Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la función Merge() en el paquete ts-nodash (CVE-2021-23403)
Gravedad:
AltaAlta
Publication date: 02/07/2021
Last modified:
06/07/2021
Descripción:
Todas las versiones del paquete ts-nodash son vulnerables a una contaminación de prototipos por medio de la función Merge() debido a una falta de comprobación de entrada
Vulnerabilidad en los endpoints "RegisterPeerAction" y AddChildDirectoryAction" en Emissary (CVE-2021-32639)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
06/07/2021
Descripción:
Emissary es un motor de flujo de trabajo basado en datos P2P. La versión 6.4.0 de Emissary es vulnerable a ataques de tipo Server-Side Request Forgery (SSRF). En particular, el endpoint "RegisterPeerAction" y el endpoint "AddChildDirectoryAction" son vulnerables a SSRF. Esta vulnerabilidad puede conllevar a un filtrado de credenciales. Emissary versión 7.0 contiene un parche. Como solución alternativa, desactive el acceso de red a Emissary desde fuentes no confiables
Vulnerabilidad en la funcionalidad main en el paquete record-like-deep-assign (CVE-2021-23402)
Gravedad:
AltaAlta
Publication date: 02/07/2021
Last modified:
06/07/2021
Descripción:
Todas las versiones del paquete record-like-deep-assign son vulnerables a la Contaminación del Prototipo por medio de la funcionalidad main
Vulnerabilidad en el componente "ListItem" en el formulario frontend del Panel en Kirby (CVE-2021-32735)
Gravedad:
BajaBaja
Publication date: 02/07/2021
Last modified:
06/07/2021
Descripción:
Kirby es un sistema de administración de contenidos. En las versiones 3.5.5 y 3.5.6 de Kirby CMS, el componente "ListItem" del Panel (usado en la sección de páginas y archivos, por ejemplo) mostraba HTML en los títulos de las páginas tal cual. Esto podía ser usado para ataques de tipo cross-site scripting (XSS). Unos usuarios autenticados maliciosos del Panel pueden escalar sus privilegios si consiguen acceder a la sesión del Panel de un usuario administrador. Unos visitantes sin acceso al Panel pueden usar el vector de ataque si el sitio permite cambiar los datos del sitio desde un formulario del frontend. Kirby versión 3.5.7 parchea la vulnerabilidad. Como solución alternativa parcial, los administradores del sitio pueden protegerse contra los ataques de visitantes sin acceso al Panel al comprobar o sanear los datos proporcionados desde el formulario frontend
Vulnerabilidad en el parámetro id en el archivo mesdocs.ajax.php en azurWebEngine/eShop en azurWebEngine en Sita AzurCMS (CVE-2021-27950)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de inyección SQL en azurWebEngine en Sita AzurCMS versiones hasta 1.2.3.12, permite a un atacante autenticado ejecutar comandos SQL arbitrarios por medio del parámetro id en el archivo mesdocs.ajax.php en azurWebEngine/eShop. Por defecto, la consulta es ejecutada como DBA
Vulnerabilidad en una carga útil en el campo "Snippet content" bajo el módulo "Edit Snippet" en Monstra CMS (CVE-2020-23219)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Monstra CMS versión 3.0.4, permite a atacantes ejecutar código arbitrario por medio de una carga útil diseñada introducida en el campo "Snippet content" bajo el módulo "Edit Snippet"
Vulnerabilidad en una carga útil en el campo "Add a list" bajo el módulo "Import Emails" en phplist (CVE-2020-23217)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Add a list" bajo el módulo "Import Emails"
Vulnerabilidad en una carga útil en el campo "Configure categories" del módulo "Categorise Lists" en phplist (CVE-2020-23214)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Configure categories" del módulo "Categorise Lists"
Vulnerabilidad en una carga útil en el campo "List Description" en el módulo "Edit A List" en phplist (CVE-2020-23209)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "List Description" en el módulo "Edit A List"
Vulnerabilidad en una carga útil en el campo "Send test" en el módulo "Start or continue campaign" en phplist (CVE-2020-23208)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Send test" en el módulo "Start or continue campaign"
Vulnerabilidad en una carga útil en el campo "Edit Values" bajo el módulo "Configure Attributes" en phplist (CVE-2020-23207)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en phplist versión 3.5.3, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil diseñada introducida en el campo "Edit Values" bajo el módulo "Configure Attributes"
Vulnerabilidad en la funcionalidad client auto update en C-CURE 9000 (CVE-2021-27660)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Una funcionalidad no segura de actualización automática de clientes en C-CURE 9000, puede permitir una ejecución remota de programas de Windows con menos privilegios
Vulnerabilidad en los detalles de usuarios en Zoho ManageEngine Applications Manager (CVE-2021-31813)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
21/09/2021
Descripción:
Zoho ManageEngine Applications Manager versiones anteriores a 15130, es vulnerable a un ataque de tipo XSS Almacenado al importar detalles de usuarios maliciosos (por ejemplo, un nombre de usuario diseñado) desde AD
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22344)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Control de Acceso inapropiado en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar un DoS temporal
Vulnerabilidad en la configuración en el Smartphone de Huawei (CVE-2021-22343)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Defecto de Configuración en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la integridad y disponibilidad del servicio
Vulnerabilidad en los pasos criptográficos en el Smartphone de Huawei (CVE-2020-9158)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Malta de Psos Criptográficos en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar DoS de Samgr
