Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el atributo User Avatar en Zammad (CVE-2021-35303)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
02/07/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Zammad versiones 1.0.x hasta 4.0.0, permite a atacantes remotos ejecutar un script web o HTML arbitrario por medio del atributo User Avatar
Vulnerabilidad en los Tickets en Zammad (CVE-2021-35302)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
02/07/2021
Descripción:
Un Control de Acceso Incorrecto para los Tickets vinculados en Zammad versiones 1.0.x hasta 4.0.0, permite a atacantes remotos obtener información confidencial
Vulnerabilidad en la visualización de detalles Ticket Article en Zammad (CVE-2021-35301)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
02/07/2021
Descripción:
Un Control de Acceso Incorrecto en Zammad versiones 1.0.x hasta 4.0.0, permite a atacantes remotos obtener información confidencial por medio de la visualización de detalles Ticket Article
Vulnerabilidad en los campos de formularios en AEM (CVE-2021-21084)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
02/07/2021
Descripción:
AEM oferta de Servicios en la Nube, así como las versiones 6.5.7.0 (y posteriores), versiones 6.4.8.3 (y posteriores) y versiones 6.3.3.8 (y posteriores), están afectadas por una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado que podría ser abusada por un atacante para inyectar scripts maliciosos en campos de formularios vulnerables. El JavaScript malicioso podría ser ejecutado en el navegador de la víctima cuando ésta navega a la página que contiene el campo vulnerable
Vulnerabilidad en el nombre del título o del autor de una novela en Narou (CVE-2021-35514)
Gravedad:
AltaAlta
Publication date: 28/06/2021
Last modified:
02/07/2021
Descripción:
Narou (también se conoce como Narou.rb) versiones anteriores a 3.8.0, permite una inyección de código Ruby por medio del nombre del título o del autor de una novela

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los comandos STARTTLS en lib-smtp en el servicio de envío en Dovecot (CVE-2021-33515)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
20/09/2021
Descripción:
El servicio de envío en Dovecot versiones anteriores a 2.3.15, permite la inyección de comandos STARTTLS en lib-smtp. La información confidencial puede ser redirigida a una dirección controlada por el atacante
Vulnerabilidad en la extensión regex en el motor Sieve en Dovecot (CVE-2020-28200)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
20/09/2021
Descripción:
El motor Sieve en Dovecot versiones anteriores a 2.3.15, permite un Consumo No controlado de Recursos, como es demostrado por una situación con una expresión regular compleja para la extensión regex