Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Windows Projected File System de Microsoft (CVE-2021-33743)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Projected File System
Vulnerabilidad en Windows DNS Server de Microsoft (CVE-2021-33754)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Windows DNS Server. Este ID de CVE es diferente de CVE-2021-33746, CVE-2021-33780, CVE-2021-34494, CVE-2021-34525
Vulnerabilidad en Microsoft Bing Search (CVE-2021-33753)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad en Microsoft Bing Search
Vulnerabilidad en Windows DNS Snap-in de Microsoft (CVE-2021-33752)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Windows DNS Snap-in. Este ID de CVE es diferente de CVE-2021-33749, CVE-2021-33750, CVE-2021-33756
Vulnerabilidad en Storage Spaces Controller de Microsoft (CVE-2021-33751)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
20/09/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Storage Spaces Controller. Este ID de CVE es diferente de CVE-2021-34460, CVE-2021-34510, CVE-2021-34512, CVE-2021-34513
Vulnerabilidad en Windows DNS Snap-in de Microsoft (CVE-2021-33750)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Windows DNS Snap-in . Este ID de CVE es diferente de CVE-2021-33749, CVE-2021-33752, CVE-2021-33756
Vulnerabilidad en Windows DNS Snap-in de Microsoft (CVE-2021-33749)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Windows DNS Snap-in. Este ID de CVE es diferente de CVE-2021-33750, CVE-2021-33752, CVE-2021-33756
Vulnerabilidad en Windows DNS Server de Microsoft (CVE-2021-33746)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Windows DNS Server. Este ID de CVE es diferente de CVE-2021-33754, CVE-2021-33780, CVE-2021-34494, CVE-2021-34525
Vulnerabilidad en Windows DNS Server de Microsoft (CVE-2021-33745)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad denegación de Servicio en Windows DNS Server. Este ID de CVE es diferente de CVE-2021-34442, CVE-2021-34444, CVE-2021-34499
Vulnerabilidad en Windows Secure Kernel Mode Microsoft (CVE-2021-33744)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Omisión de Funcionalidad de Seguridad en Windows Secure Kernel Mode
Vulnerabilidad en Windows Hyper-V de Microsoft (CVE-2021-33755)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad denegación de Servicio en Windows Hyper-V. Este ID de CVE es diferente de CVE-2021-33758
Vulnerabilidad en Windows Media de Microsoft (CVE-2021-33740)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Windows Media
Vulnerabilidad en Power BI (CVE-2021-31984)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Power BI
Vulnerabilidad en Windows Kernel de Microsoft (CVE-2021-31979)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Kernel. Este ID de CVE es diferente de CVE-2021-33771, CVE-2021-34514
Vulnerabilidad en Windows InstallService de Microsoft (CVE-2021-31961)
Gravedad:
BajaBaja
Publication date: 14/07/2021
Last modified:
20/09/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows InstallService
Vulnerabilidad en HEVC Video Extensions de Microsoft (CVE-2021-31947)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en HEVC Video Extensions. Este ID de CVE es diferente de CVE-2021-33775, CVE-2021-33776, CVE-2021-33777, CVE-2021-33778
Vulnerabilidad en Microsoft Exchange Server (CVE-2021-31206)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
20/09/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Exchange Server. . Este ID de CVE es diferente de CVE-2021-31196, CVE-2021-34473
Vulnerabilidad en Microsoft Exchange Server (CVE-2021-31196)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Exchange Server. . Este ID de CVE es diferente de CVE-2021-31206, CVE-2021-34473
Vulnerabilidad en Windows TCP/IP Driver de Microsoft (CVE-2021-31183)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad Denegación de Servicio de Windows TCP/IP Driver. Este ID de CVE es diferente de CVE-2021-33772, CVE-2021-34490
Vulnerabilidad en Windows Security Account Manager de Microsoft (CVE-2021-33757)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Omisión de Funcionalidad de Seguridad del Protocolo Remoto de Windows Security Account Manager
Vulnerabilidad en Windows AF_UNIX Socket Provider de Microsoft (CVE-2021-33785)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad denegación de Servicio de Windows AF_UNIX Socket Provider
Vulnerabilidad en Windows Cloud Files Mini Filter Driver de Microsoft (CVE-2021-33784)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios de Windows Cloud Files Mini Filter Driver