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22347)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Control de Acceso Inapropiado en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar DoS temporal
Vulnerabilidad en vectores no especificados en IkaIka RSS Reader (CVE-2021-20752)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting en IkaIka RSS Reader todas las versiones permite a un atacante remoto inyectar un script arbitrario por medio de vectores no especificados
Vulnerabilidad en la función grk::FileFormatDecompress::apply_palette_clr en Grok (CVE-2021-36089)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Grok versiones 7.6.6 hasta 9.2.0, presenta un desbordamiento de búfer basado en la región heap de la memoria en la función grk::FileFormatDecompress::apply_palette_clr (llamado desde grk::FileFormatDecompress::applyColour)
Vulnerabilidad en la función avifDecoderDataFillImageGrid en libavif (CVE-2020-36407)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
libavif versiones 0.8.0 y 0.8.1, presenta una escritura fuera de límites en la función avifDecoderDataFillImageGrid
Vulnerabilidad en la función uWS::TopicTree::trimTree en uWebSockets (CVE-2020-36406)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
uWebSockets versiones 18.11.0 y 18.12.0, presenta un desbordamiento de búfer en la región stack de la memoria en la función uWS::TopicTree::trimTree (llamado desde uWS::TopicTree::unsubscribeAll)
Vulnerabilidad en la función llvm_ks::X86Operand::getToken en Keystone Engine (CVE-2020-36405)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Keystone Engine versión 0.9.2, presenta un uso de la memoria previamente liberada en la función llvm_ks::X86Operand::getToken
Vulnerabilidad en la función llvm_ks::SmallVectorImpl(llvm_ks::MCFixup)::~SmallVectorImpl en Keystone Engine (CVE-2020-36404)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Keystone Engine versión 0.9.2, presenta una liberación no válida en la función llvm_ks::SmallVectorImpl(llvm_ks::MCFixup)::~SmallVectorImpl
Vulnerabilidad en la función vcf_parse_format en HTSlib (CVE-2020-36403)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
HTSlib versiones 1.10 hasta 1.10.2, permite un acceso de escritura fuera de límites en la función vcf_parse_format (llamado desde vcf_parse y vcf_read)
Vulnerabilidad en la función smtutil::CHCSmtLib2Interface::querySolver en Solidity (CVE-2020-36402)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Solidity versión 0.7.5, presenta un problema de tipo stack-use-after-return en la función smtutil::CHCSmtLib2Interface::querySolver. NOTA: c39a5e2b7a3fabbf687f53a2823fc087be6c1a7e se cita en el campo "fixed" de OSV pero no presenta un cambio de código
Vulnerabilidad en la función mrb_default_allocf en mruby (CVE-2020-36401)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
mruby versión 2.1.2, presenta una doble liberación en la función mrb_default_allocf (llamado desde mrb_free y obj_free)
Vulnerabilidad en la función zmq::tcp_read en ZeroMQ libzmq (CVE-2020-36400)
Gravedad:
AltaAlta
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
ZeroMQ libzmq versión 4.3.3, presenta un desbordamiento de búfer en la región heap de la memoria en la función zmq::tcp_read, una vulnerabilidad diferente a CVE-2021-20235
Vulnerabilidad en la función TableLookUp::setTable en RawSpeed (CVE-2018-25017)
Gravedad:
AltaAlta
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
RawSpeed (también se conoce como librawspeed) versión 3.1 presenta un desbordamiento de búfer en la región heap de la memoria en la función TableLookUp::setTable
Vulnerabilidad en una aplicación en QTS y QuTS hero (CVE-2021-28802)
Gravedad:
AltaAlta
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Se ha reportado de una vulnerabilidad de inyección de comandos que afecta a QTS y QuTS hero. Si es explotada, esta vulnerabilidad permite a atacantes ejecutar comandos arbitrarios en una aplicación comprometida. Este problema afecta a: QNAP Systems Inc. versiones de QTS anteriores a 4.5.1.1540 build 20210107. QNAP Systems Inc. QuTS hero versiones anteriores a h4.5.1.1582 build 20210217
Vulnerabilidad en NAS de QNAP en QuLog Center (CVE-2020-36196)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Se ha reportado de una vulnerabilidad de tipo XSS almacenado que afecta al NAS de QNAP que ejecuta QuLog Center. Si es explotada, esta vulnerabilidad permite a atacantes inyectar código malicioso. Este problema afecta: QNAP Systems Inc. versiones de QuLog Center anteriores a 1.2.0
Vulnerabilidad en NAS de QNAP en QTS y QuTS hero (CVE-2020-36194)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
06/07/2021
Descripción:
Se ha reportado de una vulnerabilidad de tipo XSS que afecta a NAS de QNAP que ejecutan QTS y QuTS hero. Si es explotada, esta vulnerabilidad permite a atacantes inyectar código malicioso. Este problema afecta: QNAP Systems Inc. Versiones de QTS anteriores a 4.5.2.1566 Build 20210202. versiones de QNAP Systems Inc. QuTS hero anteriores a h4.5.2.1638 build 20210414. Este problema no afecta: QNAP Systems Inc. versión QTS 4.5.3
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22345)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de comprobación de entrada en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar una escritura de memoria fuera de límites
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22352)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Defecto de Configuración en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede permitir a atacantes secuestrar el dispositivo y falsificar las interfaces de usuario para inducir a los usuarios a ejecutar comandos maliciosos
