Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la funcionalidad DICOM parse_dicom_meta_info de Accusoft ImageGear (CVE-2021-21807)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
10/07/2021
Descripción:
Se presenta una vulnerabilidad de desbordamiento de enteros en la funcionalidad DICOM parse_dicom_meta_info de Accusoft ImageGear versión 19.9. Un archivo malformado especialmente diseñado puede conllevar a un desbordamiento del búfer en la región stack de la memoria. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en el parámetro ARTWARE CMS de la función image upload (CVE-2021-32538)
Gravedad:
AltaAlta
Publication date: 07/07/2021
Last modified:
10/07/2021
Descripción:
El parámetro ARTWARE CMS de la función image upload no filtra el tipo de archivos cargados, lo que permite a atacantes remotos cargar archivos arbitrarios sin iniciar sesión y, además, ejecutar código sin restricciones
Vulnerabilidad en la configuración de llamadas en Pexip Infinity (CVE-2020-25868)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
10/07/2021
Descripción:
Pexip Infinity versiones 22.x hasta 24.x anteriores a 24.2, presenta una comprobación inapropiada de entrada para la configuración de llamadas. Un atacante no autenticado remoto puede desencadenar una interrupción del software (pérdida temporal del servicio)
Vulnerabilidad en el parámetro data en una acción moove_read_xml en el plugin Import XML and RSS Feeds para WordPress (CVE-2020-24148)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
10/07/2021
Descripción:
Una vulnerabilidad de tipo Server-side request forgery (SSRF) en el plugin Import XML and RSS Feeds (import-xml-feed) versión 2.0.1 para WordPress, por medio del parámetro data en una acción moove_read_xml
Vulnerabilidad en el parámetro items[] en el plugin Media File Organizer para WordPress (CVE-2020-24144)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
10/07/2021
Descripción:
Un salto de Directorio en el plugin Media File Organizer (también se conoce como media-file-organizer) versión 1.0.1 para WordPress, permite a un atacante acceder a archivos almacenados fuera de la carpeta root de la web por medio del parámetro items[] en una operación de movimiento
Vulnerabilidad en el parámetro njt-tk-download-video en el plugin Video Downloader para TikTok para WordPress (CVE-2020-24142)
Gravedad:
AltaAlta
Publication date: 07/07/2021
Last modified:
10/07/2021
Descripción:
Una vulnerabilidad de tipo Server-side request forgery en el plugin Video Downloader para TikTok (también se conoce como downloader-tiktok) versión 1.3 para WordPress, permite a un atacante enviar peticiones diseñadas desde el servidor back-end de una aplicación web vulnerable por medio del parámetro njt-tk-download-video. Puede ayudar a identificar puertos abiertos, hosts de la red local y ejecutar comandos en los servicios
Vulnerabilidad en la función access control para acciones administrativas AJAX en el plugin WP Fluent Forms para WordPress (CVE-2021-34620)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
10/07/2021
Descripción:
El plugin WP Fluent Forms versiones anteriores a 3.6.67, para WordPress es vulnerable a un ataque de tipo Cross-Site Request Forgery conllevando a una vulnerabilidad de tipo Cross-Site Scripting almacenada y una escalada de privilegios limitada debido a una falta de comprobación de nonce en la función access control para acciones administrativas AJAX

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una página web en el procesamiento de los objetos ImageLoader de Webkit WebKitGTK (CVE-2021-21775)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
20/09/2021
Descripción:
Se presenta una vulnerabilidad de uso de memoria previamente liberada en la forma en que se procesan determinados eventos para los objetos ImageLoader de Webkit WebKitGTK versión 2.30.4. Una página web especialmente diseñada puede conllevar a un potencial filtrado de información y una mayor corrupción de memoria. Para desencadenar la vulnerabilidad, una víctima debe ser engañada para visitar una página web maliciosa
Vulnerabilidad en el parámetro Url path en FileviewDoc en QSAN Storage Manager (CVE-2021-32509)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
20/09/2021
Descripción:
La vulnerabilidad Absolute Path Traversal en FileviewDoc en QSAN Storage Manager permite a los atacantes remotos autentificados acceder a archivos arbitrarios inyectando el Symbolic Link siguiendo el parámetro Url path. La referida vulnerabilidad ha sido resuelta con la versión actualizada de QSAN Storage Manager versión v3.3.3
Vulnerabilidad en el parámetro Url path en FileStreaming en QSAN Storage Manager (CVE-2021-32508)
Gravedad:
MediaMedia
Publication date: 07/07/2021
Last modified:
20/09/2021
Descripción:
La vulnerabilidad Absolute Path Traversal en FileStreaming en QSAN Storage Manager permite a los atacantes remotos autentificados acceder a archivos arbitrarios inyectando el Symbolic Link siguiendo el parámetro Url path. La referida vulnerabilidad ha sido resuelta con la versión actualizada de QSAN Storage Manager versión v3.3.3