Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Aruba ClearPass Policy Manager (CVE-2021-34612)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Se ha detectado una vulnerabilidad de ejecución de comandos remota arbitrarios en Aruba ClearPass Policy Manager versión(es): Anteriores a 6.10.0, 6.9.6 y 6.8.9. Aruba ha publicado actualizaciones de ClearPass Policy Manager que solucionan esta vulnerabilidad de seguridad
Vulnerabilidad en Aruba ClearPass Policy Manager (CVE-2021-34613)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Se ha detectado una vulnerabilidad de ejecución de comandos remota arbitrarios en Aruba ClearPass Policy Manager versión(es): Anteriores a 6.10.0, 6.9.6 y 6.8.9. Aruba ha publicado actualizaciones de ClearPass Policy Manager que solucionan esta vulnerabilidad de seguridad
Vulnerabilidad en Aruba ClearPass Policy Manager (CVE-2021-34615)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Se ha detectado una vulnerabilidad de ejecución de comandos remota arbitrarios en Aruba ClearPass Policy Manager versión(es): Anteriores a 6.10.0, 6.9.6 y 6.8.9. Aruba ha publicado actualizaciones de ClearPass Policy Manager que solucionan esta vulnerabilidad de seguridad
Vulnerabilidad en las entradas proporcionadas por el usuario en la interfaz de administración basada en web de Cisco Virtualized Voice Browser (CVE-2021-1575)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Virtualized Voice Browser podría permitir a un atacante remoto no autenticado realizar un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz. Esta vulnerabilidad se presenta debido a que la interfaz de administración basada en web no comprueba correctamente las entradas proporcionadas por el usuario. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de la interfaz afectada para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador
Vulnerabilidad en el Iniciador de Cisco Adaptive Security Device Manager (ASDM) (CVE-2021-1585)
Gravedad:
AltaAlta
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Una vulnerabilidad en el Iniciador de Cisco Adaptive Security Device Manager (ASDM), podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en el sistema operativo de un usuario. Esta vulnerabilidad se presenta debido a la falta de verificación de firmas apropiada para el código específico intercambiado entre el ASDM y el Iniciador. Un atacante podría explotar esta vulnerabilidad al aprovechar una posición de tipo man-in-the-middle en la red para interceptar el tráfico entre el Iniciador y el ASDM y luego inyectar código arbitrario. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema operativo del usuario con el nivel de privilegios asignado al Iniciador ASDM. Una explotación con éxito puede requerir al atacante llevar a cabo un ataque de ingeniería social para persuadir al usuario de que inicie la comunicación desde el iniciador al ASDM
Vulnerabilidad en el acceso a los archivos Message en SmsViewerActivity de Samsung Message (CVE-2021-25426)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
18/10/2021
Descripción:
Una vulnerabilidad de protección de componentes inapropiada en SmsViewerActivity de Samsung Message anterior a SMR July-2021 Release 1, permite a aplicaciones no confiables acceder a los archivos de Message
Vulnerabilidad en un archivo en WinWaste.NET (CVE-2021-34110)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
WinWaste.NET versión 1.0.6183.16475, presenta permisos incorrectos, permitiendo a un usuario local no privilegiado sustituir el ejecutable por un archivo malicioso que será ejecutado con privilegios "LocalSystem"
Vulnerabilidad en el proceso /nova/bin/route en la CPU del sistema en ikrotik RouterOs (CVE-2020-20217)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Mikrotik RouterOs versiones anteriores a 6.47 (stable tree) sufre una vulnerabilidad de consumo de recursos no controlado en el proceso /nova/bin/route. Un atacante remoto autenticado puede causar una Denegación de Servicio debido a una sobrecarga de la CPU del sistema
Vulnerabilidad en la funcionalidad processing TIF bits_per_sample de Accusoft ImageGear (CVE-2021-21794)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites en la funcionalidad processing TIF bits_per_sample de Accusoft ImageGear versión 19.9. Un archivo malformado especialmente diseñado puede conllevar a una corrupción de memoria. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en una base de datos SQL en Octopus Server (CVE-2021-31816)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Cuando se configura Octopus Server, si está configurado con una base de datos SQL externa, en la configuración inicial la contraseña de la base de datos se escribe en el archivo de registro OctopusServer.txt en texto plano