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22351)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Errores de Administración de Credenciales en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede inducir a los usuarios a conceder permisos en la modificación de elementos en la tabla de configuración, causando excepciones del sistema
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22350)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Límite de Funcionamiento Inapropiado del Búfer de Memoria en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar que el dispositivo se bloquee y se reinicie
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22349)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Verificación de Entrada en el Smartphone de Huawei. Una explotación con éxito de una comprobación de entrada insuficiente puede causar que el sistema se reinicie
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22348)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Límite de Funcionamiento Inapropiado del Búfer de Memoria en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar una ejecución de código
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22346)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Administración de Permisos Inapropiada en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede conllevar a una divulgación de los hábitos del usuario
Vulnerabilidad en el componente File Manager en Artica Pandora FMS (CVE-2021-34075)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
En Artica Pandora FMS versiones anteriores a 754 incluyéndola, en el componente File Manager, presenta información confidencial expuesta en el lado del cliente a la que los atacantes pueden acceder
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22368)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Control de Permisos en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar el uso normal del dispositivo
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22367)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Errores de Administración de Claves en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede conllevar a la evasión de la autenticación
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22353)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Límite de Funcionamiento Inapropiado del Búfer de Memoria en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar el reinicio del kernel
Vulnerabilidad en la creación de peticiones en el plugin Jenkins requests-plugin (CVE-2021-21675)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en el plugin Jenkins requests-plugin versiones 2.2.12 y anteriores permite a atacantes crear peticiones y/o hacer que los administradores apliquen peticiones pendientes
Vulnerabilidad en una URL en Jenkins CAS Plugin (CVE-2021-21673)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Jenkins CAS Plugin versiones 1.6.0 y anteriores determina inapropiadamente que una URL de redireccionamiento después del inicio de sesión está apuntando legítimamente a Jenkins, permitiendo a atacantes llevar a cabo ataques de phishing
Vulnerabilidad en el analizador XML en el plugin Jenkins Selenium HTML report (CVE-2021-21672)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Jenkins Selenium HTML report Plugin versiones 1.0 y anteriores no configura su analizador XML para prevenir ataques de tipo XML external entity (XXE)
Vulnerabilidad en el inicio de sesión en Jenkins (CVE-2021-21671)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Jenkins versiones 2.299 y anteriores, versiones LTS 2.289.1 y anteriores no invalidan la sesión anterior al iniciar sesión
Vulnerabilidad en Jenkins (CVE-2021-21670)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Jenkins versiones 2.299 y anteriores, versiones LTS 2.289.1 y anteriores, permiten a usuarios cancelar elementos de la cola y abortar construcciones de trabajos para los que tienen permiso de Elemento/Cancelación incluso cuando no tienen permiso de Elemento/Lectura
Vulnerabilidad en Veeam Backup and Replication (CVE-2021-35971)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Veeam Backup and Replication versiones 10 anteriores a 10.0.1.4854 P20210609 y versiones 11 anteriores a 11.0.0.837 P20210507, maneja inapropiadamente la deserialización durante el remoting de Microsoft .NET
Vulnerabilidad en GraphQL en Talk 4 en Coral (CVE-2021-35970)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Talk 4 en Coral versiones anteriores a 4.12.1, permite a atacantes remotos detectar direcciones de correo electrónico y otra información confidencial por medio de GraphQL porque las comprobaciones de permisos usan un tipo de datos incorrecto
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22374)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Comprobación Inapropiada de Índices de Matrices en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede causar riesgos de estabilidad
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22373)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Defectos Introducidos en el Proceso de Diseño en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la integridad y disponibilidad del servicio
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22371)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Administración de Permisos en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad del servicio
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22369)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Condición de Carrera en Time-of-check Time-of-use (TOCTOU) en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede escalar el permiso hasta el del usuario root
