Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo /public/common/umeditor/php/getcontent.php en umeditor (CVE-2020-18145)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en umeditor versión v1.2.3, por medio del archivo /public/common/umeditor/php/getcontent.php
Vulnerabilidad en Media Foundation (CVE-2021-33760)
Gravedad:
BajaBaja
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Media Foundation
Vulnerabilidad en Windows Remote Access Connection Manager de Microsoft (CVE-2021-33761)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Remote Access Connection Manager. Este ID de CVE es diferente de CVE-2021-33773, CVE-2021-34445, CVE-2021-34456
Vulnerabilidad en Windows Remote Access Connection Manager de Microsoft (CVE-2021-33763)
Gravedad:
BajaBaja
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Windows Remote Access Connection Manager. Este ID de CVE es diferente de CVE-2021-34454, CVE-2021-34457
Vulnerabilidad en Windows Event Tracing de Microsoft (CVE-2021-33774)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Event Tracing
Vulnerabilidad en HEVC Video Extensions de Microsoft (CVE-2021-33775)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en HEVC Video Extensions. Este ID de CVE es diferente de CVE-2021-31947, CVE-2021-33776, CVE-2021-33777, CVE-2021-33778
Vulnerabilidad en HEVC Video Extensions de Microsoft (CVE-2021-33776)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en HEVC Video Extensions. Este ID de CVE es diferente de CVE-2021-31947, CVE-2021-33775, CVE-2021-33777, CVE-2021-33778
Vulnerabilidad en HEVC Video Extensions de Microsoft (CVE-2021-33777)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en HEVC Video Extensions. Este ID de CVE es diferente de CVE-2021-31947, CVE-2021-33775, CVE-2021-33776, CVE-2021-33778
Vulnerabilidad en HEVC Video Extensions de Microsoft (CVE-2021-33778)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en HEVC Video Extensions. Este ID de CVE es diferente de CVE-2021-31947, CVE-2021-33775, CVE-2021-33776, CVE-2021-33777
Vulnerabilidad en una carga útil en el archivo index.php en el campo X-Fordered-Forde Wayang-CMS (CVE-2020-29146)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de tipo cross site scripting (XSS) en el archivo index.php de Wayang-CMS versión v1.0, permite a atacantes ejecutar scripts web o HTML arbitrario por medio de una carga útil creada al añadir el campo X-Fordered-For al encabezado
Vulnerabilidad en el archivo MceStateMachine.java en la función processInboundMessage en Android (CVE-2021-0588)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función processInboundMessage del archivo MceStateMachine.java, se presenta una posible divulgación de SMS debido a una falta de comprobación de permisos. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9, ID de Android: A-177238342
Vulnerabilidad en el archivo factory.cc en la función Factory::CreateStrictFunctionMap en Android (CVE-2021-0515)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función Factory::CreateStrictFunctionMap del archivo factory.cc, se presenta una posible escritura fuera de límites debido a una comprobación incorrecta de límites. Esto podría conllevar a una ejecución de código remota en un proceso no privilegiado, sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-9 Android-10 Android-11 Android-8.1, ID de Android: A-167389063
Vulnerabilidad en el archivo WifiDisplayAdapter.java en la función handleSendStatusChangeBroadcast en Android (CVE-2021-0518)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función handleSendStatusChangeBroadcast del archivo WifiDisplayAdapter.java, se presenta una posible filtración de datos confidenciales a la ubicación debido a una falta de comprobación de permisos. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-176541017
Vulnerabilidad en el extractor de flv en Android (CVE-2021-0577)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En el extractor de flv, se presenta una posible escritura fuera de límites debido a un desbordamiento de búfer de la pila. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android SoC, ID de Android: A-187161771
Vulnerabilidad en el archivo NetworkMonitor.java en la función sendNetworkConditionsBroadcast en Android (CVE-2021-0590)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función sendNetworkConditionsBroadcast del archivo NetworkMonitor.java, se presenta una forma en que una aplicación con privilegios reciba el BSSID y el SSID del WiFi sin permisos de localización debido a una falta de comprobación de permisos. Esto podría conllevar a una divulgación de información local con privilegios de ejecución del sistema necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-11 Android-8.1 Android-9, ID de Android: A-175213041
Vulnerabilidad en varias funciones de WideVine en Android (CVE-2021-0592)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En varias funciones de WideVine, se presentan posibles escrituras fuera de límites debido a una comprobación inapropiadas de entradas. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android SoC, ID de Android: A-188061006
Vulnerabilidad en el archivo ConfirmConnectActivity en la función onCreate en Android (CVE-2021-0594)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función onCreate del archivo ConfirmConnectActivity, se presenta una posible omisión remota del consentimiento del usuario debido a una comprobación inapropiada de entrada. Esto podría conllevar a una escalada de privilegios remota (proximal, NFC) permitiendo a un atacante engañar a un usuario para permitir una conexión Bluetooth sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11 Android-8.1 Android-9 Android-10, ID de Android: A-176445224
Vulnerabilidad en el archivo phNxpExtns_MifareStd.cpp en la función phNciNfc_RecvMfResp en Android (CVE-2021-0596)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función phNciNfc_RecvMfResp del archivo phNxpExtns_MifareStd.cpp, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota a través de NFC sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11 Android-8.1 Android-9 Android-10, ID de Android: A-181346550
