Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo rw_main.cc en la función RW_SetActivatedTagType de Android (CVE-2021-0870)
Gravedad:
AltaAlta
Publication date: 22/10/2021
Last modified:
29/11/2021
Descripción:
En la función RW_SetActivatedTagType del archivo rw_main.cc, se presenta una posible corrupción de memoria debido a una condición de carrera. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-9 Android-10 Android-11 Android-8.1, ID de Android: A-192472262
Vulnerabilidad en el archivo ActivityManagerShellCommand.java en la función runDumpHeap de Android (CVE-2021-0708)
Gravedad:
AltaAlta
Publication date: 22/10/2021
Last modified:
26/10/2021
Descripción:
En la función runDumpHeap del archivo ActivityManagerShellCommand.java, se presenta un posible borrado de archivos del sistema debido a una vulnerabilidad de tipo confused deputy. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-9 Android-10 Android-11 Android-8.1, ID de Android: A-183262161
Vulnerabilidad en el archivo SubscriptionController.java en la función getAllSubInfoList de Android (CVE-2021-0643)
Gravedad:
BajaBaja
Publication date: 22/10/2021
Last modified:
26/10/2021
Descripción:
En la función getAllSubInfoList del archivo SubscriptionController.java, se presenta la posibilidad de recuperar un identificador de larga duración sin los permisos correctos debido a una falta de comprobación de permisos. Esto podría conllevar la divulgación de información local con privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11 Android-10, ID de Android: A-183612370
Vulnerabilidad en múltiples métodos de AAudioService de Android (CVE-2021-0483)
Gravedad:
MediaMedia
Publication date: 22/10/2021
Last modified:
26/10/2021
Descripción:
En múltiples métodos de AAudioService, se presenta un posible uso de memoria previamente liberada debido a una condición de carrera. Esto podría conllevar a una escalada local de privilegios, con privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-11, ID de Android: A-153358911
Vulnerabilidad en el parámetro &post en el plugin Ivory Search de WordPress (CVE-2021-36869)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) reflejado en el plugin Ivory Search de WordPress (versiones anteriores a 4.6.6 incluyéndola). Parámetro vulnerable: &post
Vulnerabilidad en HCL Connections (CVE-2021-27746)
Gravedad:
BajaBaja
Publication date: 21/10/2021
Last modified:
26/10/2021
Descripción:
"Actualización de seguridad de HCL Connections para la una Vulnerabilidad de tipo Cross-Site Scripting (XSS) Reflejada"
CVE-2021-35228
Gravedad:
BajaBaja
Publication date: 21/10/2021
Last modified:
26/10/2021
Descripción:
Esta vulnerabilidad se produjo debido a una falta de saneo de la entrada para uno de los campos de salida que se extrae de los encabezados en la sección específica de la página causando un ataque de tipo cross site scripting reflectivo. Un atacante tendría que llevar a cabo un ataque de tipo Man in the Middle para cambiar el encabezado de una víctima remota
Vulnerabilidad en el atributo secure en los tokens de autorización o las cookies de sesión en IBM Standards Processing Engine (CVE-2021-29883)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
IBM Standards Processing Engine (IBM Transformation Extender Advanced 9.0 y 10.0) no establece el atributo secure en los tokens de autorización o las cookies de sesión. Los atacantes pueden ser capaces de conseguir los valores de las cookies mediante el envío de un enlace http:// a un usuario o al plantar este enlace en un sitio al que el usuario se dirija. La cookie será enviada al enlace no seguro y el atacante podrá entonces obtener el valor de la cookie al espiar el tráfico. IBM X-Force ID: 207090
Vulnerabilidad en IBM Flash System 900 (CVE-2021-29873)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
IBM Flash System 900 podría permitir a un atacante autenticado conseguir información confidencial y causar una denegación de servicio debido a una vulnerabilidad de escape de shell restringido. IBM X-Force ID: 206229
Vulnerabilidad en la página mst_servers, en un parámetro server_host, server_name o connection_parameter en WP Mailster (CVE-2021-28975)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
WP Mailster versión 1.6.18.0, permite un ataque de tipo XSS cuando una víctima abre los detalles de un servidor de correo en la página mst_servers, por un parámetro server_host, server_name o connection_parameter diseñado
Vulnerabilidad en Trend Micro Apex One y Worry-Free Business Security (CVE-2021-23139)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de puntero null en Trend Micro Apex One y Worry-Free Business Security versión 10.0 SP1, podría permitir a un atacante bloquear el programa CGI en las instalaciones afectadas
Vulnerabilidad en la interfaz de administración basada en web de Cisco Tetration (CVE-2021-34789)
Gravedad:
BajaBaja
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Tetration podría permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) almacenado en un sistema afectado. Esta vulnerabilidad se presenta porque la interfaz de administración basada en web no comprueba suficientemente la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad al inyectar código malicioso en páginas específicas de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para explotar esta vulnerabilidad, el atacante necesitaría credenciales administrativas válidas
Vulnerabilidad en la interfaz de administración basada en web de Cisco TelePresence Management Suite (TMS) Software (CVE-2021-34760)
Gravedad:
BajaBaja
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco TelePresence Management Suite (TMS) Software podría permitir a un atacante remoto autenticado conducir un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz. Esta vulnerabilidad es debido a que la interfaz de administración basada en web no comprueba suficientemente las entradas. Un atacante podría explotar esta vulnerabilidad al insertar datos maliciosos en un campo de datos específico de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador
