Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en IBM Business Automation Workflow (CVE-2021-29835)
Gravedad:
MediaMedia
Publication date: 22/10/2021
Last modified:
25/10/2021
Descripción:
IBM Business Automation Workflow versiones 18.0, 19.0, 20.0 y 21.0, es vulnerable a una ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 204833
Vulnerabilidad en la configuración del sistema Log File Name en SuiteCRM (CVE-2021-42840)
Gravedad:
AltaAlta
Publication date: 22/10/2021
Last modified:
30/11/2021
Descripción:
SuiteCRM versiones anteriores a 7.11.19, permite una ejecución de código remota por medio de la configuración del sistema Log File Name. En determinadas circunstancias que implican la toma de posesión de la cuenta de administrador, logger_file_name puede referirse a un archivo PHP controlado por el atacante bajo el root de la web, porque sólo las extensiones de archivos PHP en minúsculas fueron bloqueadas. NOTA: este problema se presenta debido a una corrección incompleta de CVE-2020-28328
Vulnerabilidad en Csdn APP (CVE-2021-41747)
Gravedad:
MediaMedia
Publication date: 22/10/2021
Last modified:
25/10/2021
Descripción:
Se presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Csdn APP versión 4.10.0, que puede ser explotada por atacantes para conseguir información confidencial como las cookies de los usuarios
Vulnerabilidad en varios parámetros en las entradas del administrador en McAfee ePolicy Orchestrator (ePO) (CVE-2021-31834)
Gravedad:
BajaBaja
Publication date: 22/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting almacenado en McAfee ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 11, permite a administradores de ePO inyectar scripts web o HTML arbitrarios por medio de varios parámetros en los que las entradas del administrador no se han saneado correctamente
Vulnerabilidad en un parámetro en las entradas del administrador en McAfee ePolicy Orchestrator (ePO) (CVE-2021-31835)
Gravedad:
MediaMedia
Publication date: 22/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting en McAfee ePolicy Orchestrator (ePO) versiones anteriores a la Actualización 5.10 11, permite a administradores de ePO inyectar scripts web o HTML arbitrarios por medio de un parámetro específico en el que las entradas del administrador no se han saneado correctamente
Vulnerabilidad en la acción AJAX wp_ajax_heateor_sss_import_config en el plugin Sassy Social Share de WordPress (CVE-2021-39321)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
La versión 3.3.23 del plugin Sassy Social Share de WordPress es vulnerable a una inyección de objetos de PHP por medio de la acción AJAX wp_ajax_heateor_sss_import_config debido a una deserialización de entradas no validadas por el usuario por medio de la función import_config que se encuentra en el archivo ~/admin/class-sassy-social-share-admin.php. Esto puede ser explotado por usuarios autenticados no privilegiados debido a una falta de comprobación de capacidades en la función import_config
Vulnerabilidad en el archivo ~/class.php en el plugin Leaky Paywall de WordPress (CVE-2021-39357)
Gravedad:
BajaBaja
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
El plugin Leaky Paywall de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneo de entradas por medio del archivo ~/class.php, que permite a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 4.16.5 incluyéndola. Esto afecta a las instalaciones multisitio en las que unfiltered_html está deshabilitado para los administradores, y los sitios en los que unfiltered_html está deshabilitado
Vulnerabilidad en Atlassian Jira Server y Data Center (CVE-2021-39126)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Unas versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos modificar varios recursos por medio de una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF), siguiendo una vulnerabilidad de Divulgación de Información en los encabezados de referencia que revela el token CSRF de un usuario. Las versiones afectadas son anteriores a la versión 8.5.10, y desde la versión 8.6.0 hasta 8.13.2
Vulnerabilidad en Atlassian Jira Server y Data Center (CVE-2021-39127)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Unas versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos anónimos al componente de consulta JQL endpoint por medio de una vulnerabilidad de Control de Acceso Roto (BAC). Las versiones afectadas son anteriores a la versión 8.5.10, y desde la versión 8.6.0 hasta 8.13.1
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) Software (CVE-2021-40121)
Gravedad:
BajaBaja
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Varias vulnerabilidades en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) Software podrían permitir a un atacante conducir un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz. Para obtener más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en una API de la función Call Bridge de Cisco Meeting Server (CVE-2021-40122)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en una API de la función Call Bridge de Cisco Meeting Server podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido al manejo inapropiado de grandes series de peticiones de mensajes. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de una serie de mensajes a la API vulnerable. Una explotación con éxito podría permitir al atacante causar la recarga del dispositivo afectado, dejando caer todas las llamadas en curso y resultando en una condición de DoS