Vulnerabilidad en el archivo btm_scn.cc en la función BTM_TryAllocateSCN en Android (CVE-2021-0589)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función BTM_TryAllocateSCN del archivo btm_scn.cc, se presenta una posible escritura fuera de límites debido a una comprobación incorrecta de límites. Esto podría conllevar a una escalada local de privilegios con privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11 Android-8.1 Android-9 Android-10, ID de Android: A-180939982
Vulnerabilidad en el acceso al código fuente jsp en SAP Business Objects Web Intelligence (BI Launchpad) (CVE-2021-33667)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Bajo determinadas condiciones, SAP Business Objects Web Intelligence (BI Launchpad) versiones 420 y 430, permiten a un atacante acceder al código fuente jsp, mediante llamadas al SDK, del paquete Analytical Reporting, una parte de la aplicación frontend, que de otro modo estaría restringida
Vulnerabilidad en el acceso a cualquier aplicación en SAP NetWeaver Administrator (Administrator applications) (CVE-2021-33689)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Cuando un usuario con privilegios insuficientes intenta acceder a cualquier aplicación en SAP NetWeaver Administrator (Administrator applications), versión - 7.50, no es creado ningún registro de auditoría de seguridad. Por lo tanto, la integridad del registro de auditoría de seguridad está impactada
Vulnerabilidad en la codificación de las entradas en SAP Lumira Server (CVE-2021-33682)
Gravedad:
BajaBaja
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
SAP Lumira Server versión 2.4, no codifica suficientemente las entradas controladas por el usuario, resultando en una vulnerabilidad de tipo Cross-Site Scripting (XSS). Esto permitiría a un atacante con privilegios de nivel básico almacenar un script malicioso en SAP Lumira Server. La ejecución del contenido del script, por una víctima registrada en el Servidor SAP Lumira, podría comprometer la confidencialidad e integridad del contenido de SAP Lumira
Vulnerabilidad en un archivo CGM en SAP 3D Visual Enterprise Viewer (CVE-2021-33681)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo CGM manipulado recibido de fuentes no confiables, lo que causa una escritura fuera de límites y causa que la aplicación se bloquee y quede temporalmente no disponible hasta que el usuario reinicie la aplicación
Vulnerabilidad en un archivo CGM en SAP 3D Visual Enterprise Viewer (CVE-2021-33680)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo CGM manipulado recibido de fuentes no confiables, lo que causa un desbordamiento del búfer y hace que la aplicación se bloquee y deje de estar disponible temporalmente hasta que el usuario reinicie la aplicación
Vulnerabilidad en un módulo de funciones de SAP NetWeaver AS ABAP (Reconciliation Framework) (CVE-2021-33678)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Un módulo de funciones de SAP NetWeaver AS ABAP (Reconciliation Framework), versiones - 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 75A, 75B, 75C, 75D, 75E, 75F, permite a un atacante con altos privilegios inyectar código que puede ser ejecutado por la aplicación. De este modo, un atacante podría eliminar información crítica y hacer que el sistema SAP no esté disponible completamente
Vulnerabilidad en SAP CRM (CVE-2021-33676)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una falta de comprobación de autoridad en SAP CRM, versiones - 700, 701, 702, 712, 713, 714, podría ser aprovechada por un atacante con altos privilegios para comprometer la confidencialidad, integridad o disponibilidad del sistema
Vulnerabilidad en SAP NetWeaver Guided Procedures (Administration Workset) (CVE-2021-33671)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
SAP NetWeaver Guided Procedures (Administration Workset), versiones - 7.10, 7.20, 7.30, 7.31, 7.40, 7.50, no lleva a cabo las comprobaciones de autorización necesarias para un usuario autenticado, resultando en una escalada de privilegios. El impacto de la falta de autorización podría resultar en el abuso de la funcionalidad restringida a un grupo de usuarios en particular, y podría permitir a usuarios no autorizados a leer, modificar o eliminar los datos restringidos
Vulnerabilidad en el envío de múltiples peticiones HTTP en SAP NetWeaver AS for Java (Http Service Monitoring Filter) (CVE-2021-33670)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
SAP NetWeaver AS for Java (Http Service Monitoring Filter), versiones - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, permite a un atacante enviar múltiples peticiones HTTP con diferentes tipos de métodos, bloqueando así el filtro y haciendo que el servidor HTTP no esté disponible para otros usuarios legítimos, conllevando a una vulnerabilidad denegación de servicio
Vulnerabilidad en un archivo TAR en Apache Ant (CVE-2021-36373)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
21/09/2021
Descripción:
Cuando se lee un archivo TAR especialmente diseñado, se puede hacer que una compilación de Apache Ant asigne grandes cantidades de memoria que finalmente conlleva a un error de falta de memoria, incluso para entradas pequeñas. Esto puede ser usado para interrumpir las compilaciones usando Apache Ant. Apache Ant versiones anteriores a 1.9.16 y 1.10.11 estaban afectados
Vulnerabilidad en un archivo ZIP en Apache Ant (CVE-2021-36374)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
21/09/2021
Descripción:
Cuando se lee un archivo ZIP especialmente diseñado, o un formato derivado, se puede hacer que una compilación de Apache Ant asigne grandes cantidades de memoria que conlleva a un error de falta de memoria, incluso para entradas pequeñas. Esto puede ser usado para interrumpir las compilaciones usando Apache Ant. Los formatos derivados de los archivos ZIP comúnmente usados son, por ejemplo, los archivos JAR y muchos archivos de oficina. Apache Ant versiones anteriores a 1.9.16 y 1.10.11 estaba afectado
Vulnerabilidad en dandavison delta en Windows (CVE-2021-36376)
Gravedad:
MediaMedia
Publication date: 13/07/2021
Last modified:
16/07/2021
Descripción:
dandavison delta versiones anteriores a 0.8.3 en Windows, resuelve el nombre de la ruta de un ejecutable como una ruta relativa desde el directorio actual

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: