Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en unos algoritmos criptográficos en IBM Cloud Pak for Applications (CVE-2021-20360)
Gravedad:
MediaMedia
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, usa algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 195031
Vulnerabilidad en un mensaje de error técnico en el navegador en IBM Cloud Pak for Applications (CVE-2021-20424)
Gravedad:
MediaMedia
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, podría permitir a un atacante remoto obtener información confidencial cuando es devuelto un mensaje de error técnico detallado en el navegador. Esta información podría ser usada en posteriores ataques contra el sistema. X-Force ID: 196309
Vulnerabilidad en los persmisos en la aplicación en IBM Cloud Pak for Applications (CVE-2021-20423)
Gravedad:
MediaMedia
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, podría permitir a un usuario autenticado alcanzar privilegios escalados debido a permisos inapropiados de la aplicación. IBM X-Force ID: 196308
Vulnerabilidad en el acceso a datos en la memoria en IBM Cloud Pak for Applications (CVE-2021-20422)
Gravedad:
MediaMedia
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, podría divulgar información confidencial a un atacante malicioso mediante el acceso a datos almacenados en la memoria. IBM X-Force ID: 196304
Vulnerabilidad en algoritmos criptográficos en IBM Cloud Pak for Applications (CVE-2021-20369)
Gravedad:
MediaMedia
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, usa algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 195361
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Applications (CVE-2021-20368)
Gravedad:
BajaBaja
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 195357
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Applications (CVE-2021-20366)
Gravedad:
BajaBaja
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista, conllevando potencialmente a una divulgación de credenciales en una sesión confiable. IBM X-Force ID: 195037
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Applications (CVE-2021-20365)
Gravedad:
BajaBaja
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales en una sesión confiable. IBM X-Force ID: 195036
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Applications (CVE-2021-20364)
Gravedad:
BajaBaja
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista, conllevando potencialmente a una divulgación de credenciales en una sesión confiable. IBM X-Force ID: 195035
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Applications (CVE-2021-20363)
Gravedad:
BajaBaja
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista, conllevando potencialmente a una divulgación de credenciales en una sesión confiable. IBM X-Force ID: 195034
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Applications (CVE-2021-20362)
Gravedad:
BajaBaja
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista, conllevando potencialmente a una divulgación de credenciales en una sesión confiable. IBM X-Force ID: 195033
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cloud Pak for Applications (CVE-2021-20361)
Gravedad:
BajaBaja
Publication date: 13/07/2021
Last modified:
14/07/2021
Descripción:
IBM Cloud Pak for Applications versión 4.3, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista, conllevando potencialmente a una divulgación de credenciales en una sesión confiable. IBM X-Force ID: 195032
Vulnerabilidad en mensajes de excepción literales en Nextcloud Server (CVE-2021-32734)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
Nextcloud Server es un paquete de Nextcloud que maneja el almacenamiento de datos. En versiones anteriores a 19.0.13, 20.011 y 21.0.3, la aplicación Nextcloud Text incluida en Nextcloud Server devolvía al usuario mensajes de excepción literales. Esto podría resultar en una revelación de la ruta completa en los archivos compartidos. El problema se ha corregido en las versiones 19.0.13, 20.0.11 y 21.0.3. Como solución alternativa, se puede desactivar la aplicación Nextcloud Text en la configuración de la aplicación Nextcloud Server
Vulnerabilidad en el endpoint de montaje del enlace público en Nextcloud Server (CVE-2021-32741)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
Nextcloud Server es un paquete de Nextcloud que maneja el almacenamiento de datos. En versiones anteriores a 19.0.13, 20.011 y 21.0.3, se presenta una falta de límite de velocidad en el endpoint de montaje del enlace público. Esto podría haber permitido a un atacante enumerar tokens de recursos compartidos potencialmente válidos. El problema se ha corregido en las versiones 19.0.13, 20.0.11 y 21.0.3. No hay soluciones conocidas
Vulnerabilidad en un Content-Type "text/html" en Nextcloud Text (CVE-2021-32733)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
Nextcloud Text es una aplicación de edición de documentos colaborativos que usa Markdown. Una vulnerabilidad de tipo cross-site scripting se presenta en las versiones anteriores a 19.0.13, 20.0.11 y 21.0.3. La aplicación Nextcloud Text suministrada con el servidor Nextcloud usaba un Content-Type "text/html" al servir archivos a usuarios. Debido a la estricta política de seguridad de contenidos incluida en Nextcloud, este problema no se puede explotar en los navegadores modernos que soportan la política de seguridad de contenidos. El problema se ha corregido en las versiones 19.0.13, 20.0.11 y 21.0.3. Como solución alternativa, use un navegador compatible con Content-Security-Policy
Vulnerabilidad en un endpoint de la API en Nextcloud Android Client (CVE-2021-32727)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
Nextcloud Android Client es el cliente Android para Nextcloud. Unos clientes que usan la funcionalidad end-to-end encryption de Nextcloud descargan la clave pública y privada por medio de un endpoint de la API. En versiones anteriores a 3.16.1, el cliente Android de Nextcloud se saltaba un paso que implicaba que el cliente comprobara si una clave privada pertenecía a un certificado público previamente descargado. Si la instancia de Nextcloud servía una clave pública maliciosa, los datos estarían cifrados para esta clave y, por tanto, podrían ser accesibles para un actor malicioso. La vulnerabilidad está parcheada en la versión 3.16.1. Como solución alternativa, no añada dispositivos cifrados de extremo a extremo adicionales a una cuenta de usuario
Vulnerabilidad en el parámetro "username" en el componente "chkuser.php" en WMS (CVE-2020-18544)
Gravedad:
AltaAlta
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
Una inyección SQL en WMS versión v1.0, permite a atacantes remotos ejecutar código arbitrario por medio del parámetro "username" en el componente "chkuser.php"
Vulnerabilidad en la configuración de servidor SSH en IBM Tivoli Netcool/Impact (CVE-2021-29794)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
IBM Tivoli Netcool/Impact versiones 7.1.0.20 y 7.1.0.21, usa una configuración de servidor SSH no segura que habilita algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 203556
Vulnerabilidad en la clave privada de la CA en IBM Event Streams (CVE-2021-29792)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
IBM Event Streams versiones 10.0, 10.1, 10.2 y 10.3, podría permitir a un usuario la clave privada de la CA para crear sus propios certificados e implementarlos en el clúster y alcanzar los privilegios de otro usuario. IBM X-Force ID: 203450
Vulnerabilidad en la función logon.jsp?logon_error= en la pantalla de inicio de sesión de la aplicación web en Edifecs Transaction Management (CVE-2021-36381)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
14/07/2021
Descripción:
En Edifecs Transaction Management versiones hasta el 12-07-2021, un usuario no autenticado puede inyectar texto arbitrario en el navegador de un usuario por medio de la función logon.jsp?logon_error= en la pantalla de inicio de sesión de la aplicación web
Vulnerabilidad en PackageManager (CVE-2021-25428)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
14/07/2021
Descripción:
Una vulnerabilidad de comprobación de validación inapropiada en PackageManager anterior a SMR July-2021 Release 1, permite a aplicaciones no confiables obtener permisos de nivel peligroso sin la confirmación del usuario en circunstancias limitadas
Vulnerabilidad en el acceso a la información en la aplicación de Bluetooth (CVE-2021-25429)
Gravedad:
BajaBaja
Publication date: 08/07/2021
Last modified:
14/07/2021
Descripción:
Una vulnerabilidad de administración de privilegios inapropiada en la aplicación de Bluetooth anterior a SMR July-2021 Release 1, permite a una aplicación no confiable acceder a la información de Bluetooth en la aplicación de Bluetooth
Vulnerabilidad en la información del dispositivo en Bluetooth (CVE-2021-25427)
Gravedad:
BajaBaja
Publication date: 08/07/2021
Last modified:
14/07/2021
Descripción:
Una vulnerabilidad de inyección SQL en Bluetooth anterior a SMR July-2021 Release 1, permite el acceso no autorizado a la información del dispositivo emparejado
Vulnerabilidad en la funcionalidad header processing JPG sof_nb_comp de Accusoft ImageGear (CVE-2021-21793)
Gravedad:
MediaMedia
Publication date: 08/07/2021
Last modified:
14/07/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites en la funcionalidad header processing JPG sof_nb_comp de Accusoft ImageGear versiones 19.8 y 19.9. Un archivo malformado especialmente diseñado puede conllevar a una corrupción de memoria. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en vectores no especificados en WRC-1167FS-W, WRC-1167FS-B y WRC-1167FSA (CVE-2021-20738)
