Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los archivos app/dashboard/widgets/ipcalc-result.php y app/tools/ip-calculator/result.php en phpIPAM (CVE-2021-35438)
Gravedad:
MediaMedia
Publication date: 23/06/2021
Last modified:
24/06/2021
Descripción:
phpIPAM versión 1.4.3, permite un ataque de tipo XSS reflejado por medio de los archivos app/dashboard/widgets/ipcalc-result.php y app/tools/ip-calculator/result.php de la calculadora de IP
Vulnerabilidad en la función mpmathify en Mpmath (CVE-2021-29063)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
07/10/2021
Descripción:
Se ha detectado una vulnerabilidad de Denegación de Servicio de Expresiones Regulares (ReDOS) en Mpmath versión v1.0.0, cuando se llama a la función mpmathify
Vulnerabilidad en la comprobación de URIs en Vfsjfilechooser2 (CVE-2021-29061)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
24/06/2021
Descripción:
Se ha detectado una vulnerabilidad de Denegación de Servicio Expresiones Regulares (ReDOS) en Vfsjfilechooser2 versión 0.2.9 y por debajo que ocurre cuando la aplicación intenta comprobar URIs diseñadas
Vulnerabilidad en el nombre del mapa del panel de administración en el plugin WP Google Maps de WordPress (CVE-2021-24383)
Gravedad:
BajaBaja
Publication date: 21/06/2021
Last modified:
24/06/2021
Descripción:
El plugin WP Google Maps de WordPress versiones anteriores a 8.1.12 no saneaba, comprobaba o escapaba del nombre del mapa cuando aparecía en la lista de Mapas del panel de administración, conllevando a un problema de tipo Cross-Site Scripting Almacenada y autenticada
Vulnerabilidad en el controlador de administración de memoria en Android (CVE-2021-0533)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
24/06/2021
Descripción:
En el controlador de administración de memoria, se presenta una posible corrupción de memoria debido a una condición de carrera. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android SoC, ID de Android: A-185193932
Vulnerabilidad en una cadena HWB en Color-String (CVE-2021-29060)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
01/07/2021
Descripción:
Se ha detectado una vulnerabilidad de Expresión Regular de Denegación de Servicio (ReDOS) en Color-String versión 1.5.5 y por debajo, que ocurre cuando la aplicación es proporcionada y comprueba una cadena HWB no válida diseñada
Vulnerabilidad en el campo Item name, en la función export en el parámetro name en Akaunting (CVE-2020-22390)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
24/06/2021
Descripción:
Akaunting versiones anteriores a 2.0.9 incluyéndola, es vulnerable a una inyección CSV en el campo Item name, en la función export. Unos atacantes pueden inyectar código arbitrario en el parámetro name y llevar a cabo una ejecución de código cuando el archivo diseñado está abierto
Vulnerabilidad en el encabezado del host en Greenbone Security Assistant (GSA) y Greenbone OS (GOS) (CVE-2018-25016)
Gravedad:
AltaAlta
Publication date: 21/06/2021
Last modified:
24/06/2021
Descripción:
Greenbone Security Assistant (GSA) versiones anteriores a 7.0.3 y Greenbone OS (GOS) versiones anteriores a 5.0.0, permiten una inyección del encabezado del host
Vulnerabilidad en el parámetro result_id en el plugin Quiz And Survey Master - Best Quiz, Exam y Survey Plugin de WordPress (CVE-2021-24368)
Gravedad:
MediaMedia
Publication date: 20/06/2021
Last modified:
24/06/2021
Descripción:
El plugin Quiz And Survey Master - Best Quiz, Exam y Survey Plugin de WordPress versiones anteriores a 7.1.18 no saneaba ni escapaba de su parámetro result_id cuando se muestra una página de resultados de un concurso existente, conllevando un problema de Cross-Site Scripting reflejado. Esto podría permitir una escalada de privilegios al inducir a un administrador conectado a abrir un enlace malicioso

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el gestor de arranque en NVIDIA. (CVE-2021-34388)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
20/09/2021
Descripción:
El gestor de arranque contiene una vulnerabilidad en NVIDIA TegraBoot en la que un potencial desbordamiento de heap podría permitir a un atacante controlar toda la RAM después del bloque de heap, lo que llevaría a una denegación de servicio o a la ejecución de código
Vulnerabilidad en la eliminación de etiquetas HTML en los componentes stripTags y unescapeHTML en Prototype (CVE-2020-27511)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
20/09/2021
Descripción:
Se ha descubierto un problema en los componentes stripTags y unescapeHTML de Prototype versión 1.7.3 por el que un atacante puede provocar una denegación de servicio por expresión regular (ReDOS) a través de la eliminación de las etiquetas HTML
Vulnerabilidad en en una cadena SVG en IS-SVG (CVE-2021-29059)
Gravedad:
MediaMedia
Publication date: 21/06/2021
Last modified:
20/09/2021
Descripción:
Se ha descubierto una vulnerabilidad en las versiones 2.1.0 a 4.2.2 e inferiores de IS-SVG en la que se produce una denegación de servicio por expresión regular (ReDOS) si se proporciona la aplicación y se comprueba una cadena SVG no válida elaborada.
Vulnerabilidad en el flag -z/--search-zip o --pre en ripgrep (CVE-2021-3013)
Gravedad:
AltaAlta
Publication date: 11/06/2021
Last modified:
20/09/2021
Descripción:
ripgrep versiones anteriores a 13 en Windows permite a los atacantes desencadenar la ejecución de programas arbitrarios desde el directorio de trabajo actual a través de la bandera -z/--search-zip o --pre.