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2021-40123)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podría permitir a un atacante remoto autenticado con privilegios administrativos de sólo lectura descargar archivos que deberían estar restringidos. Esta vulnerabilidad es debido a una configuración incorrecta de los permisos en un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de una petición HTTP diseñada al dispositivo. Una explotación con éxito podría permitir al atacante descargar archivos que deberían estar restringidos
Vulnerabilidad en el objeto global proto en el paquete x-assign (CVE-2021-23452)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Esto afecta a todas las versiones del paquete x-assign. El objeto global proto puede ser contaminado usando el objeto __proto__
Vulnerabilidad en Forgery (SSRF) en la función media upload en Camaleon CMS (CVE-2021-25972)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
En Camaleon CMS, versiones 2.1.2.0 a 2.6.0, son vulnerables a un ataque de tipo Server-Side Request Forgery (SSRF) en la función media upload, que permite a usuarios administradores obtener archivos de medios desde URLs externas, pero no comprueba las URLs que hacen referencia a localhost u otros servidores internos. Esto permite a atacantes leer archivos almacenados en el servidor interno
Vulnerabilidad en la sesión activa de los usuarios en Camaleon CMS (CVE-2021-25970)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
29/10/2021
Descripción:
Camaleon CMS versiones 0.1.7 a 2.6.0, no termina la sesión activa de los usuarios, incluso después de que el administrador cambie la contraseña del usuario. Un usuario que ya estaba conectado, seguirá teniendo acceso a la aplicación incluso después de que la contraseña fue cambiada
Vulnerabilidad en la función media upload de la aplicación en Camaleon CMS (CVE-2021-25971)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
30/11/2021
Descripción:
En Camaleon CMS, versiones 2.0.1 a 2.6.0 son vulnerables a un ataque de tipo Uncaught Exception. La función media upload de la aplicación es bloqueada permanentemente cuando un atacante con un acceso de bajo privilegio carga un archivo .svg especialmente diseñado
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: GIS) (CVE-2021-35631)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: GIS). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core) (CVE-2021-35620)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de T3 comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption) (CVE-2021-35622)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35628)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35629)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.25 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Options) (CVE-2021-35630)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Options). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o todos los datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Data Dictionary) (CVE-2021-35632)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Data Dictionary). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la infraestructura donde se ejecuta MySQL Server, comprometer el servidor MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.4 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Logging) (CVE-2021-35633)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Logging). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de MySQL Server. CVSS 3.1 Puntuación Base 2.7 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35634)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35635)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35636)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PS) (CVE-2021-35637)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PS). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35638)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure) (CVE-2021-35639)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Stored Procedure). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el componente RDBMS Security de Oracle Database Server (CVE-2021-35551)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el componente RDBMS Security de Oracle Database Server. Las versiones compatibles que están afectadas son 12.2.0.1, 19c y 21c. Una vulnerabilidad explotable fácilmente permite a un atacante con privilegios de DBA con acceso a la red por medio de Oracle Net, comprometer la seguridad del RDBMS. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o un bloqueo que se repite con frecuencia (DOS completa) de RDBMS Security, así como el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles de RDBMS Security. CVSS 3.1 Puntuación Base 5.5 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Diagnostics) (CVE-2021-35552)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Diagnostics). Las versiones compatibles que están afectadas son 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 5.3 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Vulnerabilidad en el componente Oracle Database Enterprise Edition Unified Audit de Oracle Database Server (CVE-2021-35576)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el componente Oracle Database Enterprise Edition Unified Audit de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1 y 19c. Una vulnerabilidad explotable fácilmente permite a un atacante con privilegios de inicio de sesión local con acceso a la red por medio de Oracle Net comprometer a Oracle Database Enterprise Edition Unified Audit. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Database Enterprise Edition Unified Audit. CVSS 3.1 Puntuación Base 2.7 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35574)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35573)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35572)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto PeopleSoft Enterprise CS Academic Advisement de Oracle PeopleSoft (componente: Advising Notes) (CVE-2021-35571)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise CS Academic Advisement de Oracle PeopleSoft (componente: Advising Notes). La versión compatible que está afectada es 9.2. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer PeopleSoft Enterprise CS Academic Advisement. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a la actualización, inserción o eliminación de algunos de los datos accesibles de PeopleSoft Enterprise CS Academic Advisement, así como el acceso no autorizado a la lectura de un subconjunto de datos accesibles de PeopleSoft Enterprise CS Academic Advisement. CVSS 3.1 Puntuación Base 5.4 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Rich Text Editor) (CVE-2021-35568)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Rich Text Editor). Las versiones compatibles que están afectadas son 8.57, 8.58 y 8.59. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer PeopleSoft Enterprise PeopleTools. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.1 Puntuación Base 6.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Java SE de Oracle Java SE (componente: Deployment) (CVE-2021-35560)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Java SE de Oracle Java SE (componente: Deployment). La versión compatible que está afectada es Java SE: 8u301. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer Java SE. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Java SE. Nota: Esta vulnerabilidad se aplica a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad no se aplica a las implantaciones de Java, normalmente en servidores, que cargan y ejecutan únicamente código confiable (por ejemplo, código instalado por un administrador). CVSS 3.1 Puntuación Base 7.5 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el procesamiento de paquetes en el MS-MPC/MS-MIC en Juniper Networks Junos OS (CVE-2021-31351)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una comprobación inapropiada de condiciones inusuales o excepcionales en el procesamiento de paquetes en el MS-MPC/MS-MIC usado por Juniper Networks Junos OS permite a un atacante malicioso enviar un paquete específico, haciendo que el MS-MPC/MS-MIC se reinicie, causando una Denegación de Servicio (DoS). Si se sigue recibiendo y procesando este paquete, se creará una condición de Denegación de Servicio (DoS) sostenida. Este problema sólo afecta a versiones específicas de Juniper Networks Junos OS en la serie MX: 17.3R3-S11; 17.4R2-S13; 17.4R3 anterior a 17.4R3-S5; 18.1R3-S12; 18.2R2-S8, 18.2R3-S7, 18.2R3-S8; 18.3R3-S4; 18.4R3-S7; 19.1R3-S4, 19.1R3-S5; 19.2R1-S6; 19.3R3-S2; 19.4R2-S4, 19.4R2-S5; 19. 4R3-S2; 20.1R2-S1; 20.2R2-S2, 20.2R2-S3, 20.2R3; 20.3R2, 20.3R2-S1; 20.4R1, 20.4R1-S1, 20.4R2; 21.1R1; Este problema no afecta a ninguna versión de Juniper Networks Junos OS anterior a la 15.1X49-D240;
Vulnerabilidad en Juniper Networks Junos OS y Junos OS Evolved (CVE-2021-31353)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de administración inapropiada de condiciones excepcionales en Juniper Networks Junos OS y Junos OS Evolved permite a un atacante inyectar una actualización BGP específica, causando el bloqueo y el reinicio del demonio del protocolo de enrutamiento (RPD), conllevando a una Denegación de Servicio (DoS). Si se sigue recibiendo y procesando la actualización BGP, será creada una condición de Denegación de Servicio (DoS) sostenida. Este problema afecta a versiones muy específicas de Juniper Networks Junos OS: 19.3R3-S2; 19.4R3-S3; 20.2 versiones 20.2R2-S3 y posteriores, anteriores a 20.2R3-S2; 20.3 versiones 20.3R2 y posteriores, anteriores a 20.3R3; 20.4 versiones 20.4R2 y posteriores, anteriores a 20.4R3; versiones 21.1 anteriores a 21.1R2. Juniper Networks Junos OS 20.1 no está afectado por este problema. Este problema también afecta a Juniper Networks Junos OS Evolved: Todas las versiones anteriores a 20.4R2-S3-EVO, 20.4R3-EVO; 21.1-EVO versiones anteriores a 21.1R2-EVO; 21.2-EVO versiones anteriores a 21.2R2-EVO
