Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la funcionalidad Dell BIOSConnect (CVE-2021-21572)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
La funcionalidad Dell BIOSConnect contiene una vulnerabilidad de desbordamiento del búfer. Un usuario administrador malicioso autenticado con acceso local al sistema puede explotar potencialmente esta vulnerabilidad para ejecutar código arbitrario y omitir las restricciones de la UEFI
Vulnerabilidad en la funcionalidad Dell BIOSConnect (CVE-2021-21573)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
La funcionalidad Dell BIOSConnect contiene una vulnerabilidad de desbordamiento del búfer. Un usuario administrador malicioso autenticado con acceso local al sistema puede explotar esta vulnerabilidad para ejecutar código arbitrario y omitir las restricciones de la UEFI
Vulnerabilidad en la funcionalidad Dell BIOSConnect (CVE-2021-21574)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
La funcionalidad Dell BIOSConnect contiene una vulnerabilidad de desbordamiento de búfer. Un usuario administrador malicioso y autenticado con acceso local al sistema puede explotar esta vulnerabilidad para ejecutar código arbitrario y omitir las restricciones de UEFI
Vulnerabilidad en un correo electrónico codificado con MIME en Thunderbird (CVE-2021-29957)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Si un correo electrónico codificado con MIME contiene una parte del mensaje firmada o cifrada con OpenPGP en línea, pero también contiene una parte adicional no protegida, Thunderbird no indicaba que sólo algunas partes del mensaje estaban protegidas. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78.10.2
Vulnerabilidad en la desactivación del uso compartido de la cámara en Firefox (CVE-2021-29959)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
20/09/2021
Descripción:
Cuando un usuario ya ha permitido a un sitio web acceder al micrófono y a la cámara, la desactivación del uso compartido de la cámara no impedía completamente que el sitio web volviera a activarlo sin una solicitud adicional. Esto sólo era posible si el sitio web seguía grabando con el micrófono hasta volver a habilitar la cámara. Esta vulnerabilidad afecta a Firefox versiones anteriores a 89
Vulnerabilidad en el título de una página web en Firefox (CVE-2021-29960)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
20/09/2021
Descripción:
Firefox solía almacenar en caché el último nombre de archivo utilizado para imprimir un archivo. Al generar un nombre de archivo para imprimir, Firefox usualmente sugiere el título de la página web. Las técnicas de caché y de sugerencia combinadas pueden haber conllevado a que el título de una página web visitada durante el modo de navegación privada se almacene en el disco. Esta vulnerabilidad afecta a Firefox versiones anteriores a 89
Vulnerabilidad en direcciones de memoria arbitrarias en Firefox ESR, Firefox (CVE-2021-29955)
Gravedad:
BajaBaja
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Una vulnerabilidad de ejecución transitoria, denominada Floating Point Value Injection (FPVI) permitía a un atacante filtrar direcciones de memoria arbitrarias y también podría haber permitido ataques de confusión de tipo JIT. (Una vulnerabilidad relacionada, Speculative Code Store Bypass (SCSB), no afecta a Firefox). Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 78.9 y Firefox versiones anteriores a 87
Vulnerabilidad en la funcionalidad Proxy incorporada en el software Hubs Cloud’s Reticulum (CVE-2021-29954)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
La funcionalidad Proxy incorporada en el software Hubs Cloud’s Reticulum permitía el acceso a URLs internas, incluyendo el servicio de metadatos. Esta vulnerabilidad afecta a Hubs Cloud versiones anteriores a mozillareality/reticulum/1.0.1/20210428201255
Vulnerabilidad en una página web en Firefox para Android (CVE-2021-29953)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Una página web maliciosa podría haber forzado a un usuario de Firefox para Android a ejecutar JavaScript controlado por el atacante en el contexto de otro dominio, resultando en una vulnerabilidad de tipo Universal Cross-Site Scripting . *Nota: Este problema sólo afecta a Firefox para Android. Otros sistemas operativos no están afectados. Se están reteniendo temporalmente más detalles para dar a usuarios la oportunidad de actualizarse. Esta vulnerabilidad afecta a Firefox versiones anteriores a 88.0.1 y a Firefox para Android versiones anteriores a 88.1.3