Vulnerabilidad en Windows SMB de Microsoft (CVE-2021-33783)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Windows SMB
Vulnerabilidad en Windows Authenticode de Microsoft (CVE-2021-33782)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Suplantación de Identidad en Windows Authenticode
Vulnerabilidad en Windows DNS Server de Microsoft (CVE-2021-33780)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Windows DNS Server. Este ID de CVE es diferente de CVE-2021-33746, CVE-2021-33754, CVE-2021-34494, CVE-2021-34525
Vulnerabilidad en Windows ADFS de Microsoft (CVE-2021-33779)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Omisión de la Funcionalidad de Seguridad de Windows ADFS
Vulnerabilidad en Windows Desktop Bridge de Microsoft (CVE-2021-33759)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Desktop Bridge
Vulnerabilidad en el archivo wy_side_visitor.php en la función wy_controlls/ en Wayang-CMS (CVE-2020-29147)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de inyección SQL en la función wy_controlls/ en el archivo wy_side_visitor.php de Wayang-CMS versión v1.0, permite a atacantes obtener información confidencial de la base de datos
Vulnerabilidad en la función isEmail(input) en el paquete is-email de Segment para Node.js (CVE-2021-36716)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Se ha encontrado un fallo ReDoS (Denegación de Servicio por expresión regular) en el paquete is-email de Segment versiones anteriores a 1.0.1 para Node.js. Un atacante que es capaz de proporcionar una entrada diseñada a la función isEmail(input) puede causar a una aplicación consumir una cantidad excesiva de CPU
Vulnerabilidad en la funcionalidad "Subscribe" en Booking Core - Ultimate Booking System Booking Core (CVE-2020-25445)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Booking Core - Ultimate Booking System Booking Core versión 1.7.0. La funcionalidad "Subscribe" de la aplicación es vulnerable a una inyección de fórmulas CSV. La entrada conteniendo la fórmula de Excel no está siendo saneada por la aplicación. Como resultado, cuando un administrador en el backend descarga y abre el CSV, el contenido de las celdas es ejecutado. Campos vulnerables: Nombre y Apellido de la petición "Subscribe"
Vulnerabilidad en el ID de correo electrónico del usuario en Booking Core - Ultimate Booking System Booking Core (CVE-2020-27379)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en Booking Core - Ultimate Booking System Booking Core versión 1.7.0. El token CSRF no esta siendo comprobado cuando la petición es enviada como método GET. Esto resulta en un cambio no autorizado en el ID de correo electrónico del usuario, que posteriormente puede ser usado para restablecer la contraseña. La nueva contraseña se enviará a un ID de correo electrónico modificado
Vulnerabilidad en el archivo GpsNetInitiatedHandler.java en la función setNiNotification en Android (CVE-2020-0417)
Gravedad:
AltaAlta
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
En la función setNiNotification del archivo GpsNetInitiatedHandler.java, se presenta una posible omisión de permisos debido a un PendingIntent mutable vacío. Esto podría conllevar a una escalada local de privilegios con privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-8.1 Android-9, ID de Android: A-154319182

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la función de seguridad de Azure AD (CVE-2021-33781)
Gravedad:
MediaMedia
Publication date: 14/07/2021
Last modified:
16/07/2021
Descripción:
Vulnerabilidad de la función de seguridad de Azure AD
Vulnerabilidad en la configuración de NAT (local) en Netgate pfSens (CVE-2020-19201)
Gravedad:
BajaBaja
Publication date: 12/07/2021
Last modified:
14/09/2021
Descripción:
Se ha encontrado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en status_filter_reload.php, una página de la WebGUI del software pfSense, en la versión 2.4.4-p2 de Netgate pfSense y anteriores. La página no codificaba la salida del proceso de recarga del filtro, y era posible un XSS almacenado a través del parámetro descr (descripción) en las reglas NAT
Vulnerabilidad en el servicio web en un URI myspeed/sf?filename= en Visualware MyConnection Server (CVE-2021-27198)
Gravedad:
AltaAlta
Publication date: 26/02/2021
Last modified:
14/09/2021
Descripción:
Se ha descubierto un problema en Visualware MyConnection Server antes de la versión 11.1a. La ejecución remota de código no autenticada puede ocurrir a través de la carga arbitraria de archivos en el servicio web cuando se utiliza un URI myspeed/sf?filename=. Esta aplicación está escrita en Java y, por tanto, es multiplataforma. La instalación de Windows se ejecuta como SYSTEM, lo que significa que la explotación otorga privilegios de administrador en el sistema de destino
