Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Server para NFS (CVE-2021-31976)
Gravedad:
AltaAlta
Publication date: 08/06/2021
Last modified:
11/06/2021
Descripción:
Una vulnerabilidad de Divulgación de Información en Server para NFS. Este ID de CVE es diferente de CVE-2021-31975
Vulnerabilidad en Kerberos AppContainer (CVE-2021-31962)
Gravedad:
AltaAlta
Publication date: 08/06/2021
Last modified:
17/06/2021
Descripción:
Una vulnerabilidad de Omisión de la Característica de Seguridad en Kerberos AppContainer
Vulnerabilidad en Windows Remote Desktop Services (CVE-2021-31968)
Gravedad:
MediaMedia
Publication date: 08/06/2021
Last modified:
11/06/2021
Descripción:
Una vulnerabilidad de Denegación de Servicio en Windows Remote Desktop Services
Vulnerabilidad en Windows TCP/IP Driver (CVE-2021-31970)
Gravedad:
BajaBaja
Publication date: 08/06/2021
Last modified:
13/09/2021
Descripción:
Una vulnerabilidad de Omisión de la Característica de Seguridad en Windows TCP/IP Driver
Vulnerabilidad en Windows HTML Platform Security (CVE-2021-31971)
Gravedad:
MediaMedia
Publication date: 08/06/2021
Last modified:
11/06/2021
Descripción:
Una vulnerabilidad de Omisión de la Característica de Seguridad en Windows HTML Platform Security
Vulnerabilidad en Event Tracing para Windows (CVE-2021-31972)
Gravedad:
BajaBaja
Publication date: 08/06/2021
Last modified:
11/06/2021
Descripción:
Una vulnerabilidad de Divulgación de Información en Event Tracing para Windows
Vulnerabilidad en Windows GPSVC (CVE-2021-31973)
Gravedad:
MediaMedia
Publication date: 08/06/2021
Last modified:
11/06/2021
Descripción:
Una vulnerabilidad de Escalada de Privilegios en Windows GPSVC
Vulnerabilidad en Server para NFS (CVE-2021-31974)
Gravedad:
MediaMedia
Publication date: 08/06/2021
Last modified:
11/06/2021
Descripción:
Una vulnerabilidad de Denegación de Servicio en Server para NFS
Vulnerabilidad en Server para NFS (CVE-2021-31975)
Gravedad:
AltaAlta
Publication date: 08/06/2021
Last modified:
11/06/2021
Descripción:
Una vulnerabilidad de Divulgación de Información en Server para NFS. Este ID de CVE es diferente de CVE-2021-31976
Vulnerabilidad en la función libradius(3) en FreeBSD (CVE-2021-29629)
Gravedad:
MediaMedia
Publication date: 28/05/2021
Last modified:
13/07/2021
Descripción:
En FreeBSD versiones 13.0-STABLE anteriores a n245765-bec0d2c9c841, versiones 12.2-STABLE anteriores a r369859, versiones 11.4-STABLE anteriores a r369866, versiones 13.0-RELEASE anteriores a p1, versiones 12.2-RELEASE anteriores a p7 y versiones 11.4-RELEASE anteriores a p10, una falta comprobación de mensaje en la función libradius(3) podría permitir a clientes o servidores maliciosos desencadenar una denegación de servicio en servidores o clientes vulnerables, respectivamente
Vulnerabilidad en la URL en el directorio "StaticFile.fromUrl" en Http4s (CVE-2021-32643)
Gravedad:
MediaMedia
Publication date: 27/05/2021
Last modified:
10/06/2021
Descripción:
Http4s es una interfaz de Scala para servicios HTTP. el directorio "StaticFile.fromUrl" puede filtrar la presencia de un directorio en un servidor cuando el esquema "URL" no es "file://", y la URL apunta a un recurso recuperable bajo su esquema y autoridad. La función devuelve "F[None]", indicando que no hay recurso, si "url.getFile" es un directorio, sin comprobar primero el esquema o la autoridad de la URL. Si una conexión URL al esquema y la URL devolvieran una secuencia, y la ruta en la URL se presenta como un directorio en el servidor, la presencia del directorio en el servidor podría inferirse de la respuesta 404. No son expuestas los contenidos y otros metadatos sobre el directorio. Esto afecta a versiones de http4s: versiones 0.21.7 hasta 0.21.23, 0.22.0-M1 hasta 0.22.0-M8, 0.23.0-M1 y versiones 1.0.0-M1 hasta 1.0.0-M22. El [parche] (https://github.com/http4s/http4s/commit/52e1890665410b4385e37b96bc49c5e3c708e4e9) está disponible en las siguientes versiones: v0.21.24, v0.22.0-M9, v0.23.0-M2, v1.0.0-M23. Como solución alternativa, los usuarios pueden evitar llamar a "StaticFile.fromUrl" con URL que no sean archivos
Vulnerabilidad en el producto Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries) (CVE-2021-2163)
Gravedad:
BajaBaja
Publication date: 22/04/2021
Last modified:
10/06/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Java SE: 7u291, 8u281, 11.0.10, 16; Java SE integrado: 8u281; Oracle GraalVM Enterprise Edition: 19.3.5, 20.3.1.2 y 21.0.0.2. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implementaciones de Java que cargan y ejecutan código que no es confiable (p. Ej., Código que proviene de Internet) y dependen del sandbox de Java para su seguridad. CVSS 3.1 Puntuación Base 5.3 (Impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N)
Vulnerabilidad en el producto Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries) (CVE-2021-2161)
Gravedad:
MediaMedia
Publication date: 22/04/2021
Last modified:
22/10/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Java SE: 7u291, 8u281, 11.0.10, 16; Java SE integrado: 8u281; Oracle GraalVM Enterprise Edition: 19.3.5, 20.3.1.2 y 21.0.0.2. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implementaciones de Java que cargan y ejecutan código que no es confiable (p. Ej., código que proviene de Internet) y confía en el sandbox de Java para la seguridad. También puede ser explotado proporcionando datos no confiables a las API en el Componente especificado. CVSS 3.1 Puntuación Base 5.9 (Impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N)
Vulnerabilidad en los Parámetros de Longitud en diferentes productos de Mitsubishi Electric FA Engineering Software (CVE-2021-20588)
Gravedad:
AltaAlta
Publication date: 19/02/2021
Last modified:
05/08/2021
Descripción:
Una Vulnerabilidad de Manejo Inapropiado de Inconsistencia de Parámetros de Longitud en Mitsubishi Electric FA Engineering Software (herramienta de configuración y supervisión del módulo del controlador C todas las versiones, herramienta de configuración del registro del módulo de la CPU versiones 1.112R y anteriores, configurador CW versiones 1.011M y anteriores, transferencia de datos versiones 3.44W y anteriores, EZSocket todas las versiones, configurador FR todas las versiones, configurador FR SW3 todas las versiones, configurador FR2 versiones 1.24A y anteriores, diseñador GT3 versión1(GOT1000) versiones 1.250L y anteriores, configurador GT SoftGOT1000 versión3 versiones 1.250L y anteriores). 24A y anteriores, GT Designer3 Versión1(GOT1000) versiones 1.250L y anteriores, GT Designer3 Versión1(GOT2000) versiones 1.250L y anteriores, GT SoftGOT1000 Versión3 versiones 3.245F y anteriores, GT SoftGOT2000 Versión1 versiones 1.250L y anteriores, GX Configurator-DP versiones 7.14Q y anteriores, GX Configurator-QP todas las versiones, GX Developer versiones 8. 506C y anteriores, GX Explorer todas las versiones, GX IEC Developer todas las versiones, GX LogViewer versiones 1.115U y anteriores, GX RemoteService-I todas las versiones, GX Works2 versiones 1.597X y anteriores, GX Works3 versiones 1. 070Y y anteriores, iQ Monozukuri ANDON (Transferencia de datos) todas las versiones, iQ Monozukuri Process Remote Monitoring (Transferencia de datos) todas las versiones, M_CommDTM-HART todas las versiones, M_CommDTM-IO-Link todas las versiones, MELFA-Works todas las versiones, MELSEC WinCPU Setting Utility todas las versiones, MELSOFT EM Software Development Kit (EM Configurator) todas las versiones, MELSOFT Navigator versiones 2. 74C y anteriores, MH11 SettingTool Version2 todas las versiones, MI Configurator todas las versiones, MT Works2 todas las versiones, MX Component todas las versiones, Network Interface Board CC IE Control utility todas las versiones, Network Interface Board CC IE Field Utility todas las versiones, Network Interface Board CC-Link Ver.2 Utilidad todas las versiones, Network Interface Board MNETH utility todas las versiones, PX Developer versiones 1.53F y anteriores, RT ToolBox2 todas las versiones, RT ToolBox3 versiones 1. 82L y anteriores, Setting/monitoring tools for the C Controller module all versions, SLMP Data Collector all versions) permite a un atacante remoto no autentificado provocar una condición de DoS de los productos de software, y posiblemente ejecutar un programa malicioso en el ordenador personal que ejecuta los productos de software aunque no se haya reproducido, mediante la suplantación de MELSEC, GOT o FREQROL y el retorno de paquetes de respuesta manipulados
Vulnerabilidad en algunos productos de Mitsubishi Electric FA Engineering Software (CVE-2021-20587)