Vulnerabilidad en un nombre de archivo en Thunderbird (CVE-2021-29949)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Cuando se carga la biblioteca compartida que proporciona la implementación del protocolo OTR, Thunderbird intentará inicialmente abrirla usando un nombre de archivo que no es distribuido por Thunderbird. Si un ordenador ya ha sido infectado con una biblioteca maliciosa con el nombre de archivo alternativo, y la biblioteca maliciosa ha sido copiada a un directorio que está contenido en la ruta de búsqueda de bibliotecas ejecutables, entonces Thunderbird cargará la biblioteca incorrecta. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78.9.1
Vulnerabilidad en la función SERVICE_START a BUILTIN|Users en Firefox ESR, Thunderbird, Firefox (CVE-2021-29951)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
El servicio de mantenimiento de Mozilla concedía el acceso de la función SERVICE_START a BUILTIN|Users que, en una red de dominio, concede a usuarios remotos normales el acceso para iniciar o detener el servicio. Esto podría ser usado para impedir que el servicio de actualización del navegador opere (si un atacante enviaba el comando 'Stop'); pero también exponía la superficie de ataque en el servicio de mantenimiento. *Nota: Este problema sólo afecta a los sistemas operativos Windows anteriores a Win 10 build 1709. Los demás sistemas operativos no están afectados. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78.10.1, Firefox versiones anteriores a 87 y Firefox ESR versiones anteriores a 78.10.1
Vulnerabilidad en las firmas en Thunderbird (CVE-2021-29948)
Gravedad:
BajaBaja
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Las firmas son escritas en el disco antes y se leen durante la verificación, lo que podría estar sujeto a una condición de carrera cuando un proceso local malicioso o un usuario está reemplazando el archivo. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78.10
Vulnerabilidad en el JIT de WebAssembly en Firefox ESR, Thunderbird, Firefox (CVE-2021-29945)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
El JIT de WebAssembly podía calcular mal el tamaño de un tipo de retorno, lo que podía conllevar a una lectura nula y resultar en un bloqueo. *Nota: Este problema sólo afectaba a las plataformas x86-32. Otras plataformas no están afectadas. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 78.10, Thunderbird versiones anteriores a 78.10 y Firefox versiones anteriores a 88
Vulnerabilidad en la entrada controlable por el usuario en exacqVision Web Service (CVE-2021-27659)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
20/09/2021
Descripción:
exacqVision Web Service versión 21.03 no combrueba, filtra, escapa y/o codifica suficientemente la entrada controlable por el usuario antes de colocarla en la salida que se utiliza como página web que es servida a otros usuarios
Vulnerabilidad en la entrada controlable por el usuario en exacqVision Enterprise Manager (CVE-2021-27658)
Gravedad:
BajaBaja
Publication date: 24/06/2021
Last modified:
20/09/2021
Descripción:
exacqVision Enterprise Manager versión 20.12 no combrueba, filtra, escapa y/o codifica suficientemente las entradas controlables por el usuario antes de colocarlas en la salida que se utiliza como página web que es servida a otros usuarios
Vulnerabilidad en una petición HTTP en com.vaadin:flow-server (CVE-2021-31412)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Un saneamiento inapropiado de la ruta en la vista RouteNotFoundError predeterminada en com.vaadin:flow-server versiones 1.0.0 hasta 1.0.14 (Vaadin versiones 10.0.0 hasta 10.0.18), versiones 1.1.0 anteriores a 2.0.0 (Vaadin versiones 11 anterior a 14), versiones 2.0.0 hasta 2.6.1 (Vaadin versiones 14.0.0 hasta 14. 6.1), y versiones 3.0.0 hasta 6.0.9 (Vaadin versiones 15.0.0 hasta 19.0.8) permite a un atacante de red enumerar todas las rutas disponibles por medio de una petición HTTP diseñada cuando la aplicación se ejecuta en modo de producción y un controlador personalizado para o NotFoundException es proporcionado
Vulnerabilidad en HPE OneView Global Dashboard (CVE-2021-26585)
Gravedad:
BajaBaja
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Una vulnerabilidad potencial ha sido identificada en HPE OneView Global Dashboard versión 2.31, que podría conllevar a una divulgación de información local privilegiada. HPE ha proporcionado una actualización de OneView Global Dashboard. El problema se ha resuelto en la versión 2.32
Vulnerabilidad en la función vgacon_scrolldelta en el subsistema vgacon en el kernel de Linux (CVE-2020-28097)
Gravedad:
BajaBaja
Publication date: 24/06/2021
Last modified:
05/08/2021
Descripción:
El subsistema vgacon en el kernel de Linux versiones anteriores a 5.8.10, maneja inapropiadamente el desplazamiento de software. Se presenta una lectura fuera de límites en la función vgacon_scrolldelta, también se conoce como CID-973c096f6a85
Vulnerabilidad en los requisitos de contraseñas en OpenEMR (CVE-2021-25923)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
En OpenEMR, versiones 5.0.0 hasta 6.0.0.1, son vulnerables a requisitos de contraseñas débiles, ya que no aplica un límite de longitud máxima de la contraseña. Si un usuario malicioso esta consciente los primeros 72 caracteres de la contraseña del usuario víctima, puede aprovecharlos para hacerse con una cuenta
Vulnerabilidad en un producto STB inteligente de ZTE (CVE-2021-21737)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Un producto STB inteligente de ZTE está impactado por una vulnerabilidad de control de permisos y acceso. Debido a una protección insuficiente de la aplicación del sistema, unos atacantes podrían usar esta vulnerabilidad para dañar el escritorio del sistema y afectar a las funciones de personalización del mismo. Esto afecta las versiones: ZXV10 B860H V5.0, V83011303.0010, V83011303.0016
Vulnerabilidad en la administración web de Avaya Aura Experience Portal (CVE-2021-25656)
Gravedad:
BajaBaja
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Se han detectado vulnerabilidades de inyección XSS almacenadas en la administración web de Avaya Aura Experience Portal que podrían permitir a un usuario autenticado revelar potencialmente información confidencial. Las versiones afectadas incluyen la versiones 7.0 hasta 7.2.3 (sin hotfix) y versión 8.0.0 (sin hotfix)
Vulnerabilidad en el componente Service Menu del sistema de Avaya Aura Experience Portal (CVE-2021-25655)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Una vulnerabilidad en el componente Service Menu del sistema de Avaya Aura Experience Portal puede permitir el redireccionamiento de la URL a cualquier sitio no confiable mediante un ataque diseñado. Las versiones afectadas incluyen de las versiones 7.0 hasta 7.2.3 (sin hotfix) y versión 8.0.0 (sin hotfix)
Vulnerabilidad en Avaya Aura Appliance Virtualization Platform Utilities (AVPU) (CVE-2021-25653)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Se ha detectado una vulnerabilidad de escalada de privilegios en Avaya Aura Appliance Virtualization Platform Utilities (AVPU) que podría permitir a un usuario local escalar privilegios. Afecta a las versiones 8.0.0.0 hasta 8.1.3.1 de AVPU
Vulnerabilidad en el acceso a la funcionalidad e información en Avaya Aura Appliance Virtualization Platform Utilities (AVPU) (CVE-2021-25652)
Gravedad:
BajaBaja
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Se ha detectado una vulnerabilidad de divulgación de información en la administración de directorios y archivos de Avaya Aura Appliance Virtualization Platform Utilities (AVPU). Esta vulnerabilidad puede permitir potencialmente a cualquier usuario local acceder a la funcionalidad del sistema y a la información de configuración que sólo debería estar disponible para un usuario con privilegios. Afecta a las versiones 8.0.0.0 hasta 8.1.3.1 de AVPU
Vulnerabilidad en una aplicación en QNAP NAS (CVE-2021-28800)
Gravedad:
AltaAlta
Publication date: 24/06/2021
Last modified:
30/06/2021
Descripción:
Se ha reportado una vulnerabilidad de inyección de comandos que afecta a QNAP NAS ejecutando versiones heredadas de QTS. Si es explotado, esta vulnerabilidad permite a atacantes ejecutar comandos arbitrarios en una aplicación comprometida. Este problema afecta: QNAP Systems Inc. QTS versiones anteriores a 4.3.6.1663 Build 20210504; versiones anteriores a 4.3.3.1624 Build 20210416. Este problema no afecta a: QNAP Systems Inc. QTS versión 4.5.3. QNAP Systems Inc. QuTS hero h4.5.3. QNAP Systems Inc. QuTScloud c4.5.5
Vulnerabilidad en bindata RubyGem (CVE-2021-32823)
Gravedad:
MediaMedia
Publication date: 23/06/2021
Last modified:
29/06/2021
Descripción:
En bindata RubyGem versiones anteriores a 2.4.10, presenta una vulnerabilidad potencial de denegación de servicio. En las versiones afectadas, es muy lento crear determinadas clases en BinData. Por ejemplo,BinData::Bit100000, BinData::Bit100001, BinData::Bit100002, BinData::Bit(N). En combinación con (user_input) .constantize, se presenta la posibilidad de un DoS basado en CPU. En la versión 2.4.10 bindata mejoró el tiempo de creación de Bits e Integers
Vulnerabilidad en el nodo blockchain en FISCO-BCOS (CVE-2021-35041)
Gravedad:
MediaMedia
Publication date: 23/06/2021
Last modified:
29/06/2021
Descripción:
El nodo blockchain en FISCO-BCOS versión V2.7.2, puede tener un error cuando se trata de paquetes sin formato y conllevar a un bloqueo. Un nodo malicioso puede enviar un paquete de forma continua. El paquete tiene un formato incorrecto y el nodo no puede decodificarlo correctamente. Como resultado, el nodo puede consumir la memoria de forma sostenible y colapsar. Más detalles son mostrados en: https://github.com/FISCO-BCOS/FISCO-BCOS/issues/1951
Vulnerabilidad en HTTPS en OpenGrok (componente: Web App) (CVE-2021-2322)
Gravedad:
MediaMedia
Publication date: 23/06/2021
Last modified:
29/06/2021
Descripción:
Una vulnerabilidad en OpenGrok (componente: Web App). Las versiones afectadas son 1.6.7 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTPS comprometer OpenGrok. Un ataque con éxito de esta vulnerabilidad pueden resultar en la adquisición de OpenGrok. CVSS 3.1 Puntuación Base 8.8 (Impactos de Confidencialidad, Integridad y Disponibilidad).CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en un archivo XML en Report portal (CVE-2021-29620)
Gravedad:
MediaMedia
Publication date: 23/06/2021
Last modified:
29/06/2021
Descripción:
Report portal es un marco de informes y análisis de código abierto. A partir de la versión 3.1.0 del service-api se introdujo el análisis de XML. Lamentablemente, el analizador XML no estaba configurado apropiadamente para prevenir los ataques de tipo XML external entity (XXE). Esto permite a un usuario importar un archivo XML específicamente diseñado que importa un archivo de definición de tipo de documento (DTD) con entidades externas para la extracción de secretos del módulo de service-api de Report Portal o fallo de tipo server-side request forgery. Esto será resuelto en la versión 5.4.0
Vulnerabilidad en el servidor de administración en VMware Carbon Black App Control (CVE-2021-21998)
Gravedad:
AltaAlta
Publication date: 23/06/2021
Last modified:
29/06/2021
Descripción:
VMware Carbon Black App Control versiones 8.0, 8.1, 8.5 anteriores a 8.5.8 y versiones 8.6 anteriores a 8.6.2, presenta una omisión de autenticación. Un actor malicioso con acceso de red al servidor de administración de VMware Carbon Black App Control podría obtener acceso administrativo al producto sin necesidad de autenticarse
Vulnerabilidad en un archivo "openssl.cnf" en VMware Tools para Windows, VMware Remote Console para Windows, VMware App Volumes (CVE-2021-21999)
Gravedad:
AltaAlta
Publication date: 23/06/2021
Last modified:
29/06/2021
Descripción:
VMware Tools para Windows (versiones 11.x.y anteriores a 11.2.6), VMware Remote Console para Windows (versiones 12.x anteriores a 12.0.1) , VMware App Volumes (versiones 2.x anteriores a 2.18.10 y versiones 4 anteriores a 2103) contienen una vulnerabilidad de escalada de privilegios local. Un atacante con acceso normal a una máquina virtual puede explotar este problema al colocar un archivo malicioso renombrado como "openssl.cnf" en un directorio no restringido que permitiría ejecutar código con privilegios elevados
Vulnerabilidad en los límites de los procesos de los contenedores en Wings (CVE-2021-32699)
Gravedad:
BajaBaja
Publication date: 22/06/2021
Last modified:
29/06/2021
Descripción:
Wings es el software del plano de control del sistema de administración de juegos de código abierto Pterodactyl. Todas las versiones de Pterodactyl Wings anteriores a "1.4.4" son vulnerables al agotamiento de los recursos del sistema debido a la definición inapropiada de los límites de los procesos de los contenedores. Un usuario malicioso puede consumir más recursos de los previstos y causar impactos posteriores a otros clientes en el mismo hardware, causando eventualmente que el servidor físico deje de responder. Los usuarios deben actualizar a la versión "1.4.4" para mitigar el problema. No existe ninguna solución no basada en código para las versiones afectadas del software. Los usuarios que ejecutan versiones personalizadas de este software pueden establecer manualmente un límite de PID para los contenedores creados