Vulnerabilidad en un componente dentro de la aplicación afectada llama a un binario auxiliar en diversos productos de Siemens (CVE-2020-7581)
Gravedad:
AltaAlta
Publication date: 14/07/2020
Last modified:
13/07/2021
Descripción:
Se ha identificado una vulnerabilidad en Opcenter Execution Discrete (Todas las versiones anteriores a V3.2), Opcenter Execution Foundation (Todas las versiones anteriores a V3.2), Opcenter Execution Process (Todas las versiones anteriores a V3.2), Opcenter Intelligence (Todas las versiones anteriores a V3.3), Opcenter Quality (Todas las versiones anteriores a V11.3), Opcenter RD&L (V8.0), SIMATIC Notifier Server for Windows (Todas las versiones), SIMATIC PCS neo (Todas las versiones anteriores a V3.0 SP1), SIMATIC STEP 7 (TIA Portal) V15 (Todas las versiones anteriores a V15.1 Update 5), SIMATIC STEP 7 (TIA Portal) V16 (Todas las versiones anteriores a V16 Update 2), SIMOCODE ES versiones anteriores o iguales a la versión V15.1 (Todas las versiones anteriores a V15.1 Update 4), SIMOCODE ES V16 (Todas las versiones anteriores a V16 Update 1), Soft Starter ES versiones anteriores o iguales a la versión V15.1 (Todas las versiones anteriores a V15.1 Update 3), Soft Starter ES V16 (Todas las versiones anteriores a V16 Update 1). Un componente dentro de la aplicación afectada llama a un binario auxiliar con privilegios SYSTEM durante el arranque mientras que la ruta de la llamada no está citada
CVE-2020-7588
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
13/07/2021
Descripción:
Se ha identificado una vulnerabilidad en Opcenter Execution Discrete (Todas las versiones anteriores a V3.2), Opcenter Execution Foundation (Todas las versiones anteriores a V3.2), Opcenter Execution Process (Todas las versiones anteriores a V3.2), Opcenter Intelligence (Todas las versiones anteriores a V3.3), Opcenter Quality (Todas las versiones anteriores a V11.3), Opcenter RD&L (V8.0), SIMATIC IT LMS (Todas las versiones anteriores a V2.6), SIMATIC IT Production Suite (Todas las versiones anteriores a V8.0), SIMATIC Notifier Server for Windows (Todas las versiones), SIMATIC PCS neo (Todas las versiones anteriores a V3.0 SP1), SIMATIC STEP 7 (TIA Portal) V15 (Todas las versiones anteriores a V15.1 Update 5), SIMATIC STEP 7 (TIA Portal) V16 (Todas las versiones anteriores a V16 Update 2), SIMOCODE ES versiones anteriores o igual a la versión V15.1 (Todas las versiones anteriores a V15.1 Update 4), SIMOCODE ES V16 (Todas las versiones anteriores a V16 Update 1), Soft Starter ES versiones anteriores o igual a la versión V15.1 (Todas las versiones anteriores a V15.1 Update 3), Soft Starter ES V16 (Todas las versiones anteriores a V16 Update 1). Al enviar un paquete especialmente diseñado hacia el servicio afectado podría causar una Denegación de Servicio remota parcial, lo que provocaría que el servicio se reiniciara
Vulnerabilidad en el envío de múltiples paquetes hacia el servicio en diversos productos de Siemens (CVE-2020-7587)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
18/10/2021
Descripción:
Se ha identificado una vulnerabilidad en Opcenter Execution Discrete (Todas las versiones anteriores a V3.2), Opcenter Execution Foundation (Todas las versiones anteriores a V3.2), Opcenter Execution Process (Todas las versiones anteriores a V3.2), Opcenter Intelligence (Todas las versiones anteriores a V3.3), Opcenter Quality (Todas las versiones anteriores a V11.3), Opcenter RD&L (V8.0), SIMATIC IT LMS (Todas las versiones anteriores a V2.6), SIMATIC IT Production Suite (Todas las versiones anteriores a V8.0), SIMATIC Notifier Server for Windows (Todas las versiones), SIMATIC PCS neo (Todas las versiones anteriores a V3.0 SP1), SIMATIC STEP 7 (TIA Portal) V15 (Todas las versiones anteriores a V15.1 Update 5), SIMATIC STEP 7 (TIA Portal) V16 (Todas las versiones anteriores a V16 Update 2), SIMOCODE ES versiones anteriores o igual a la versión V15.1 (Todas las versiones anteriores a V15.1 Update 4), SIMOCODE ES V16 (Todas las versiones anteriores a V16 Update 1), Soft Starter ES versiones anteriores o igual a la versión V15.1 (Todas las versiones anteriores a V15.1 Update 3), Soft Starter ES V16 (Todas las versiones anteriores a V16 Update 1). Al enviar múltiples paquetes especialmente diseñados al servicio afectado podría provocar una denegación de servicio remota parcial, lo que causaría que el servicio se reiniciara. En algunos casos, la vulnerabilidad podría filtrar inparamación aleatoria del servicio remoto