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22323)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de desbordamiento de enteros en el Smartphone de Huawei. Una explotación con éxito de estas vulnerabilidades puede escalar el permiso al del usuario root
Vulnerabilidad en un archivo djvu en el archivo DjVuText.cpp en la función DJVU::DjVuTXT::decode() en DjVuLibre (CVE-2021-3630)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
14/07/2021
Descripción:
Se ha encontrado una vulnerabilidad de escritura fuera de los límites en DjVuLibre en la función DJVU::DjVuTXT::decode() en el archivo DjVuText.cpp por medio de un archivo djvu diseñado que puede conllevar a un fallo de bloqueo y segmentación. Este fallo afecta a las versiones de DjVuLibre versiones anteriores a 3.5.28
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22380)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Transmisión de Información Confidencial en Texto sin cifrar en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad y disponibilidad del servicio
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22376)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de administración de permisos inapropiada en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad, disponibilidad e integridad del servicio
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22375)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Errores de Administración de Claves en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad, la disponibilidad y la integridad del servicio
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22372)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de las Funcionalidades de Seguridad en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad del servicio
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22370)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una Vulnerabilidad de Errores de Administración de Credenciales en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad del servicio
Vulnerabilidad en el Smartphone de Huawei (CVE-2021-22326)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se presenta una vulnerabilidad de Asignación Incorrecta de Privilegios en el Smartphone de Huawei. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad del servicio
Vulnerabilidad en Plixer Scrutinizer (CVE-2021-28993)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Plixer Scrutinizer versión 19.0.2, está afectado por una Inyección SQL. El impacto es: obtención de información confidencial (remota)
Vulnerabilidad en la Descripción del Sensor, Correo Electrónico (de /a/c), Nombre del Sistema, y la Ubicación de Archivos del Sistema en el servidor web de AKCP sensorProbe (CVE-2021-35956)
Gravedad:
BajaBaja
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en el servidor web insertado de AKCP sensorProbe versiones anteriores a SP480-20210624 permite a atacantes remotos autenticados introducir JavaScript arbitrario por medio de la Descripción del Sensor, Correo Electrónico (de /a/c), Nombre del Sistema, y la Ubicación de archivos del Sistema
Vulnerabilidad en los cambios administrativos en Craft CMS (CVE-2021-27903)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se ha detectado un problema en Craft CMS versiones anteriores a 3.6.7. En algunas circunstancias, se presentaba una potencial vulnerabilidad de ejecución de código remota en sitios que no restringían los cambios administrativos (si un atacante era capaz de secuestrar de alguna manera la sesión de un administrador)
Vulnerabilidad en los formularios del front-end en Craft CMS (CVE-2021-27902)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Se ha detectado un problema en Craft CMS versiones anteriores a 3.6.0. En algunas circunstancias, se presentaba una potencial vulnerabilidad de tipo XSS en relación con los formularios del front-end que aceptaban las cargas de los usuarios
Vulnerabilidad en "XML2Dict" (CVE-2021-25951)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Una vulnerabilidad de tipo XXE en "XML2Dict" versión 0.2.2, permite a un atacante causar una denegación de servicio
Vulnerabilidad en el cálculo de una longitud en el kernel NVIDIA TLK en Trusty TLK (CVE-2021-34385)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty TLK contiene una vulnerabilidad en el kernel NVIDIA TLK donde un desbordamiento de enteros en el cálculo de una longitud podría conllevar a un desbordamiento de heap
Vulnerabilidad en el cargador de arranque en NVIDIA MB2 (CVE-2021-34384)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
El cargador de arranque contiene una vulnerabilidad en NVIDIA MB2 donde un potencial desbordamiento de pila podría causar una corrupción de memoria, lo que podría conllevar a una denegación de servicio o una ejecución de código
Vulnerabilidad en el cargador de arranque en NVIDIA MB2 (CVE-2021-34383)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
El cargador de arranque contiene una vulnerabilidad en NVIDIA MB2 donde un potencial desbordamiento de pila podría conllevar a una denegación de servicio o una escalada de privilegios
Vulnerabilidad en la función tz_map_shared_mem en el parámetro size en el kernel de NVIDIA TLK en Trusty TLK (CVE-2021-34382)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty TLK contiene una vulnerabilidad en la función tz_map_shared_mem del kernel de NVIDIA TLK en la que un desbordamiento de enteros en el parámetro size causa que el búfer de petición y búfer del registro se desborden, permitiendo escribir en direcciones arbitrarias dentro del kernel
Vulnerabilidad en la función tz_map_shared_mem en el parámetro size en la función del kernel NVIDIA TLK en Trusty TLK (CVE-2021-34381)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty TLK contiene una vulnerabilidad en la función del kernel NVIDIA TLK donde la falta de comprobaciones permite la explotación de un desbordamiento de enteros en el parámetro size de la función tz_map_shared_mem, lo que podría conllevar a una denegación de servicio, divulgación de información o manipulación de datos
Vulnerabilidad en los metadatos de la pila en el cargador de arranque en NVIDIA MB2 (CVE-2021-34380)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
El cargador de arranque contiene una vulnerabilidad en NVIDIA MB2 en la que un posible desbordamiento de la pila podría causar una corrupción de los metadatos de la pila, lo que podría conllevar a una ejecución de código arbitraria, denegación de servicio y una divulgación de información durante el arranque seguro
Vulnerabilidad en el servicio HDCP TA en la longitud de un parámetro I/O en el comando 10 en Trusty (CVE-2021-34379)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty contiene una vulnerabilidad en el servicio HDCP TA donde falta la comprobación de límites en el comando 10. La longitud de un parámetro del búfer I/O no es comprobada, lo que podría conllevar a una corrupción de memoria
Vulnerabilidad en el servicio HDCP TA en el comando 11 en Trusty (CVE-2021-34378)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty contiene una vulnerabilidad en el servicio HDCP TA donde falta la comprobación de límites en el comando 11. La restricción inapropiada de las operaciones dentro de los límites de un búfer de memoria podría conllevar a una divulgación de información, la denegación de servicio o la escalada de privilegios
Vulnerabilidad en el servicio HDCP TA en el comando 9 en Trusty (CVE-2021-34377)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty contiene una vulnerabilidad en el servicio HDCP TA donde falta la comprobación de límites en el comando 9. La restricción inapropiada de las operaciones dentro de los límites de un búfer de memoria podría conllevar a una escalada de privilegios, la divulgación de información y una denegación de servicio
Vulnerabilidad en el servicio HDCP TA en el comando 5 en Trusty (CVE-2021-34376)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty contiene una vulnerabilidad en el servicio HDCP TA donde falta la comprobación de límites en el comando 5. La restricción inapropiada de las operaciones dentro de los límites de un búfer de memoria podría conllevar a una denegación de servicio, una escalada de privilegios y la divulgación de información
Vulnerabilidad en las aplicaciones (TAs) en la cookie de la pila en Trusty (CVE-2021-34375)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty contiene una vulnerabilidad en todas las aplicaciones confiables (TAs) donde la cookie de la pila no fue aleatoria, lo que podría resultar en un desbordamiento del búfer en la región stack de la memoria, conllevando a una denegación de servicio, escalada de privilegios y divulgación de información
Vulnerabilidad en los manejadores de comandos en la longitud de los búferes de entrada en Trusty (CVE-2021-34374)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty contiene una vulnerabilidad en los manejadores de comandos donde la longitud de los búferes de entrada no es verificada. Esta vulnerabilidad puede causar una corrupción de la memoria, lo que puede conllevar a una divulgación de información, escalada de privilegios y una denegación de servicio
Vulnerabilidad en el kernel TLK de NVIDIA en Trusty trusted Linux kernel (TLK) (CVE-2021-34373)
Gravedad:
BajaBaja
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Trusty trusted Linux kernel (TLK) contiene una vulnerabilidad en el kernel TLK de NVIDIA en la que la falta de endurecimiento de la pila podría causar desbordamientos de pila, lo que podría conllevar a una divulgación de información y denegación de servicio
Vulnerabilidad en un título de imagen en la etapa de carga de imágenes en Chevereto (CVE-2021-31721)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
17/09/2021
Descripción:
Chevereto versiones anteriores a 3.17.1, permite un ataque de tipo Cross Site Scripting (XSS) por medio de un título de imagen en la etapa de carga de imágenes
Vulnerabilidad en la ejecución de comandos CLI en las consolas de administración web en Symantec Advanced Secure Gateway (ASG) y ProxySG (CVE-2021-30648)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
06/07/2021
Descripción:
Las consolas de administración web Symantec Advanced Secure Gateway (ASG) y ProxySG son susceptibles a una vulnerabilidad de omisión de autenticación. Un atacante no autenticado puede ejecutar comandos CLI arbitrarios, ver/modificar la configuración y la política del dispositivo, y apagar/reiniciar el dispositivo
Vulnerabilidad en una API de administrador en Western Digital WD My Book Live y WD My Book Live Duo (CVE-2021-35941)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
06/07/2021
Descripción:
Western Digital WD My Book Live (versiones 2.x y posteriores) y WD My Book Live Duo (todas las versiones) presentan una API de administrador que puede llevar a cabo una restauración de fábrica del sistema sin autenticación, tal como fue explotado en the wild en junio de 2021, una vulnerabilidad diferente a la CVE-2018-18472
Vulnerabilidad en la funcionalidad trailing slash redirection en PowerMux (CVE-2021-32721)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
06/07/2021
Descripción:
PowerMux es un sustituto de http.ServeMux de Go. En las versiones de PowerMux anteriores a 1.1.1, los atacantes pueden ser capaces de diseñar enlaces de suplantación de identidad y otras redireccionamiento abiertos al explotar la funcionalidad trailing slash redirection. Esto puede conllevar a que los usuarios sean redirigidos a sitios no confiables después de seguir un enlace diseñado por un atacante. El problema se ha resuelto en la versión 1.1.1. No hay soluciones existentes
