Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el procesamiento del nombre de host en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33539)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad explotable de omisión de autenticación en el procesamiento del nombre de host. Un nombre de host del dispositivo especialmente configurado puede causar al dispositivo interpretar el tráfico remoto seleccionado como tráfico local, resultando en una omisión de la autenticación web. Un atacante puede enviar peticiones SNMP autenticadas para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad account settings iw_webs en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33538)
Gravedad:
AltaAlta
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad explotable de control de acceso inapropiado en la funcionalidad account settings iw_webs. Una entrada de nombre de usuario especialmente diseñada puede causar la sobreescritura de una contraseña de cuenta de usuario existente, resultando en un acceso de shell remoto al dispositivo como ese usuario. Un atacante puede enviar comandos mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad configuration parsing iw_webs en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33537)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad de ejecución de código remota explotable en la funcionalidad configuration parsing iw_webs. Una entrada de nombre de usuario especialmente diseñada puede causar un desbordamiento de búfer de mensaje de error, resultando en una ejecución de código remota. Un atacante puede enviar comandos mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad ServiceAgent en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33536)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad de denegación de servicio explotable en la funcionalidad ServiceAgent. Un paquete especialmente diseñado puede causar un desbordamiento de enteros, desencadenando un gran memcpy que accederá a memoria no asignada o fuera de límites. Un atacante puede enviar este paquete mientras no está autenticado para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad iw_console conio_writestr en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33535)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad explotable de cadena de formato en la funcionalidad iw_console conio_writestr. Una entrada del servidor de tiempo especialmente diseñada puede causar un desbordamiento de búfer del servidor de tiempo, resultando en una ejecución de código remota. Un atacante puede enviar comandos mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad iw_webs en un parámetro iw_serverip en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33533)
Gravedad:
AltaAlta
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad de inyección de comandos explotable en la funcionalidad iw_webs. Un parámetro iw_serverip especialmente diseñado puede causar a una entrada del usuario sea reflejada en una llamada subsiguiente de iw_system, resultando en un control remoto sobre el dispositivo. Un atacante puede enviar comandos mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad iw_webs en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33532)
Gravedad:
AltaAlta
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad de inyección de comandos explotable en la funcionalidad iw_webs. Un nombre de archivo de script de diagnóstico especialmente diseñado puede causar que la entrada del usuario sea reflejada en una llamada subsiguiente de iw_system, resultando en un control remoto sobre el dispositivo. Un atacante puede enviar comandos mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en múltiples utilidades iw_* en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33531)
Gravedad:
AltaAlta
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad explotable de uso de credenciales embebidas en múltiples utilidades iw_*. El sistema operativo del dispositivo contiene una contraseña de cifrado no documentada, permitiendo la creación de scripts de diagnóstico personalizados. Un atacante puede enviar scripts de diagnóstico mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad encrypted diagnostic script en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33530)
Gravedad:
AltaAlta
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad de inyección de comandos explotable en la funcionalidad encrypted diagnostic script de los dispositivos. Un archivo de script de diagnóstico especialmente diseñado puede causar que comandos arbitrarios de busybox, sean ejecutados, resultando en un control remoto sobre el dispositivo. Un atacante puede enviar el diagnóstico mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en la red en el binario del agente de servicio en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33529)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, el uso de claves criptográficas embebidas en el binario del agente de servicio permite el descifrado del tráfico capturado a través de la red desde o hacia el dispositivo
Vulnerabilidad en la funcionalidad iw_console en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33528)
Gravedad:
AltaAlta
Publication date: 25/06/2021
Last modified:
27/07/2021
Descripción:
En los dispositivos Weidmueller Industrial WLAN en múltiples versiones, se presenta una vulnerabilidad de escalada de privilegios explotable en la funcionalidad iw_console. Una cadena de selección de menús especialmente diseñada puede causar un escape de la consola restringida, resultando en un acceso al sistema como usuario root. Un atacante puede enviar comandos mientras está autenticado como un usuario poco privilegiado para desencadenar esta vulnerabilidad
Vulnerabilidad en la Interfaz de Usuario Web en IBM Security Verify (CVE-2021-29677)
Gravedad:
BajaBaja
Publication date: 25/06/2021
Last modified:
30/06/2021
Descripción:
IBM Security Verify (IBM Security Verify Privilege Vault versión 10.9.66) es vulnerable a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y puede conllevar a potencialmente a una divulgación de credenciales en una sesión confiable
Vulnerabilidad en un enlace URL en IBM Security Verify (CVE-2021-29676)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
30/06/2021
Descripción:
IBM Security Verify (IBM Security Verify Privilege Vault versión 10.9.66) es vulnerable a una inyección de enlaces. Al persuadir a una víctima de hacer clic en un enlace URL especialmente diseñado, un atacante remoto podría explotar esta vulnerabilidad para llevar a cabo varios ataques contra el sistema vulnerable, incluyendo de tipo cross-site scripting, envenenamiento de la caché o secuestro de la sesión

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la funcionalidad hostname en los dispositivos Weidmueller Industrial WLAN (CVE-2021-33534)
Gravedad:
AltaAlta
Publication date: 25/06/2021
Last modified:
08/07/2021
Descripción:
En los dispositivos WLAN industriales de Weidmueller en múltiples versiones existe una vulnerabilidad de inyección de comandos explotable en la funcionalidad de nombre de host. Una entrada especialmente diseñada para la información de configuración de la red puede causar la ejecución de comandos arbitrarios del sistema, lo que resulta en el control total del dispositivo. Un atacante puede enviar varias peticiones mientras está autenticado como usuario con altos privilegios para activar esta vulnerabilidad