Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el proceso de intercambio de datos en ZOLL Defibrillator Dashboard (CVE-2021-27481)
Gravedad:
BajaBaja
Publication date: 16/06/2021
Last modified:
22/06/2021
Descripción:
ZOLL Defibrillator Dashboard, versiones anteriores a 2.2. Los productos afectados utilizan una clave de cifrado en el proceso de intercambio de datos, que está embebida. Esto podría permitir a un atacante acceder a información confidencial
Vulnerabilidad en el cargador de arranque en Chromecast bootROM en Android (CVE-2021-0467)
Gravedad:
MediaMedia
Publication date: 14/06/2021
Last modified:
22/06/2021
Descripción:
En Chromecast bootROM, existe una posible escritura fuera de límites debido a una comprobación de límites incorrecto. Esto podría conllevar a una escalada local de privilegios en el cargador de arranque, con acceso físico al USB, sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android SoC, ID de Android: A-174490700
Vulnerabilidad en el Nombre del Proyecto en los plugins Smart Slider 3 Free y pro de WordPress (CVE-2021-24382)
Gravedad:
BajaBaja
Publication date: 14/06/2021
Last modified:
22/06/2021
Descripción:
Los plugins Smart Slider 3 Free y pro de WordPress versiones anteriores a 3.5.0.9, no saneaban el Nombre del Proyecto antes de devolverlo a la página, conllevando un problema de tipo Cross-Site Scripting almacenado. Por defecto, sólo los usuarios administradores podían acceder a la funcionalidad afectada, limitando la posibilidad de explotar la vulnerabilidad. Sin embargo, algunos administradores de WordPress pueden permitir a usuarios menos privilegiados acceder a la funcionalidad del plugin, en cuyo caso, una escalada de privilegios podría ser llevada a cabo
Vulnerabilidad en la función LzmaUefiDecompressGetInfo en EDK II (CVE-2021-28211)
Gravedad:
MediaMedia
Publication date: 11/06/2021
Last modified:
22/06/2021
Descripción:
Un desbordamiento de la pila en la función zmaUefiDecompressGetInfo en EDK II
Vulnerabilidad en el puerto de transmisión de MELSOFT (TCP/IP) en Mitsubishi Electric MELSEC iQ-R series CPU modules (CVE-2021-20591)
Gravedad:
AltaAlta
Publication date: 11/06/2021
Last modified:
22/06/2021
Descripción:
Una vulnerabilidad de Consumo Incontrolado de Recursos en Mitsubishi Electric MELSEC iQ-R series CPU modules (R00/01/02CPU todas las versiones, R04/08/16/32/120(ES)CPU todas las versiones, R08/16/32/120SFCPU todas las versiones, R08/16/32/120PCPU todas las versiones, R08/16/32/120PSFCPU todas las versiones) permite a un atacante remoto no autentificado impedir que clientes legítimos se conecten al puerto de transmisión de MELSOFT (TCP/IP) al no cerrar una conexión apropiadamente, lo que puede conllevar a una condición de denegación de servicio (DoS)
Vulnerabilidad en los dispositivos LANCOM R&S Unified Firewall (UF) (CVE-2021-31538)
Gravedad:
MediaMedia
Publication date: 10/06/2021
Last modified:
22/06/2021
Descripción:
Los dispositivos LANCOM R&S Unified Firewall (UF) que ejecutan LCOS FX versión 10.5 permiten un Salto de Ruta Relativo
Vulnerabilidad en la biblioteca cachecleaner.dll en el instalador de Windows de BIG-IP Edge Client (CVE-2021-23023)
Gravedad:
MediaMedia
Publication date: 10/06/2021
Last modified:
22/06/2021
Descripción:
En las versiones 7.2.1.x anterior a 7.2.1.3 y 7.1.x anterior a 7.1.9.9 Update 1, existe un problema de secuestro de DLL en la biblioteca cachecleaner.dll incluida en el instalador de Windows de BIG-IP Edge Client. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no se evalúan
Vulnerabilidad en Processor Diagnostic Tool en Intel® (CVE-2020-8702)
Gravedad:
MediaMedia
Publication date: 09/06/2021
Last modified:
22/06/2021
Descripción:
Un elemento de ruta de búsqueda no controlado en Intel® Processor Diagnostic Tool versiones anteriores a 4.1.5.37, puede permitir a un usuario autenticado permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en Intel® SPS (CVE-2020-24509)
Gravedad:
MediaMedia
Publication date: 09/06/2021
Last modified:
22/06/2021
Descripción:
Una administración insuficiente del flujo de control en el subsistema en Intel® SPS versiones anteriores a SPS_E3_05.01.04.300.0, SPS_SoC-A_05.00.03.091.0, SPS_E5_04.04.04.023.0 o SPS_E5_04.04.03.263.0, puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en una función risky en la adquisición de Ips en Apache APISIX Dashboard (CVE-2021-33190)