Vulnerabilidad en diversos componentes de TIBCO (CVE-2021-28830)
Gravedad:
AltaAlta
Publication date: 29/06/2021
Last modified:
06/07/2021
Descripción:
Los componentes TIBCO Spotfire Server y TIBCO Enterprise Runtime for R de TIBCO Software Inc. 's TIBCO Enterprise Runtime for R - Server Edition, TIBCO Enterprise Runtime for R - Server Edition, TIBCO Enterprise Runtime for R - Server Edition, TIBCO Spotfire Analytics Platform for AWS Marketplace, TIBCO Spotfire Server, TIBCO Spotfire Server, TIBCO Spotfire Statistics Services, TIBCO Spotfire Statistics Services, y TIBCO Spotfire Statistics Services contienen una vulnerabilidad que teóricamente permite a un atacante poco privileagiado y con acceso local en el sistema operativo Windows insertar software malicioso. El componente afectado puede ser abusado para ejecutar el software malicioso insertado por el atacante con los privilegios elevados del componente. Esta vulnerabilidad resulta de la búsqueda de artefactos en tiempo de ejecución por parte del componente afectado fuera de la jerarquía de instalación. Las versiones afectadas son TIBCO Enterprise Runtime for R - Server Edition de TIBCO Software Inc.: versiones 1.2.4 y posteriores, TIBCO Enterprise Runtime for R - Server Edition: versiones 1.3.0 y 1.3.1, TIBCO Enterprise Runtime for R - Server Edition: versiones 1.4.0, 1.5.0 y 1.6.0, TIBCO Spotfire Analytics Platform for AWS Marketplace: versiones 11.3.0 y posteriores, TIBCO Spotfire Server: versiones 10.3. 12 e inferiores, TIBCO Spotfire Server: versiones 10.4.0, 10.5.0, 10.6.0, 10.6.1, 10.7.0, 10.8.0, 10.8.1, 10.9.0, 10.10.0, 10.10.1, 10.10.2, 10.10.3 y 10.10.4, TIBCO Spotfire Server: versiones 11.0.0, 11.1.0, 11.2.0 y 11. 3.0, TIBCO Spotfire Statistics Services: versiones 10.3.0 e inferiores, TIBCO Spotfire Statistics Services: versiones 10.10.0, 10.10.1 y 10.10.2, y TIBCO Spotfire Statistics Services: versiones 11.1.0, 11.2.0 y 11.3.0
Vulnerabilidad en un descriptor de servicio onion en Tor (CVE-2021-34550)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
20/09/2021
Descripción:
Se ha detectado un problema en Tor versiones anteriores a 0.4.6.5, también se conoce como TROVE-2021-006. El análisis del descriptor del servicio de v3 onion, permite un acceso a la memoria fuera de límites, y un bloqueo del cliente, por medio de un descriptor de servicio onion diseñado
Vulnerabilidad en un hashing en Tor (CVE-2021-34549)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
20/09/2021
Descripción:
Se ha detectado un problema en Tor versiones anteriores a 0.4.6.5, también se conoce como TROVE-2021-005. Un hashing es manejado inapropiadamente para determinadas recuperaciones de datos del circuito. Consecuentemente, un atacante puede desencadenar un ID de circuito elegido por el atacante para causar ineficiencia en el algoritmo
Vulnerabilidad en un frontend de red PV en Linux xen-netback (CVE-2021-28691)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
05/08/2021
Descripción:
Un uso de memoria previamente liberada desencadenado por el usuario en Linux xen-netback. Un frontend de red PV malicioso o con errores puede forzar a Linux netback a deshabilitar la interfaz y terminar el hilo del kernel de recepción asociado a la cola 0 en respuesta al envío de un paquete malformado por parte del frontend. Esta terminación del hilo del kernel conllevará un uso de memoria previamente liberada en Linux netback cuando es destruído el backend, ya que el hilo del kernel asociado a la cola 0 ya habrá salido y, por tanto, la llamada a la función kthread_stop se llevará a cabo contra un puntero obsoleto
Vulnerabilidad en una entrada de usuario en el paquete nodemailer (CVE-2021-23400)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
06/07/2021
Descripción:
El paquete nodemailer versiones anteriores a 6.6.1, es vulnerable a una inyección de encabezados HTTP si una entrada de usuario no saneada que puede contener newlines y carriage returns dentro de un objeto de dirección
Vulnerabilidad en las funciones RELAY_END o RELAY_RESOLVED en Tor (CVE-2021-34548)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
14/09/2021
Descripción:
Se ha detectado un problema en Tor versiones anteriores a 0.4.6.5, también se conoce como TROVE-2021-003. Un atacante puede falsificar las funciones RELAY_END o RELAY_RESOLVED para omitir el control de acceso previsto para terminar un flujo
Vulnerabilidad en la WebAPI de nuevos clientes en Magento (CVE-2021-28585)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Magento versiones 2.4.2 (y anteriores), versiones 2.4.1-p1 (y anteriores) y versiones 2.3.6-p1 (y anteriores), están afectadas por una vulnerabilidad de comprobación inapropiada de entrada en la WebAPI de nuevos clientes. Una explotación con éxito podría permitir a un atacante enviar correos electrónicos de spam no solicitados
Vulnerabilidad en la creación de una tienda con child theme en Magento (CVE-2021-28584)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Magento versiones 2.4.2 (y anteriores), versiones 2.4.1-p1 (y anteriores) y versiones 2.3.6-p1 (y anteriores), están afectadas por una vulnerabilidad de Salto de Ruta cuando se crea una tienda con child theme. Una explotación con éxito podría conllevar a una escritura arbitraria en el sistema de archivos por parte de un atacante autenticado. Es requerido un acceso a la consola de administración para que una explotación sea exitosa
Vulnerabilidad en los formatos de nombre de archivo RMA PDF en Magento (CVE-2021-28583)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Magento versiones 2.4.2 (y anteriores), versiones 2.4.1-p1 (y anteriores) y versiones 2.3.6-p1 (y anteriores), están afectadas por una vulnerabilidad de Violation of Secure Design Principles en los formatos de nombre de archivo RMA PDF. Una explotación con éxito podría permitir a un atacante conseguir acceso no autorizado a recursos restringidos