Gravedad:
BajaBaja
Publication date: 07/07/2021
Last modified:
14/07/2021
Descripción:
WRC-1167FS-W, WRC-1167FS-B y WRC-1167FSA todas las versiones permiten a un atacante no autenticado adyacente a la red obtener información confidencial por medio de vectores no especificados

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el endpoint shareinfo en Nextcloud Server (CVE-2021-32703)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
20/09/2021
Descripción:
Nextcloud Server es un paquete de Nextcloud que maneja el almacenamiento de datos. En versiones anteriores a 19.0.13, 20.011 y 21.0.3, se presentaba una falta de limitación de velocidad en el endpoint shareinfo. Esto podría haber permitido a un atacante enumerar tokens de acciones potencialmente válidos. El problema fue corregido en versiones 19.0.13, 20.0.11 y 21.0.3. No se presentan soluciones conocidas
Vulnerabilidad en el endpoint de DAV en Nextcloud Server (CVE-2021-32705)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
20/09/2021
Descripción:
Nextcloud Server es un paquete de Nextcloud que maneja del almacenamiento de datos. En versiones anteriores a 19.0.13, 20.011 y 21.0.3, se presentaba una falta de limitación de velocidad en el endpoint público de DAV. Esto podría haber permitido a un atacante enumerar tokens o credenciales de uso compartido potencialmente válidos. El problema fue corregido en versiones 19.0.13, 20.0.11 y 21.0.3. No se presentan soluciones conocidas
Vulnerabilidad en los nombres de archivo en los controladores "DownloadResponse" en Nextcloud Server (CVE-2021-32679)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
20/09/2021
Descripción:
Nextcloud Server es un paquete de Nextcloud que maneja el almacenamiento de datos. En versiones anteriores a la 19.0.13, 20.0.11 y 21.0.3, los nombres de archivo no se escapaban por defecto en los controladores que usaban "DownloadResponse". Cuando un nombre de archivo suministrado por el usuario se pasaba sin sanear en un "DownloadResponse", esto podía ser usado para engañar a usuarios para que descargaran archivos maliciosos con una extensión de archivo benigna. Esto se reflejaba en comportamientos de la interfaz de usuario en los que las aplicaciones de Nextcloud mostraban una extensión de archivo benigna (por ejemplo, JPEG), pero el archivo se descargaba en realidad con una extensión de archivo ejecutable. La vulnerabilidad está parcheada En versiones 19.0.13, 20.0.11 y 21.0.3. Los administradores de las instancias de Nextcloud no presentan una solución disponible, pero los desarrolladores de aplicaciones Nextcloud pueden escapar manualmente el nombre del archivo antes de pasarlo a "DownloadResponse"
Vulnerabilidad en las cadenas en DateTimes en RestSharp (CVE-2021-27293)
Gravedad:
MediaMedia
Publication date: 12/07/2021
Last modified:
09/09/2021
Descripción:
RestSharp versiones anteiores a 106.11.8-alpha.0.13, usa una Expresión Regular que es vulnerable a una Denegación de Servicio por Expresión Regular (ReDoS) cuando convierte cadenas en DateTimes. Si un servidor responde con una cadena maliciosa, el cliente que use RestSharp se quedará atascado procesándola durante un tiempo excesivo. Así, el servidor remoto puede desencadenar una Denegación de Servicio
Vulnerabilidad en ArcGIS Server Services Directory (CVE-2021-29105)
Gravedad:
BajaBaja
Publication date: 11/07/2021
Last modified:
14/09/2021
Descripción:
Una vulnerabilidad de Cross Site Scripting (XSS) almacenada en el Directorio de Servicios de Esri ArcGIS Server versión 10.8.1 e inferior puede permitir a un atacante remoto autenticado pasar y almacenar cadenas maliciosas en el Directorio de Servicios de ArcGIS
Vulnerabilidad en un enlace en el navegador en ArcGIS Server Services Directory (CVE-2021-29106)
Gravedad:
MediaMedia
Publication date: 10/07/2021
Last modified:
14/09/2021
Descripción:
Una vulnerabilidad de Cross Site Scripting (XSS) reflejada en Esri ArcGIS Server versión 10.8.1 e inferior puede permitir que un atacante remoto pueda convencer a un usuario de que haga clic en un enlace elaborado que podría ejecutar código JavaScript arbitrario en el navegador del usuario
Vulnerabilidad en la página de inicio de sesión de GeForce Experience en NVIDIA GeForce Experience (CVE-2021-1073)
Gravedad:
MediaMedia
Publication date: 25/06/2021
Last modified:
14/07/2021
Descripción:
NVIDIA GeForce Experience, en todas las versiones anteriores a la 3.23, contiene una vulnerabilidad en el flujo de inicio de sesión cuando un usuario intenta iniciar la sesión utilizando un navegador, mientras, al mismo tiempo, se carga cualquier otra página web en otras pestañas del mismo navegador. En esta situación, la página web puede obtener acceso al token de la sesión de inicio de sesión del usuario, lo que conlleva la posibilidad de que la cuenta del usuario se vea comprometida. Esto puede llevar a que se acceda a los datos del usuario objetivo, se alteren o se pierdan
Vulnerabilidad en el puerto 102/tcp en diversos productos de la familia SIMATIC Drive Controller (CVE-2020-15782)
Gravedad:
AltaAlta
Publication date: 28/05/2021
Last modified:
14/09/2021
Descripción:
Se ha identificado una vulnerabilidad en la familia SIMATIC Drive Controller (Todas las versiones anteriores a la versión V2.9.2), SIMATIC ET 200SP Open Controller CPU 1515SP PC (incluyendo las variantes SIPLUS) (Todas las versiones), SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluyendo las variantes SIPLUS) (Todas las versiones anteriores a la versión V21.9), familia SIMATIC S7-1200 CPU (incluyendo las variantes SIPLUS) (Todas las versiones anteriores a la versión V4.5.0), familia SIMATIC S7-1500 CPU (incluyendo CPU ET200 relacionadas y variantes SIPLUS) (Todas las versiones anteriores a la versión V2.9.2), SIMATIC S7-1500 Software Controller (Todas las versiones anteriores a la versión V21.9), SIMATIC S7-PLCSIM Advanced (Todas las versiones anteriores a la versión V4.0), SINAMICS PERFECT HARMONY GH180 Drives (Unidades fabricadas antes de 2021-08-13), SINUMERIK MC (Todas las versiones anteriores a la versión V6.15), SINUMERIK ONE (Todas las versiones anteriores a la versión V6.15). Los dispositivos afectados son vulnerables a una omisión de protección de la memoria mediante una operación específica. Un atacante remoto no autenticado con acceso de red al puerto 102/tcp podría potencialmente escribir datos y código arbitrario en áreas de memoria protegidas o leer datos confidenciales para iniciar más ataques
Vulnerabilidad en HPE iLO Amplifier Pack (CVE-2021-26580)
Gravedad:
MediaMedia
Publication date: 01/04/2021
Last modified:
14/09/2021
Descripción:
Se ha identificado una posible vulnerabilidad de seguridad en HPE iLO Amplifier Pack. La vulnerabilidad podría ser explotada remotamente para permitir el Cross-Site Scripting (XSS). HPE ha proporcionado la siguiente actualización de software para resolver la vulnerabilidad en HPE iLO Amplifier Pack: HPE iLO Amplifier Pack 1.95 o posterior
Vulnerabilidad en las claves de sesión en GitLab (CVE-2021-22194)
Gravedad:
BajaBaja
Publication date: 26/03/2021
Last modified:
14/09/2021
Descripción:
En todas las versiones de GitLab, las claves de sesión marshalled estaban siendo almacenadas en Redis
Vulnerabilidad en productos Siemens (CVE-2018-4839)
Gravedad:
BajaBaja
Publication date: 08/03/2018
Last modified:
13/07/2021
Descripción:
Se ha identificado una vulnerabilidad en Siemens DIGSI 4 (Todas las versiones anteriores a V4.92), EN100 Ethernet module DNP3 variant (Todas las versiones anteriores a V1.05.00), EN100 Ethernet module IEC 104 variant (Todas las versiones), EN100 Ethernet module IEC 61850 variant (Todas las versiones anteriores a V4.30), EN100 Ethernet module Modbus TCP variant (Todas las versiones), EN100 Ethernet module PROFINET IO variant (Todas las versiones), Other SIPROTEC 4 relays (Todas las versiones), Other SIPROTEC Compact relays (Todas las versiones), SIPROTEC 4 7SD80 (Todas las versiones anteriores a V4.70), SIPROTEC 4 7SJ61 (Todas las versiones anteriores a V4.96), SIPROTEC 4 7SJ62 (Todas las versiones anteriores a V4.96), SIPROTEC 4 7SJ64 (Todas las versiones anteriores a V4.96), SIPROTEC 4 7SJ66 (Todas las versiones anteriores a V4.30), SIPROTEC Compact 7SJ80 (Todas las versiones anteriores a V4.77), SIPROTEC Compact 7SK80 (Todas las versiones anteriores a V4.77). Un atacante con acceso local al sistema de ingeniería o en una posición de red privilegiada y capaz de obtener cierto tráfico de red podría reconstruir contraseñas de autorización de acceso
Vulnerabilidad en productos Siemens (CVE-2018-4840)
Gravedad:
MediaMedia
Publication date: 08/03/2018
Last modified:
13/07/2021
Descripción:
Se ha identificado una vulnerabilidad en Siemens DIGSI 4 (Todas las versiones anteriores a V4.92), EN100 Ethernet module DNP3 variant (Todas las versiones anteriores a V1.05.00), EN100 Ethernet module IEC 104 variant (Todas las versiones), EN100 Ethernet module IEC 61850 variant (Todas las versiones anteriores a V4.30), EN100 Ethernet module Modbus TCP variant (Todas las versiones), EN100 Ethernet module PROFINET IO variant (Todas las versiones). El mecanismo de ingeniería del dispositivo permite que un usuario remoto no autenticado suba una configuración de dispositivo modificada que sobrescriba las contraseñas de autorización de acceso