Gravedad:
AltaAlta
Publication date: 19/02/2021
Last modified:
05/08/2021
Descripción:
Vulnerabilidad de desbordamiento de búfer basada en Heap en el software de ingeniería de Mitsubishi Electric FA (herramienta de configuración y monitorización del módulo C Controller todas las versiones, herramienta de configuración del registro del módulo CPU versiones 1.112R y anteriores, CW Configurator versiones 1.011M y anteriores, Data Transfer versiones 3.44W y anteriores, EZSocket todas las versiones, FR Configurator todas las versiones, FR Configurator SW3 todas las versiones, FR Configurator2 versiones 1. 24A y anteriores, GT Designer3 Versión1(GOT1000) versiones 1.250L y anteriores, GT Designer3 Versión1(GOT2000) versiones 1.250L y anteriores, GT SoftGOT1000 Versión3 versiones 3.245F y anteriores, GT SoftGOT2000 Versión1 versiones 1.250L y anteriores, GX Configurator-DP versiones 7.14Q y anteriores, GX Configurator-QP todas las versiones, GX Developer versiones 8.506C y anteriores, GX Explorer todas las versiones, GX IEC Developer todas las versiones, GX LogViewer versiones 1. 115U y anteriores, GX RemoteService-I todas las versiones, GX Works2 versiones 1.597X y anteriores, GX Works3 versiones 1. 070Y y anteriores, iQ Monozukuri ANDON (Data Transfer) todas las versiones, iQ Monozukuri Process Remote Monitoring (Data Transfer) todas las versiones, M_CommDTM-HART todas las versiones, M_CommDTM-IO-Link todas las versiones, MELFA-Works todas las versiones, MELSEC WinCPU Setting Utility todas las versiones, MELSOFT EM Software Development Kit (EM Configurator) todas las versiones, MELSOFT Navigator versiones 2. 74C y anteriores, MH11 SettingTool Version2 todas las versiones, MI Configurator todas las versiones, MT Works2 todas las versiones, MX Component todas las versiones, Network Interface Board CC IE Control utility todas las versiones, Network Interface Board CC IE Field Utility todas las versiones, Network Interface Board CC-Link Ver.2 Utilidad todas las versiones, Network Interface Board MNETH utility todas las versiones, PX Developer versiones 1.53F y anteriores, RT ToolBox2 todas las versiones, RT ToolBox3 versiones 1. 82L y anteriores, Setting/monitoring tools for the C Controller module all versions, SLMP Data Collector all versions) permite a un atacante remoto no autenticado provocar una condición de DoS de los productos de software, y posiblemente ejecutar un programa malicioso en el ordenador personal que ejecuta los productos de software, aunque no se ha reproducido, mediante la suplantación de MELSEC, GOT o FREQROL y el retorno de paquetes de respuesta manipulados
Vulnerabilidad en clase SocketServer en Log4j (CVE-2019-17571)
Gravedad:
AltaAlta
Publication date: 20/12/2019
Last modified:
18/10/2021
Descripción:
Incluido en Log4j versión 1.2 existe una clase SocketServer que es vulnerable a la deserialización de datos no confiables, que pueden ser explotada para ejecutar código arbitrario remotamente cuando se combina con un dispositivo de deserialización al escuchar el tráfico de red no confiable para datos de registro. Esto afecta a Log4j versiones desde 1.2 hasta 1.2.17.
Vulnerabilidad en Google Guava (CVE-2018-10237)
Gravedad:
MediaMedia
Publication date: 26/04/2018
Last modified:
20/10/2021
Descripción:
Asignación de memoria sin restringir en Google Guava 11.0 hasta las versiones 24.x anteriores a la 24.1.1 permite que los atacantes remotos realicen ataques de denegación de servicio (DoS) contra servidores que dependen de esta librería y que deserialicen datos proporcionados por dichos atacantes debido a que la clase AtomicDoubleArray (cuando se serializa con serialización Java) y la clase CompoundOrdering (cuando se serializa con serialización GWT) realiza una asignación sin comprobar adecuadamente lo que ha enviado un cliente y si el tamaño de los datos es razonable.
Vulnerabilidad en la función MATCH_ASSOC en NTP (CVE-2016-2518)
Gravedad:
MediaMedia
Publication date: 30/01/2017
Last modified:
10/06/2021
Descripción:
La función MATCH_ASSOC en NTP en versiones anteriores 4.2.8p9 y 4.3.x en versiones anteriores a 4.3.92 permite a atacantes remotos provocar una referencia fuera de los límites a través de una solicitud addpeer con un valor hmode grande.