Vulnerabilidad en el manejo de respuestas por parte de un cliente de Juniper Agile License (JAL) en Juniper Networks Junos OS y Junos OS Evolved (CVE-2021-31354)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de acceso fuera de límites (OOB) en el manejo de respuestas por parte de un cliente de Juniper Agile License (JAL) en Juniper Networks Junos OS y Junos OS Evolved, configurado en modo de red (para usar Juniper Agile License Manager) puede permitir a un atacante causar una Denegación de Servicio (DoS) parcial o conllevar a una ejecución remota de código (RCE). La vulnerabilidad se presenta en la lógica de análisis de paquetes en el cliente que procesa la respuesta del servidor usando un protocolo personalizado. Un atacante con el control de un Administrador de Licencias JAL, o con acceso al dominio de difusión local, puede ser capaz de falsificar un nuevo Administrador de Licencias JAL y/o diseñar una respuesta al Cliente de Licencias del Sistema Operativo Junos, conllevando a una explotación de esta vulnerabilidad. Este problema sólo afecta a los sistemas Junos configurados en modo de red. Los sistemas configurados en modo autónomo (el modo de funcionamiento predeterminado para todos los sistemas) no son vulnerables a este problema. Este problema afecta a: Juniper Networks Junos OS: versiones 19.2 anteriores a 19.2R3-S3; versiones 19.3 anteriores a 19.3R3-S3; versiones 20.1 anteriores a 20.1R2-S2, 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3; versiones 20.4 anteriores a 20.4R3; versiones 21.1 anteriores a 21.1R2. Juniper Networks Junos OS Evolved: versión 20.1R1-EVO y versiones posteriores, anteriores a 21.2R2-EVO. Este problema no afecta a las versiones de Juniper Networks Junos OS anteriores a 19.2R1
Vulnerabilidad en la interfaz gráfica de usuario del portal cautivo de Juniper Networks Junos OS (CVE-2021-31355)
Gravedad:
BajaBaja
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) persistente en la interfaz gráfica de usuario del portal cautivo de Juniper Networks Junos OS puede permitir que un usuario remoto autenticado inyecte script web o HTML y robe datos y credenciales confidenciales de una sesión de administración web, posiblemente engañando a un usuario administrativo posterior para que lleve a cabo acciones administrativas en el dispositivo. Este problema afecta a Juniper Networks Junos OS: Todas las versiones, incluidas las siguientes versiones compatibles: versiones 12.3X48 anteriores a 12.3X48-D105; versiones 15.1X49 anteriores a 15.1X49-D220; versiones 18.3 anteriores a 18.3R3-S5; versiones 18.4 anteriores a 18.4R3-S9; versiones 19.1 anteriores a 19.1R3-S7; versiones 19.2 anteriores a 19.2R3-S3; versiones 19. 3 versiones anteriores a 19.3R3-S4; versiones 19.4 anteriores a 19.4R3-S6; versiones 20.1 anteriores a 20.1R3; versiones 20.2 anteriores a 20.2R1-S1, 20.2R2; versiones 20.3 anteriores a 20.3R2; versiones 20.4 anteriores a 20.4R2; versiones 21.1 anteriores a 21.1R2
Vulnerabilidad en el archivo ActivityManagerShellCommand.java en la función runTraceIpcStop de Android (CVE-2021-0683)
Gravedad:
MediaMedia
Publication date: 06/10/2021
Last modified:
07/10/2021
Descripción:
En la función runTraceIpcStop del archivo ActivityManagerShellCommand.java, se presenta un posible borrado de archivos del sistema debido a un problema de tipo confused deputy. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11 Android-8.1 Android-9 Android-10, ID de Android: A-185398942
Vulnerabilidad en el analizador de mensajes Link Layer Discovery Protocol (LLDP) de Cisco IOS Software and Cisco IOS XE Software (CVE-2021-34703)
Gravedad:
MediaMedia
Publication date: 23/09/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el analizador de mensajes Link Layer Discovery Protocol (LLDP) de Cisco IOS Software and Cisco IOS XE Software podría permitir a un atacante desencadenar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido a una inicialización inapropiada de un búfer. Un atacante podría explotar esta vulnerabilidad por cualquiera de los siguientes métodos: Un atacante autenticado y remoto podría acceder a la tabla de vecinos LLDP por medio de la CLI o SNMP mientras el dispositivo está en un estado específico. Un atacante adyacente no autenticado podría corromper la tabla de vecinos LLDP inyectando tramas LLDP específicas en la red y luego esperar a que un administrador del dispositivo o un sistema de administración de red (NMS) que administre el dispositivo recupere la tabla de vecinos LLDP del dispositivo por medio de la CLI o SNMP. Un atacante autenticado y adyacente con credenciales SNMP de sólo lectura o con privilegios bajos en la CLI del dispositivo podría corromper la tabla de vecinos LLDP inyectando tramas LLDP específicas en la red y luego accediendo a la tabla de vecinos LLDP por medio de la CLI o SNMP. Una explotación con éxito podría permitir al atacante causar el bloqueo del dispositivo afectado, resultando en una recarga del dispositivo

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la sección de comentarios del post en la aplicación "Camaleon CMS" (CVE-2021-25969)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
29/11/2021
Descripción:
En la aplicación Camaleon CMS, las versiones 0.0.1 a 2.6.0 son vulnerables a un ataque de tipo XSS almacenado, que permite a un atacante no autentificado almacenar scripts maliciosos en la sección de comentarios del post. Estos scripts se ejecutan en el navegador de la víctima cuando ésta abre la página que contiene el comentario malicioso
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35621)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
22/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.33 y anteriores, 7.5.23 y anteriores, 7.6.19 y anteriores y 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde se ejecuta el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1 Puntuación Base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35575)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JSSE) (CVE-2021-35550)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
23/11/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JSSE). Las versiones compatibles que están afectadas son Java SE: 7u311, 8u301, 11.0.12; Oracle GraalVM Enterprise Edition: 20.3.3 y 21.2.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de TLS comprometer Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1 Puntuación Base 5.9 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Utility) (CVE-2021-35561)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
24/11/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Utility). Las versiones compatibles que están afectadas son Java SE: 7u311, 8u301, 11.0.12, 17; Oracle GraalVM Enterprise Edition: 20.3.3 y 21.2.0. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1 Puntuación Base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JSSE) (CVE-2021-35578)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
24/11/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JSSE). Las versiones compatibles que están afectadas son Java SE: 8u301, 11.0.12, 17; Oracle GraalVM Enterprise Edition: 20.3.3 y 21.2.0. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de TLS comprometer Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad sólo puede ser explotada al suministrar datos a las API en el componente especificado sin usar aplicaciones Java Web Start no confiables o applets Java no confiables, como por ejemplo mediante un servicio web. CVSS 3.1 Puntuación Base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35577)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. La vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de MySQL Protcol comprometer el Servidor MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JSSE) (CVE-2021-35565)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
23/11/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JSSE). Las versiones compatibles que están afectadas son Java SE: 7u311, 8u301, 11.0.12; Oracle GraalVM Enterprise Edition: 20.3.3 y 21.2.0. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de TLS comprometer Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad sólo puede ser explotada al suministrar datos a las API en el componente especificado sin usar aplicaciones Java Web Start no confiables o applets Java no confiables, como por ejemplo mediante un servicio web. CVSS 3.1 Puntuación Base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el paquete vm2 (CVE-2021-23449)
Gravedad:
AltaAlta
Publication date: 18/10/2021
Last modified:
04/11/2021
Descripción:
Esto afecta al paquete vm2 antes de la versión 3.9.4 a través de un vector de ataque de Prototipo de Contaminación, que puede llevar a la ejecución de código arbitrario en la máquina anfitriona
Vulnerabilidad en un archivo YAML Deno (CVE-2021-42139)
Gravedad:
MediaMedia
Publication date: 11/10/2021
Last modified:
04/11/2021
Descripción:
Deno Standard Modules versiones anteriores a 0.107.0, permite una inyección de código por medio de un archivo YAML no confiable en determinadas configuraciones
Vulnerabilidad en el parámetro path en el paquete set-value (CVE-2021-23440)
Gravedad:
AltaAlta
Publication date: 12/09/2021
Last modified:
03/11/2021
Descripción:
Esto afecta al paquete set-value anterior a la versión 2.0.1, posterior o igual a la versión 3.0.0 y anterior a la versión 4.0.1. Una vulnerabilidad de confusión de tipos puede conducir a una derivación de CVE-2019-10747 cuando las claves proporcionadas por el usuario utilizadas en el parámetro de ruta son matrices
Vulnerabilidad en WordPress (CVE-2018-12895)
Gravedad:
MediaMedia
Publication date: 26/06/2018
Last modified:
05/11/2021
Descripción:
WordPress hasta la versión 4.9.6 permite que los usuarios Author ejecuten código arbitrario aprovechándose de un salto de directorio en el parámetro thumb en wp-admin/post.php que se pasa a la función unlink en PHP y puede borrar el archivo wp-config.php. Esto está relacionado con la ausencia de validación de nombres de archivo en la función wp_delete_attachment en wp-includes/post.php. El atacante debe tener capacidades para archivos y publicaciones que normalmente están disponibles solo para los roles Author, Editor y Administrator. La metodología de ataque es borrar wp-config.php y luego ejecutar un proceso de instalación nuevo para incrementar los privilegios del atacante.