Vulnerabilidad en el análisis de un archivo en Adobe Animate (CVE-2021-28576)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe Animate versiones 21.0.5 (y anteriores), está afectada por una vulnerabilidad de lectura fuera de límites cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para divulgar información confidencial en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo en Adobe Animate (CVE-2021-28575)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe Animate versiones 21.0.5 (y anteriores), está afectada por una vulnerabilidad de lectura fuera de límites cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para divulgar información confidencial en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo en Adobe Animate (CVE-2021-28574)
Gravedad:
MediaMedia
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe Animate versiones 21.0.5 (y anteriores), está afectada por una vulnerabilidad de lectura fuera de límites cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para divulgar información confidencial en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo en Adobe Illustrator (CVE-2021-21102)
Gravedad:
AltaAlta
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe Illustrator versiones 25.2 (y anteriores), está afectada por una vulnerabilidad de Salto de Ruta cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo en Adobe Illustrator (CVE-2021-21101)
Gravedad:
AltaAlta
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe Illustrator versiones 25.2 (y anteriores), está afectada por una vulnerabilidad de escritura fuera de límites cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo en Adobe InDesign (CVE-2021-21099)
Gravedad:
AltaAlta
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe InDesign versiones 16.0 (y anteriores), está afectada por una vulnerabilidad de escritura fuera de límites cuando se analiza un archivo diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código remota en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo en Adobe InDesign (CVE-2021-21098)
Gravedad:
AltaAlta
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe InDesign versiones 16.0 (y anteriores), está afectada por una vulnerabilidad de escritura fuera de límites cuando se analiza un archivo diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código remota en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en el análisis de un archivo en Adobe InCopy (CVE-2021-21090)
Gravedad:
AltaAlta
Publication date: 28/06/2021
Last modified:
06/07/2021
Descripción:
Adobe InCopy versiones 16.0 (y anteriores), está afectada por una vulnerabilidad de salto de ruta cuando se analiza un archivo diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código remota en el contexto del usuario actual. Una explotación de este problema requiere una interacción del usuario, en que la víctima debe abrir un archivo malicioso
Vulnerabilidad en vectores no especificados en Hitachi Virtual File Platform (CVE-2021-20740)
Gravedad:
AltaAlta
Publication date: 27/06/2021
Last modified:
06/07/2021
Descripción:
Hitachi Virtual File Platform versiones anteriores a 5.5.3-09 y anteriores a 6.4.3-09, y versiones de NEC Storage M Series NAS Gateway Nh4a/Nh8a anteriores a FOS 5.5.3-08(NEC2.5.4a) y las versiones Nh4b/Nh8b, Nh4c/Nh8c anteriores a FOS 6.4.3-08(NEC3.4.2) permiten a atacantes remotos autenticados ejecutar comandos arbitrarios del Sistema Operativo con privilegios de root por medio de vectores no especificados
Vulnerabilidad en el uso del ID en el procedimiento del sistema (USER_AUTHENTICATE_) en ETINET BACKBOX (CVE-2021-33895)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
06/07/2021
Descripción:
ETINET BACKBOX versiones E4.09 y H4.09 administra inapropiadamente el control de acceso a la contraseña. Cuando un usuario usa el ID de usuario del proceso que ejecuta BBSV para iniciar sesión en la aplicación Backbox UI, el procedimiento del sistema (USER_AUTHENTICATE_) usado para comprobar si la Contraseña devuelve 0 (sin error). La razón es que el usuario no está ejecutando la aplicación XYGate. Por lo tanto, BBSV asume que la contraseña es correcta. Para la versión H4.09, la versión afectada es T0954V04^AAO. Para versión E4.09, la versión afectada es 22SEP2020
Vulnerabilidad en una clave OpenPGP en Thunderbird (CVE-2021-23993)
Gravedad:
MediaMedia
Publication date: 24/06/2021
Last modified:
06/07/2021
Descripción:
Un atacante puede llevar a cabo un ataque DoS para impedir a un usuario de enviar un correo electrónico cifrado a un corresponsal. Si un atacante crea una clave OpenPGP diseñada con una subclave que presenta una autofirma no válida, y el usuario de Thunderbird importa la clave diseñada, entonces Thunderbird puede intentar usar la subclave no válida, pero la biblioteca RNP lo rechaza para ser usado, causando que el cifrado presente un fallo. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 78.9.1
Vulnerabilidad en un ataque de canal lateral en el archivo kernel/bpf/verifier.c en el kernel de Linux (CVE-2021-33624)
Gravedad:
MediaMedia
Publication date: 23/06/2021
Last modified:
06/07/2021
Descripción:
En el archivo kernel/bpf/verifier.c en el kernel de Linux versiones anteriores a 5.12.13, una rama puede ser mal predicha (por ejemplo, debido a la confusión de tipos) y, en consecuencia, un programa BPF no privilegiado puede leer ubicaciones de memoria arbitrarias por medio de un ataque de canal lateral, también conocido como CID-9183671af6db

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una página HTML en TabGroups en Google Chrome (CVE-2021-30557)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
