Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en snipe-it (CVE-2021-3879)
Gravedad:
BajaBaja
Publication date: 19/10/2021
Last modified:
21/10/2021
Descripción:
snipe-it es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Vulnerabilidad en corenlp (CVE-2021-3869)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
21/10/2021
Descripción:
corenlp es vulnerable a una Restricción Inapropiada de la Referencia a Entidades Externas XML
Vulnerabilidad en snipe-it (CVE-2021-3863)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
21/10/2021
Descripción:
snipe-it es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Vulnerabilidad en firefly-iii (CVE-2021-3851)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
21/10/2021
Descripción:
firefly-iii es vulnerable a una Redirección de URLs a Sitios no Confiables
Vulnerabilidad en la funcionalidad Sitemap en "OpenCMS" (CVE-2021-25968)
Gravedad:
BajaBaja
Publication date: 19/10/2021
Last modified:
21/10/2021
Descripción:
En "OpenCMS", versiones 10.5.0 a 11.0.2, están afectadas por una vulnerabilidad de tipo XSS almacenado que permite a usuarios de aplicaciones poco privilegiado almacenar scripts maliciosos en la funcionalidad Sitemap. Estos scripts se ejecutan en el navegador de la víctima cuando ésta abre la página que contiene el campo vulnerable
Vulnerabilidad en la caja de entrada del nodo en las plantillas personalizadas en Portainer (CVE-2021-42650)
Gravedad:
MediaMedia
Publication date: 18/10/2021
Last modified:
21/10/2021
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en Portainer versiones anteriores a 2.9.1 por medio de la caja de entrada del nodo en las plantillas personalizadas
Vulnerabilidad en un archivo en la ruta del usuario en el software de firewall de GlassWire (CVE-2021-22961)
Gravedad:
AltaAlta
Publication date: 18/10/2021
Last modified:
21/10/2021
Descripción:
Se presenta una vulnerabilidad de inyección de código en el software de firewall de GlassWire versión v2.1.167, que podría conllevar a una ejecución de código arbitrario desde un archivo en la ruta del usuario en la primera ejecución
Vulnerabilidad en el middleware Host Authorization de Action Pack (CVE-2021-22942)
Gravedad:
MediaMedia
Publication date: 18/10/2021
Last modified:
21/10/2021
Descripción:
Se presenta una posible vulnerabilidad de redireccionamiento abierto en el middleware Host Authorization de Action Pack versiones posteriores a 6.0.0 incluyéndola, que podría permitir a atacantes redirigir a usuarios a un sitio web malicioso
Vulnerabilidad en un documento en la implementación de JavaScript de Nitro Pro PDF (CVE-2021-21797)
Gravedad:
MediaMedia
Publication date: 18/10/2021
Last modified:
21/10/2021
Descripción:
Se presenta una vulnerabilidad de doble liberación explotable en la implementación de JavaScript de Nitro Pro PDF. Un documento especialmente diseñado puede causar que una referencia a un objeto de tiempo de espera se almacene en dos lugares diferentes. Cuando se cierra el documento, la referencia se libera dos veces. Esto puede conllevar a una ejecución de código bajo el contexto de la aplicación. Un atacante puede convencer a un usuario de que abra un documento para desencadenar esta vulnerabilidad
Vulnerabilidad en un documento en la implementación de JavaScript de Nitro Pro PDF (CVE-2021-21796)
Gravedad:
MediaMedia
Publication date: 18/10/2021
Last modified:
21/10/2021
Descripción:
Se presenta una vulnerabilidad explotable de uso de memoria previamente liberada en la implementación de JavaScript de Nitro Pro PDF. Un documento especialmente diseñado puede causar la destrucción de un objeto que contiene la ruta de acceso a un documento y su posterior reuso, resultando en una vulnerabilidad de uso de memoria previamente liberada, que puede conllevar a una ejecución de código bajo el contexto de la aplicación. Un atacante puede convencer a un usuario de abrir un documento para desencadenar esta vulnerabilidad
Vulnerabilidad en la vista previa de los enlaces en Rocket.Chat (CVE-2020-8291)
Gravedad:
MediaMedia
Publication date: 18/10/2021
Last modified:
21/10/2021
Descripción:
Un problema de renderización de la vista previa de los enlaces en Rocket.Chat versiones anteriores a 3.9, podía conllevar a posibles ataques de tipo XSS
Vulnerabilidad en contraseñas como parámetros de línea de comandos en stonith-ng en pacemaker y cluster-glue (CVE-2010-2496)
Gravedad:
BajaBaja
Publication date: 18/10/2021
Last modified:
21/10/2021
Descripción:
stonith-ng en pacemaker y cluster-glue pasaba contraseñas como parámetros de línea de comandos, que hacía posible que los atacantes locales obtuvieran acceso a las contraseñas de la pila de HA e influyeran potencialmente en sus operaciones. Esto se ha corregido en cluster-glue versiones 1.0.6 y posteriores, y en pacemaker versiones 1.1.3 y posteriores

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en vim (CVE-2021-3872)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
28/11/2021
Descripción:
vim es vulnerable a un Desbordamiento del Búfer en la región Heap de la Memoria
Vulnerabilidad en un certificado de servidor de origen o de pares en Squid (CVE-2021-41611)
Gravedad:
MediaMedia
Publication date: 18/10/2021
Last modified:
28/11/2021
Descripción:
Se ha detectado un problema en Squid versiones 5.0.6 hasta 5.1.x anteriores a 5.2. Cuando se comprueba un certificado de servidor de origen o de pares, Squid puede clasificar incorrectamente determinados certificados como confiable. Este problema permite que un servidor remoto obtenga la confianza de seguridad de forma inapropiada. Esta indicación confiable puede ser transmitida a clientes, permitiendo el acceso a servicios no seguros o secuestrados