Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las credenciales de nombre de usuario y contraseña asociadas a un repositorio de Helm (CVE-2021-32690)
Gravedad:
MediaMedia
Publication date: 16/06/2021
Last modified:
24/06/2021
Descripción:
Helm es una herramienta para gestionar Charts (paquetes de recursos Kubernetes preconfigurados). En versiones de Helm anteriores a 3.6.1, se presenta una vulnerabilidad en la que las credenciales de nombre de usuario y contraseña asociadas a un repositorio de Helm podrían ser pasadas a otro dominio referenciado por ese repositorio de Helm. Este problema ha sido resuelto en versión 3.6.1. Se presenta una solución que permite comprobar credenciales pasadas inapropiadamente. Puede usar un nombre de usuario y una contraseña para un repositorio Helm y puede auditar el repositorio Helm para comprobar si se está utilizando otro dominio que podría haber recibido las credenciales. En el archivo "index.yaml" para ese repositorio, uno puede buscar otro dominio en la lista de "urls" para las versiones del gráfico. Si se encuentra otro dominio y esa versión del gráfico fue extraída o instalada, las credenciales se pasarían
Vulnerabilidad en las contraseñas TOTP en los dispositivos Protectimus SLIM NFC 70 (CVE-2021-32033)
Gravedad:
BajaBaja
Publication date: 16/06/2021
Last modified:
24/06/2021
Descripción:
Los dispositivos Protectimus SLIM NFC 70 versiones 10.01, permiten un ataque Time Traveler en el que atacantes pueden predecir las contraseñas TOTP en determinadas situaciones. El valor del tiempo usado por el dispositivo se puede establecer independientemente del valor de la semilla usada para generar contraseñas de un solo uso basadas en el tiempo, sin autenticación. Así, un atacante con acceso físico de corta duración a un dispositivo puede ajustar el reloj interno de tiempo real (RTC) al futuro, generar contraseñas de un solo uso y restablecer el reloj a la hora actual. Esto permite la generación de contraseñas de un solo uso válidas en el futuro sin tener más acceso al token de hardware
Vulnerabilidad en los datos de los reportes en Hitachi ABB Power Grids eSOMS (CVE-2021-26845)
Gravedad:
MediaMedia
Publication date: 14/06/2021
Last modified:
25/06/2021
Descripción:
Una vulnerabilidad de Exposición de Información en Hitachi ABB Power Grids eSOMS, permite a un usuario no autorizado acceder a los datos de los reportes si se detecta la URL utilizada para acceder al reporte. Este problema afecta a: Hitachi ABB Power Grids eSOMS versiones 6.0 anteriores a 6.0.4.2.2; versiones 6.1 anteriores a 6.1.4; versiones 6.3 anteriores a 6.3
Vulnerabilidad en un archivo de registro de depuración en la consola de computación en Palo Alto Networks Prisma Cloud (CVE-2021-3039)
Gravedad:
MediaMedia
Publication date: 10/06/2021
Last modified:
24/06/2021
Descripción:
Se presenta una vulnerabilidad de exposición de información mediante un archivo de registro en la consola de computación en Palo Alto Networks Prisma Cloud, donde un secreto utilizado para autorizar el rol del usuario autenticado se registra en un archivo de registro de depuración. Los usuarios autenticados con el rol de Operador y Auditor con acceso a los archivos de registro de depuración pueden usar este secreto para conseguir acceso al rol de Administrador para su sesión activa en Prisma Cloud Compute. Las versiones de Prisma Cloud Compute SaaS se actualizaron automáticamente a la versión corregida. Este problema afecta a todas las versiones de Prisma Cloud Compute anteriores a Prisma Cloud Compute 21.04.412

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el procesamiento de un archivo de texto en diversos productos de Apple (CVE-2021-1772)
Gravedad:
MediaMedia
Publication date: 02/04/2021
Last modified:
25/06/2021
Descripción:
Se abordó un desbordamiento de la pila con una comprobación de la entrada mejorada. Este problema es corregido en macOS Big Sur versión 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, watchOS versión 7.3, tvOS versión 14.4, iOS versión 14.4 y iPadOS versión 14.4. El procesamiento de un archivo de texto diseñado malicioso puede conllevar a una ejecución de código arbitraria.
Vulnerabilidad en iofilesystemfilesystem.cc en Widelands (CVE-2011-1932)
Gravedad:
MediaMedia
Publication date: 05/12/2011
Last modified:
25/06/2021
Descripción:
Vulnerabilidad de salto de directorio en io/filesystem/filesystem.cc en Widelands antes de v15.1 podría permitir a atacantes remotos sobreescribir ficheros de su elección a través de caracteres . (punto) en un nombre de ruta que se utiliza para la transferencia de un archivo en un juego en Internet.
Vulnerabilidad en iofilesystemfilesystem.cc en Widelands (CVE-2011-4675)
Gravedad:
MediaMedia
Publication date: 05/12/2011
Last modified:
25/06/2021
Descripción:
La funcionalidad de canonización de ruta en io/filesystem/filesystem.cc en Widelands antes de v15.1 expande los caracteres ~ (tilde) a rutas de directorio principal de usuario, pero no restringe el uso de estos caracteres en las cadenas recibidas por red, lo que podría permitir llevar a cabo ataques de salto de ruta absoluta a atacantes remotos y sobrescribir archivos de su elección a través de un caracter ~ en una ruta que se utiliza para la transferencia de archivos en un juego de Internet. Se trata de una vulnerabilidad diferente a CVE-2011-1932.