Vulnerabilidad en las peticiones HTTP en un endpoint en ORY Oathkeeper (CVE-2021-32701)
Gravedad:
MediaMedia
Publication date: 22/06/2021
Last modified:
29/06/2021
Descripción:
ORY Oathkeeper es un Proxy de Identidad y Acceso (IAP) y una API de Decisión de Control de Acceso que autoriza peticiones HTTP basadas en conjuntos de Reglas de Acceso. Cuando se realiza una petición a un endpoint que requiere el ámbito "foo" usando un token de acceso concedido con ese ámbito "foo", la introspección será válida y ese token se almacenará en caché. El problema viene cuando se realiza una segunda petición a un endpoint que requiere el ámbito "bar" antes de que la caché haya expirado. Tanto si se concede el token como si no al ámbito "bar", la introspección será válida. Se publicará un parche con la versión "v0.38.12-beta.1". Por defecto, el almacenamiento en caché está desactivado para el autenticador "oauth2_introspection". Cuando el almacenamiento en caché está deshabilitado, esta vulnerabilidad no existe. La caché es comprobada en ["func (a *AuthenticatorOAuth2Introspection) Authenticate(...)"](https://github.com/ory/oathkeeper/blob/6a31df1c3779425e05db1c2a381166b087cb29a4/pipeline/authn/authenticator_oauth2_introspection.go#L152). De ["tokenFromCache()"](https://github.com/ory/oathkeeper/blob/6a31df1c3779425e05db1c2a381166b087cb29a4/pipeline/authn/authenticator_oauth2_introspection.go#L97) parece que sólo comprueba la fecha de caducidad del token, pero ignora si el token tiene o no los ámbitos adecuados. La vulnerabilidad fue introducida en PR #424. Durante la revisión, fallamos en requerir una cobertura de pruebas apropiada por parte del remitente, lo cual es la razón principal por la que la vulnerabilidad pasó el proceso de revisión
Vulnerabilidad en un acceso local en el software Intel® Optane™ DC Persistent Memory (CVE-2021-0106)
Gravedad:
MediaMedia
Publication date: 09/06/2021
Last modified:
30/06/2021
Descripción:
Unos permisos predeterminados incorrectos en las versiones del software Intel® Optane™ DC Persistent Memory para Windows anteriores a 2.00.00.3842 o 1.00.00.3515 pueden permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una etiqueta timestamp en el archivo srs2.c en una dirección SRS en PostSRSd (CVE-2020-35573)
Gravedad:
MediaMedia
Publication date: 20/12/2020
Last modified:
21/07/2021
Descripción:
El archivo srs2.c en PostSRSd versiones anteriores a 1.10, permite a atacantes remotos causar una denegación de servicio (consumo de la CPU) por medio de una etiqueta timestamp en una dirección SRS
Vulnerabilidad en ASP.NET (CVE-2018-8171)
Gravedad:
MediaMedia
Publication date: 10/07/2018
Last modified:
30/06/2021
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad en ASP.NET cuando el número de intentos de inicio de sesión incorrectos no se valida. Esto también se conoce como "ASP.NET Security Feature Bypass Vulnerability". Esto afecta a ASP.NET, ASP.NET Core 1.1, ASP.NET Core 1.0, ASP.NET Core 2.0 y ASP.NET MVC 5.2.
Vulnerabilidad en la función TextEncoder.EncodeCore en System.Text.Encodings.Web en ASP.NET Core Mvc (CVE-2017-0247)
Gravedad:
MediaMedia
Publication date: 12/05/2017
Last modified:
30/06/2021
Descripción:
Se presenta una vulnerabilidad de denegación de servicio cuando el Core de ASP.NET no puede comprobar apropiadamente las peticiones web. NOTA: Microsoft no ha comentado en reclamos de terceros de que el problema es que la función TextEncoder.EncodeCore en el paquete System.Text.Encodings.Web en ASP.NET Core Mvc versiones anteriores a 1.0.4 y versiones 1.1.x anteriores a 1.1.3 permite a los atacantes remotos causar una denegación de servicio aprovechando un fallo en calcular apropiadamente la longitud de los caracteres de 4 bytes en el rango sin carácter Unicode.
Vulnerabilidad en la funcionalidad Lua relacionada con los módulos o funciones os, io, package, dofile, loadfile, loadlib, module, y require en freeciv (CVE-2010-2445)
Gravedad:
AltaAlta
Publication date: 08/07/2010
Last modified:
30/06/2021
Descripción:
freeciv versión 2.2 anterior a 2.2.1 y versión 2.3 anterior a 2.3.0, permite a los atacantes leer archivos arbitrarios o ejecutar comandos arbitrarios por medio de un argumento que contiene la funcionalidad Lua, relacionada con los módulos o funciones (1) os, (2) io, (3) package, (4 ) dofile, (5) loadfile, (6) loadlib, (7) module, y (8) require.