Boletín de vulnerabilidades
Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:
Vulnerabilidad en la función captcha en Monstra (CVE-2020-25414)
Gravedad:
Alta

Publication date: 17/06/2021
Last modified:
21/06/2021
Descripción:
Se ha detectado una vulnerabilidad de inclusión de archivos locales en la función captcha en Monstra versión 3.0.4 que permite a atacantes remotos ejecutar código PHP arbitrario
Vulnerabilidad en la petición de la API en la interfaz Events REST API en Octopus Server (CVE-2021-31818)
Gravedad:
Media

Publication date: 17/06/2021
Last modified:
21/06/2021
Descripción:
Unas versiones afectadas de Octopus Server son propensas a una vulnerabilidad de inyección SQL autenticada en la interfaz Events REST API porque los datos suministrados por el usuario en la petición de la API no están parametrizados correctamente. Una explotación de esta vulnerabilidad podría permitir un acceso no autorizado a las tablas de la base de datos
Vulnerabilidad en el entorno de Windows AD cuando IBM Security Identity Manager Windows Password Synch Plug-in en IBM Security Identity Manager (CVE-2021-20488)
Gravedad:
Baja

Publication date: 16/06/2021
Last modified:
21/06/2021
Descripción:
IBM Security Identity Manager 6.0.2 podría permitir a un usuario malintencionado autentificado cambiar las contraseñas de otros usuarios en el entorno de Windows AD cuando se despliega y configura el complemento de sincronización de contraseñas de Windows de IBM Security Identity Manager. ID de IBM X-Force: 197789
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
Vulnerabilidad en un certificado X.509 en Quassel (CVE-2021-34825)
Gravedad:
Media

Publication date: 17/06/2021
Last modified:
20/09/2021
Descripción:
Quassel versiones hasta 0.13.1, cuando --require-ssl está habilitado, se lanza sin soporte SSL o TLS si no es encontrado un certificado X.509 usable en el sistema local
Vulnerabilidad en el procedimiento de lectura de archivos DWG en Drawings SDK (CVE-2021-32948)
Gravedad:
Media

Publication date: 17/06/2021
Last modified:
15/04/2022
Descripción:
Se presenta un problema de escritura fuera de límites en el procedimiento de lectura de archivos DWG en Drawings SDK (todas las versiones anteriores a 2022.4) resultando en una falta de comprobación apropiada de los datos suministrados por el usuario. Esto puede resultar en una escritura más allá del final de un búfer asignado y permitir a atacantes causar una condición de denegación de servicio o ejecutar código en el contexto del proceso actual