Gravedad:
MediaMedia
Publication date: 08/06/2021
Last modified:
22/06/2021
Descripción:
En Apache APISIX Dashboard versión 2.6, hemos cambiado el valor por defecto de listen host a 0.0.0.0 para facilitar a usuarios la configuración del acceso a la red externa. En la restricción de la lista de IPs permitidas, una función risky fue usada para la adquisición de IPs, lo que hizo posible omitir el límite de la red. Al mismo tiempo, la cuenta y la contraseña predeterminadas son fijas. En última instancia, estos factores conllevan al problema de riesgos de seguridad. Este problema es corregido en APISIX Dashboard versión 2.6.1

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en File Station en QTS y QuTS en QNAP (CVE-2020-2495)
Gravedad:
MediaMedia
Publication date: 10/12/2020
Last modified:
22/06/2021
Descripción:
Si era explotada, esta vulnerabilidad de tipo cross-site scripting podría permitir a atacantes remotos inyectar código malicioso en File Station. QNAP ya ha corregido estas vulnerabilidades en las siguientes versiones de QTS y QuTS hero. QuTS hero versión h4.5.1.1472 build 20201031 y posterior, QTS versión 4.5.1.1456 build 20201015 y posterior, QTS versión 4.4.3.1354 build 20200702 y posterior, QTS versión 4.3.6.1333 build 20200608 y posterior, QTS versión 4.3.4.1368 build 20200703 y posterior, QTS versión 4.3.3.1315 build 20200611 y posterior, QTS versión 4.2.6 build 20200611 y posterior
Vulnerabilidad en File Station en QTS y QuTS en QNAP (CVE-2020-2496)
Gravedad:
MediaMedia
Publication date: 10/12/2020
Last modified:
22/06/2021
Descripción:
Si era explotada, esta vulnerabilidad de tipo cross-site scripting podría permitir a atacantes remotos inyectar código malicioso en File Station. QNAP ya ha corregido estas vulnerabilidades en las siguientes versiones de QTS y QuTS hero. QuTS hero versión h4.5.1.1472 build 20201031 y posterior, QTS versión 4.5.1.1456 build 20201015 y posterior, QTS versión 4.4.3.1354 build 20200702 y posterior, QTS versión 4.3.6.1333 build 20200608 y posterior, QTS versión 4.3.4.1368 build 20200703 y posterior, QTS versión 4.3.3.1315 build 20200611 y posterior, QTS versión 4.2.6 build 20200611 y posterior
Vulnerabilidad en System Connection Logs en QTS y QuTS en QNAP (CVE-2020-2497)
Gravedad:
MediaMedia
Publication date: 10/12/2020
Last modified:
22/06/2021
Descripción:
Si era explotada, esta vulnerabilidad de tipo cross-site scripting podría permitir a atacantes remotos inyectar código malicioso en System Connection Logs. QNAP ya ha corregido estas vulnerabilidades en las siguientes versiones de QTS y QuTS hero. QuTS hero versión h4.5.1.1472 build 20201031 y posterior, QTS versión 4.5.1.1456 build 20201015 y posterior, QTS versión 4.4.3.1354 build 20200702 y posterior, QTS versión 4.3.6.1333 build 20200608 y posterior, QTS versión 4.3.4.1368 build 20200703 y posterior, QTS versión 4.3.3.1315 build 20200611 y posterior, QTS versión 4.2.6 build 20200611 y posterior
Vulnerabilidad en el binario webService en dispositivos Insteon (CVE-2018-11560)
Gravedad:
AltaAlta
Publication date: 23/06/2018
Last modified:
22/06/2021
Descripción:
El binario webService en los dispositivos Insteon HD IP Camera White 2864-222 tiene un desbordamiento de búfer basado en pila que conduce a un secuestro del flujo de control mediante una clave de usuario, tal y como queda demostrado con un parámetro remoteIp largo en cgi-bin/CGIProxy.fcgi en el puerto 34100.
Vulnerabilidad en el binario webService en dispositivos Insteon (CVE-2018-12640)
Gravedad:
AltaAlta
Publication date: 23/06/2018
Last modified:
22/06/2021
Descripción:
El binario webService en los dispositivos Insteon HD IP Camera White 2864-222 tiene un desbordamiento de búfer mediante un pid, una contraseña o una clave de usuario que hayan sido manipulados en una petición GET en el puerto 34100.
Vulnerabilidad en INTERSCHALT Maritime Systems VDR G4e (CVE-2016-9339)
Gravedad:
MediaMedia
Publication date: 13/02/2017
Last modified:
22/06/2021
Descripción:
Ha sido descubierto un problema en INTERSCHALT Maritime Systems VDR G4e Versión 5.220 y anteriores. La entrada externa se utiliza para construir rutas de acceso a archivos y directorios sin neutralizar adecuadamente elementos especiales dentro de la ruta de acceso que podrían permitir a un atacante leer archivos en el sistema, un Salto de Ruta.