20/09/2021
Descripción:
Un uso de memoria previamente liberada en TabGroups en Google Chrome versiones anteriores a 91.0.4472.114, permitía a un atacante que convenció a un usuario de instalar una extensión maliciosa para explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML y un gesto del usuario en WebAudio en Google Chrome (CVE-2021-30556)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
20/09/2021
Descripción:
Un uso de memoria previamente liberada en WebAudio en Google Chrome versiones anteriores a 91.0.4472.114, permitía a un atacante remoto explotar potencialmente la corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML y un gesto del usuario en Sharing en Google Chrome (CVE-2021-30555)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
20/09/2021
Descripción:
Un uso de memoria previamente liberada en Sharing en Google Chrome versiones anteriores a 91.0.4472.114, permitía a un atacante que convenció a un usuario de instalar una extensión maliciosa explotar potencialmente la corrupción de la pila por medio de una página HTML diseñada y un gesto del usuario
Vulnerabilidad en una página HTML en WebGL en Google Chrome (CVE-2021-30554)
Gravedad:
MediaMedia
Publication date: 02/07/2021
Last modified:
20/09/2021
Descripción:
Un uso de memoria previamente liberada en WebGL en Google Chrome versiones anteriores a 91.0.4472.114, permitía a un atacante remoto explotar potencialmente la corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en los subdirectorios /pme en Akkadian Provisioning Manager (CVE-2020-27361)
Gravedad:
MediaMedia
Publication date: 01/07/2021
Last modified:
09/09/2021
Descripción:
Se presenta un problema en Akkadian Provisioning Manager versión 4.50.02, que permite a atacantes visualizar información confidencial dentro de los subdirectorios /pme
Vulnerabilidad en la implementación del ajuste de configuración de System Appearance en IBM Cognos Analytics (CVE-2021-20461)
Gravedad:
MediaMedia
Publication date: 30/06/2021
Last modified:
20/09/2021
Descripción:
IBM Cognos Analytics versiones 10.0 y 11.1, es susceptible a una debilidad en la implementación del ajuste de configuración de System Appearance. Un atacante podría omitir la lógica empresarial para modificar la apariencia y el comportamiento de la aplicación. IBM X-Force ID: 196770
Vulnerabilidad en el plugin cachekey de Apache Traffic Server (CVE-2021-35474)
Gravedad:
AltaAlta
Publication date: 30/06/2021
Last modified:
20/09/2021
Descripción:
Una vulnerabilidad de desbordamiento del búfer en la región stack de la memoria en el plugin cachekey de Apache Traffic Server. Este problema afecta a Apache Traffic Server 7.0.0 a 7.1.12, 8.0.0 a 8.1.1, 9.0.0 a 9.0.1
Vulnerabilidad en un archivo diseñado cuando se usa la función tf.keras.utils.get_file con extract=True en TensorFlow (CVE-2021-35958)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
17/08/2021
Descripción:
** EN DISPUTA ** TensorFlow versiones hasta 2.5.0, permite a atacantes sobrescribir archivos arbitrarios por medio de un archivo diseñado cuando se usa la función tf.keras.utils.get_file con extract=True. NOTA: la posición del proveedor es que la función tf.keras.utils.get_file no está pensado para archivos no confiables
Vulnerabilidad en los fragmentos de url en Apache Traffic Server (CVE-2021-27577)
Gravedad:
MediaMedia
Publication date: 29/06/2021
Last modified:
20/09/2021
Descripción:
Una vulnerabilidad de manejo incorrecto de fragmentos de url de Apache Traffic Server, permite a un atacante envenenar la caché. Este problema afecta a Apache Traffic Server versiones 7.0.0 hasta 7.1.12, versiones 8.0.0 hasta 8.1.1, versiones 9.0.0 hasta 9.0.1
Vulnerabilidad en el paquete RPM en la funcionalidad read (CVE-2021-3421)
Gravedad:
MediaMedia
Publication date: 19/05/2021
Last modified:
20/07/2021
Descripción:
Se encontró un fallo en el paquete RPM en la funcionalidad read. Este fallo permite a un atacante que pueda convencer a una víctima de instalar un paquete aparentemente comprobable o comprometer un repositorio de RPM, causar una corrupción en la base de datos de RPM. La mayor amenaza de esta vulnerabilidad es la integridad de los datos. Este fallo afecta a versiones de RPM anteriores a 4.17.0-alpha
Vulnerabilidad en Software House C-CURE 9000 y American Dynamics victor Video Management System. (CVE-2020-9045)
Gravedad:
MediaMedia
Publication date: 21/05/2020
Last modified:
06/07/2021
Descripción:
Durante la instalación o actualización del Software House C-CURE 9000 versión v2.70 y American Dynamics victor Video Management System versión v5.2, las credenciales del usuario usadas para llevar a cabo la instalación o actualización son registradas en un archivo. El archivo de registro de instalación persiste después de la instalación.
Vulnerabilidad en Apache HTTP Server (CVE-2018-17189)
Gravedad:
MediaMedia
Publication date: 30/01/2019
Last modified:
06/07/2021
Descripción:
En Apache HTTP Server, en sus versiones 2.4.37 y anteriores, mediante el envío de cuerpos de respuesta mediante la técnica del "slow loris" a recursos planos, la transmisión h2 para esa petición ocupó de forma innecesaria un hilo de servidor que limpiaba tales datos entrantes. Esto afecta solo a las conexiones HTTP/2 (mod_http2).
Vulnerabilidad en el componente Oracle Agile Product Lifecycle Management for Process en Oracle Supply Chain Products Suite (CVE-2016-5504)
Gravedad:
MediaMedia
Publication date: 25/10/2016
Last modified:
06/07/2021
Descripción:
Vulnerabilidad no especificada en el componente Oracle Agile Product Lifecycle Management for Process en Oracle Supply Chain Products Suite 6.1.0.4, 6.1.1.6 y 6.2.0.0 permite a usuarios locales afectar la confidencialidad a través de vectores relacionados con Supplier Portal.