChunkAssignData. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos y la disponibilidad del servicio
Vulnerabilidad en la lectura de un archivo en libwebp (CVE-2020-36332)
Gravedad:
MediaMedia
Publication date: 21/05/2021
Last modified:
11/06/2021
Descripción:
Se encontró un fallo en libwebp en versiones anteriores a 1.0.1. Al leer un archivo, libwebp asigna una cantidad excesiva de memoria. La mayor amenaza de esta vulnerabilidad es la disponibilidad del servicio

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los octectos de dirección IP en Python stdlib ipaddress (CVE-2021-29921)
Gravedad:
AltaAlta
Publication date: 06/05/2021
Last modified:
20/10/2021
Descripción:
En Python antes de la versiones 3,9,5, la biblioteca ipaddress maneja mal los caracteres cero iniciales en los octetos de una cadena de direcciones IP. Esto (en algunas situaciones) permite a los atacantes eludir el control de acceso que se basa en las direcciones IP
Vulnerabilidad en Virtual GPU Manager (plugin vGPU) en el controlador NVIDIA vGPU (CVE-2021-1085)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
28/05/2021
Descripción:
El controlador NVIDIA vGPU contiene una vulnerabilidad en Virtual GPU Manager (plugin vGPU), donde se presenta la posibilidad de escribir en una ubicación de memoria compartida y manipular los datos después de que los datos se presentan han sido validados, lo que puede conllevar a una denegación de servicio y la escalada de privilegios y la divulgación de información, pero el atacante no tiene control sobre la información que se obtiene. Esto afecta a vGPU versión 12.x (anteriores a 12.2), versión 11.x (anteriores a 11.4) y versión 8.x (anteriores a 8.7).
Vulnerabilidad en el controlador del modo kernel invitado y Virtual GPU Manager (plugin vGPU) en el controlador NVIDIA vGPU (CVE-2021-1084)
Gravedad:
MediaMedia
Publication date: 29/04/2021
Last modified:
28/05/2021
Descripción:
El controlador NVIDIA vGPU contiene una vulnerabilidad en el controlador del modo kernel invitado y Virtual GPU Manager (plugin vGPU), en el que la longitud de la entrada no es comprobada, lo que puede conllevar a una alteración de los datos o denegación de servicio. Esto afecta a vGPU versión 12.x (versiones anteriores a la 12.2) y versiones 11.x (versiones anteriores a la 11.4).
Vulnerabilidad en la negociación del algoritmo en el lado del cliente en OpenSSH (CVE-2020-14145)
Gravedad:
MediaMedia
Publication date: 29/06/2020
Last modified:
21/07/2021
Descripción:
El lado del cliente en OpenSSH versiones 5.7 hasta 8.4, presenta una Discrepancia Observable que conlleva a una filtración de información en la negociación del algoritmo. Esto permite a atacantes de tipo man-in-the-middle apuntar a unos intentos iniciales de conexión (donde ninguna clave de host para el servidor ha sido almacenada en caché por parte del cliente) NOTA: algunos informes afirman que las versiones 8.5 y 8.6 también están afectadas.