Vulnerabilidad en una base de datos SQL en Octopus Server (CVE-2021-31817)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Cuando se configura Octopus Server si está configurado con una base de datos SQL externa, en la configuración inicial la contraseña de la base de datos se escribe en el archivo de registro OctopusServer.txt en texto plano
Vulnerabilidad en la seguridad del sistema operativo en HBS 3 de QNAP (CVE-2021-28809)
Gravedad:
AltaAlta
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Se ha informado una vulnerabilidad de control de acceso inapropiado que afecta a determinadas versiones heredadas de HBS 3. Si es explotada, esta vulnerabilidad permite a atacantes comprometer la seguridad del sistema operativo.QNAP ya ha corregido esta vulnerabilidad en las siguientes versiones de HBS 3: QTS versiones 4.3.6: HBS 3 versiones v3.0.210507 y posteriores QTS versiones 4.3.4: HBS 3 versiones v3.0.210506 y posteriores

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2021-1606)
Gravedad:
BajaBaja
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podrían permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario. Estas vulnerabilidades se presentan porque la interfaz de administración basada en web no comprueba suficientemente la entrada suministrada por el usuario. Un atacante podría explotar estas vulnerabilidades al inyectar código malicioso en páginas específicas de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para explotar estas vulnerabilidades, el atacante necesitaría credenciales administrativas válidas
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2021-1603)
Gravedad:
BajaBaja
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podrían permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario. Estas vulnerabilidades se presentan porque la interfaz de administración basada en web no comprueba suficientemente la entrada suministrada por el usuario. Un atacante podría explotar estas vulnerabilidades al inyectar código malicioso en páginas específicas de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para explotar estas vulnerabilidades, el atacante necesitaría credenciales administrativas válidas
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2021-1604)
Gravedad:
BajaBaja
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podrían permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario. Estas vulnerabilidades se presentan porque la interfaz de administración basada en web no comprueba suficientemente la entrada suministrada por el usuario. Un atacante podría explotar estas vulnerabilidades al inyectar código malicioso en páginas específicas de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para explotar estas vulnerabilidades, el atacante necesitaría credenciales administrativas válidas
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2021-1605)
Gravedad:
BajaBaja
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podrían permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario. Estas vulnerabilidades se presentan porque la interfaz de administración basada en web no comprueba suficientemente la entrada suministrada por el usuario. Un atacante podría explotar estas vulnerabilidades al inyectar código malicioso en páginas específicas de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para explotar estas vulnerabilidades, el atacante necesitaría credenciales administrativas válidas
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2021-1607)
Gravedad:
BajaBaja
Publication date: 08/07/2021
Last modified:
12/07/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podrían permitir a un atacante remoto autenticado conducir un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario. Estas vulnerabilidades se presentan porque la interfaz de administración basada en web no comprueba suficientemente la entrada suministrada por el usuario. Un atacante podría explotar estas vulnerabilidades al inyectar código malicioso en páginas específicas de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para explotar estas vulnerabilidades, el atacante necesitaría credenciales administrativas válidas
Vulnerabilidad en una página web en WebKitGTK (CVE-2021-21779)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
20/09/2021
Descripción:
Se presenta una vulnerabilidad de uso de memoria previamente liberada en la forma en que el GraphicsContext de Webkit maneja determinados eventos en WebKitGTK versión 2.30.4. Una página web especialmente diseñada puede conllevar a un potencial filtrado de información y una mayor corrupción de memoria. Una víctima debe ser engañada para visitar una página web maliciosa para desencadenar esta vulnerabilidad