Vulnerabilidad en la funcionalidad application integration de Cisco Webex Software (CVE-2021-34743)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en la funcionalidad application integration de Cisco Webex Software podría permitir a un atacante remoto no autenticado autorizar a una aplicación externa a integrarse y acceder a la cuenta de un usuario sin el consentimiento expreso de éste. Esta vulnerabilidad es debido a una comprobación inapropiada los tokens de tipo cross-site request forgery (CSRF). Un atacante podría explotar esta vulnerabilidad al convencer a un usuario objetivo que esté autenticado en el software Cisco Webex para que siga un enlace diseñado para pasar una entrada maliciosa a la interfaz de autorización de la aplicación del software Cisco Webex. Una explotación con éxito podría permitir al atacante causar que Cisco Webex Software autorice una aplicación en nombre del usuario sin el consentimiento expreso de éste, permitiendo posiblemente que aplicaciones externas lean datos del perfil de ese usuario
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) Software (CVE-2021-34738)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
25/10/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web Cisco Identity Services Engine (ISE) Software podrían permitir a un atacante conducir un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz. Para obtener más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en la interfaz de administración basada en web de Cisco Integrated Management Controller (IMC) Software (CVE-2021-34736)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Integrated Management Controller (IMC) Software podría permitir a un atacante remoto no autenticado causar el reinicio inesperado de la interfaz de administración basada en web. La vulnerabilidad es debido a que la interfaz de administración basada en web no comprueba suficientemente las entradas. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de una petición HTTP diseñada a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar el reinicio de la interfaz, resultando en una condición de denegación de servicio (DoS)
Vulnerabilidad en un valor csrf_token en GNU Mailman (CVE-2021-42097)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
05/11/2021
Descripción:
GNU Mailman versiones anteriores a 2.1.35, puede permitir una escalada de privilegios remota. Un valor csrf_token no es específico de una sola cuenta de usuario. Un atacante puede obtener un valor dentro del contexto de una cuenta de usuario sin privilegios, y luego usar ese valor en un ataque de tipo CSRF contra un administrador (por ejemplo, para la toma de posesión de la cuenta)
Vulnerabilidad en un determinado valor de csrf_token en GNU Mailman (CVE-2021-42096)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
05/11/2021
Descripción:
GNU Mailman versiones anteriores a 2.1.35, puede permitir una Escalada de Privilegios remota. Un determinado valor de csrf_token es derivado de la contraseña del administrador, y puede ser útil para llevar a cabo un ataque de fuerza bruta contra esa contraseña
Vulnerabilidad en los valores de subscribe_url en Discourse (CVE-2021-41163)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, las peticiones diseñadas de forma maliciosa podían conllevar a una ejecución de código remota . Esto se debía a una falta de comprobación en los valores de subscribe_url. Este problema está parcheado en las últimas versiones estables, beta y de prueba de Discourse. Para solucionar el problema sin necesidad de actualizar, las peticiones con una ruta que empiece por /webhooks/aws podrían bloquearse en un proxy de subida
Vulnerabilidad en Babel.Locale en Babel (CVE-2021-42771)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Babel.Locale en Babel versiones anteriores a 2.9.1, permite a atacantes cargar archivos .dat de configuración regional arbitrarios (que contienen objetos Python serializados) por medio de salto de directorio, lo que conlleva a una ejecución de código
Vulnerabilidad en el protocolo de consenso Proof-of-Stake (PoS) de Ethereum (CVE-2021-42766)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
El protocolo de consenso Proof-of-Stake (PoS) de Ethereum versiones hasta el 19-10-2021, permite a un adversario causar una denegación de servicio (reorganizaciones de la cadena de consenso de largo alcance), incluso cuando este adversario presenta poco interés y no puede influir en la propagación de los mensajes de la red. Esto puede causar una paralización del protocolo, o un aumento de las ganancias de los comprobadores individuales
Vulnerabilidad en el protocolo de consenso Proof-of-Stake (PoS) de Ethereum (CVE-2021-42765)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
El protocolo de consenso Proof-of-Stake (PoS) de Ethereum versiones hasta 19-10-2021, permite a un adversario aprovechar el retraso de la red para causar una denegación de servicio (paralización indefinida de las decisiones de consenso)
Vulnerabilidad en las reorganizaciones de corto alcance de la cadena de consenso subyacente en el protocolo de consenso Proof-of-Stake (PoS) de Ethereum (CVE-2021-42764)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
El protocolo de consenso Proof-of-Stake (PoS) de Ethereum versiones hasta 19-10-2021, permite a un adversario causar una denegación de servicio (retraso en las decisiones de consenso), y también aumentar los beneficios de los comprobadores individuales, por medio de reorganizaciones de corto alcance de la cadena de consenso subyacente
Vulnerabilidad en las funciones forEachSeries y forEachLimit en modern-async (CVE-2021-41167)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
modern-async es una biblioteca de herramientas de JavaScript de código abierto para operaciones asíncronas usando async/await y promesas. En las versiones afectadas se ha detectado un error que afecta a dos de las funciones de esta biblioteca: forEachSeries y forEachLimit. Deberían limitar la concurrencia de algunas acciones pero, en la práctica, no lo hacen. Cualquier código que llame a estas funciones se escribirá pensando que limitarán la concurrencia pero no lo harán. Esto podría conllevar a posibles problemas de seguridad en otros proyectos. El problema ha sido parcheado en la versión 1.0.4. No se presenta ninguna solución
Vulnerabilidad en IBM QRadar Advisor (CVE-2021-38896)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
IBM QRadar Advisor versiones 2.5 hasta 2.6.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 209566
Vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: Módulo OSSL) (CVE-2021-35666)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: Módulo OSSL). La versión compatible que está afectada es 11.1.1.9.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de HTTPS comprometer el Servidor HTTP de Oracle. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Oracle HTTP Server. CVSS 3.1 Puntuación Base 5.9 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto Hyperion Financial Reporting de Oracle Hyperion (componente: Repository) (CVE-2021-35665)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Hyperion Financial Reporting de Oracle Hyperion (componente: Repository). La versión compatible que está afectada es 11.2.6.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Hyperion Financial Reporting. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Hyperion Financial Reporting, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de Hyperion Financial Reporting, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Hyperion Financial Reporting. CVSS 3.1 Puntuación Base 6.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35662)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35661)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35660)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35659)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35658)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35657)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2021-35656)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la Puntuación Base CVSS dependen del software que usa Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos a través de una red directamente a Outside In Technology, pero si los datos no se reciben a través de una red la puntuación CVSS puede ser menor. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console) (CVE-2021-35655)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console). La versión compatible que está afectada es anterior a 11.1.2.4.046. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Essbase Administration Services. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Essbase Administration Services. CVSS 3.1 Puntuación Base 5.3 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console) (CVE-2021-35654)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console). La versión compatible que está afectada es anterior a 11.1.2.4.046. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Essbase Administration Services. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Essbase Administration Services. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console) (CVE-2021-35653)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console). La versión compatible que está afectada es anterior a 11.1.2.4.046. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Essbase Administration Services. Mientras que la vulnerabilidad está en los Servicios de Administración de Essbase, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Essbase Administration Services. CVSS 3.1 Puntuación Base 7.7 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)
Vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console) (CVE-2021-35652)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console). La versión compatible que está afectada es anterior a 11.1.2.4.046. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Essbase Administration Services. Mientras que la vulnerabilidad está en los Servicios de Administración de Essbase, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de los Servicios de Administración de Essbase. CVSS 3.1 Puntuación Base 10.0 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console) (CVE-2021-35651)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Essbase Administration Services de Oracle Essbase (componente: EAS Console). La versión compatible que está afectada es anterior a 11.1.2.4.046. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Essbase Administration Services. Mientras que la vulnerabilidad está en los Servicios de Administración de Essbase, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Essbase Administration Services, así como el acceso no autorizado a la actualización, inserción o eliminación de algunos de los datos accesibles de Essbase Administration Services. CVSS 3.1 Puntuación Base 8.5 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle Secure Global Desktop de Oracle Virtualization (componente: Cliente) (CVE-2021-35650)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Secure Global Desktop de Oracle Virtualization (componente: Cliente). La versión compatible que está afectada es 5.6. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a Oracle Secure Global Desktop. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Secure Global Desktop y la habilidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Secure Global Desktop. CVSS 3.1 Puntuación Base 4.6 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto Oracle Secure Global Desktop de Oracle Virtualization (componente: Server) (CVE-2021-35649)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Secure Global Desktop de Oracle Virtualization (componente: Server). La versión compatible que está afectada es 5.6. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos comprometer a Oracle Secure Global Desktop. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Secure Global Desktop y la habilidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Secure Global Desktop. CVSS 3.1 Puntuación Base 5.4 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35627)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35626)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Seguridad: Privilegios) (CVE-2021-35625)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Seguridad: Privilegios). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 2.7 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges) (CVE-2021-35624)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges). Las versiones compatibles que están afectadas son 5.7.35 y anteriores y la 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de datos críticos o todos los datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles) (CVE-2021-35623)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Roles). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 2.7 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el componente Java VM de Oracle Database Server (CVE-2021-35619)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1, 19c y 21c. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado y con acceso a la red por medio de Oracle Net, comprometer Java VM. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de posesión de Java VM. CVSS 3.1 Puntuación Base 7.1 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Coherence Container) (CVE-2021-35617)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Coherence Container). Las versiones compatibles que están afectadas son 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de IIOP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 9.8 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle Transportation Management de Oracle Supply Chain (componente: UI Infrastructure) (CVE-2021-35616)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Transportation Management de Oracle Supply Chain (componente: UI Infrastructure). La versión compatible que está afectada es 6.4.3. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Transportation Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a la actualización, inserción o eliminación de algunos de los datos accesibles de Oracle Transportation Management, así como el acceso no autorizado a la lectura de un subconjunto de datos accesibles de Oracle Transportation Management. CVSS 3.1 Puntuación Base 5.4 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35613)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Cluster. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1 Puntuación Base 3.7 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35612)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL, así como la actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1 Puntuación Base 5.5 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto Oracle Sales Offline de Oracle E-Business Suite (componente: Offline Template) (CVE-2021-35611)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Sales Offline de Oracle E-Business Suite (componente: Offline Template). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Sales Offline. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial del servicio (DOS parcial) de Oracle Sales Offline. CVSS 3.1 Puntuación Base 4.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: SQR) (CVE-2021-35609)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: SQR). Las versiones compatibles que están afectadas son 8.57, 8.58 y 8.59. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer PeopleSoft Enterprise PeopleTools. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.1 Puntuación Base 6.5 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto PeopleSoft Enterprise CS Campus Community de Oracle PeopleSoft (componente: Notification Framework) (CVE-2021-35606)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise CS Campus Community de Oracle PeopleSoft (componente: Notification Framework). Las versiones compatibles que están afectadas son 9.0 y la 9.2. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde se ejecuta PeopleSoft Enterprise CS Campus Community, comprometer PeopleSoft Enterprise CS Campus Community. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de PeopleSoft Enterprise CS Campus Community. CVSS 3.1 Puntuación Base 5.7 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto PeopleSoft Enterprise CS SA Integration Pack de Oracle PeopleSoft (componente: Students Administration) (CVE-2021-35601)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise CS SA Integration Pack de Oracle PeopleSoft (componente: Students Administration). Las versiones compatibles que están afectadas son 9.0 y la 9.2. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado que tenga acceso al segmento de comunicación física conectado al hardware donde se ejecuta el PeopleSoft Enterprise CS SA Integration Pack, comprometer el PeopleSoft Enterprise CS SA Integration Pack. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de PeopleSoft Enterprise CS SA Integration Pack. CVSS 3.1 Puntuación Base 5.7 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el componente Zero Downtime DB Migration to Cloud de Oracle Database Server (CVE-2021-35599)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el componente Zero Downtime DB Migration to Cloud de Oracle Database Server. La versión compatible que está afectada es 21c. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado de inicio de sesión local en la infraestructura donde se ejecuta Zero Downtime DB Migration to Cloud poner en peligro Zero Downtime DB Migration to Cloud. Mientras que la vulnerabilidad está en Zero Downtime DB Migration to Cloud, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Zero Downtime DB Migration to Cloud. CVSS 3.1 Puntuación Base 8.2 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35598)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.33 y anteriores, 7.5.23 y anteriores, 7.6.19 y anteriores y 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde se ejecuta el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1 Puntuación Base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2021-35595)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Business Interlink). Las versiones compatibles que están afectadas son 8.57, 8.58 y 8.59. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer PeopleSoft Enterprise PeopleTools. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.1 Puntuación Base 6.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35594)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.33 y anteriores, 7.5.23 y anteriores, 7.6.19 y anteriores y 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde se ejecuta el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1 Puntuación Base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35593)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.33 y anteriores, 7.5.23 y anteriores, 7.6.19 y anteriores y 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde se ejecuta el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1 Puntuación Base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35592)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.5.23 y anteriores, 7.6.19 y anteriores y 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde se ejecuta el Cluster MySQL, comprometer el Cluster MySQL. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1 Puntuación Base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35590)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.33 y anteriores, 7.5.23 y anteriores, 7.6.19 y anteriores y 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde se ejecuta el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1 Puntuación Base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Device drivers) (CVE-2021-35589)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Device drivers). La versión compatible que está afectada es 11. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y que tenga acceso a la infraestructura donde se ejecuta Oracle Solaris, comprometerlo. Mientras que la vulnerabilidad está en Oracle Solaris, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Solaris. CVSS 3.1 Puntuación Base 6.0 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Incentive Compensation de Oracle E-Business Suite (componente: User Interface) (CVE-2021-35585)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Incentive Compensation de Oracle E-Business Suite (componente: User Interface). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Incentive Compensation. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o de todos los datos accesibles de Oracle Incentive Compensation, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Incentive Compensation. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: ndbcluster/plugin DDL) (CVE-2021-35584)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: ndbcluster/plugin DDL). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Cluster. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1 Puntuación Base 4.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Windows) (CVE-2021-35583)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Windows). Las versiones compatibles que están afectadas son 8.0.25 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 7.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports) (CVE-2021-35582)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports). Las versiones compatibles que están afectadas son 12.1.3 y la 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Applications Manager. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Oracle Applications Manager, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o la eliminación de algunos de los datos accesibles de Oracle Applications Manager, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Applications Manager y la habilidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de Oracle Applications Manager. CVSS 3.1 Puntuación Base 6.5 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L)
Vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports) (CVE-2021-35581)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports). Las versiones compatibles que están afectadas son 12.1.3 y la 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Applications Manager. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Oracle Applications Manager, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles de Oracle Applications Manager. CVSS 3.1 Puntuación Base 4.7 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N)
Vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports) (CVE-2021-35580)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: View Reports). Las versiones compatibles que están afectadas son 12.1.3 y la 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Applications Manager. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Oracle Applications Manager, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado de actualización, inserción o eliminación a algunos de los datos accesibles de Oracle Applications Manager, así como a un acceso no autorizado de lectura a un subconjunto de datos accesibles de Oracle Applications Manager. CVSS 3.1 Puntuación Base 6.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Oracle Mobile Field Service de Oracle E-Business Suite (componente: Admin UI) (CVE-2021-35570)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Mobile Field Service de Oracle E-Business Suite (componente: Admin UI). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y la 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Mobile Field Service. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso de modificación a los datos críticos o a todos los datos accesibles de Oracle Mobile Field Service, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Mobile Field Service. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: Diagnostics) (CVE-2021-35566)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Applications Manager de Oracle E-Business Suite (componente: Diagnostics). Las versiones compatibles que están afectadas son 12.1.3 y la 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Applications Manager. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o de todos los datos accesibles de Oracle Applications Manager, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Applications Manager. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Shipping Execution de Oracle E-Business Suite (componente: Workflow Events) (CVE-2021-35563)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Shipping Execution de Oracle E-Business Suite (componente: Workflow Events). Las versiones compatibles que están afectadas son 12.2.6-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Shipping Execution. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso de modificación a los datos críticos o a todos los datos accesibles de Oracle Shipping Execution, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Shipping Execution. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Universal Work Queue de Oracle E-Business Suite (componente: Work Provider Site Level Administration) (CVE-2021-35562)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Universal Work Queue de Oracle E-Business Suite (componente: Work Provider Site Level Administration). Las versiones soportadas afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Universal Work Queue. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso de modificación a los datos críticos o a todos los datos accesibles de Oracle Universal Work Queue, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Universal Work Queue. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Utility) (CVE-2021-35549)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Utility). La versión compatible que está afectada es 11. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la infraestructura en la que se ejecuta Oracle Solaris comprometerlo. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a la actualización, inserción o eliminación de algunos de los datos accesibles de Oracle Solaris y la habilidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de Oracle Solaris. CVSS 3.1 Puntuación Base 3.9 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2021-35545)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es anterior a 6.1.28. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox, comprometer a Oracle VM VirtualBox. Mientras que la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o un bloqueo que se repite con frecuencia (DOS completa) de Oracle VM VirtualBox y el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 6.7 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:H)
Vulnerabilidad en el producto PeopleSoft Enterprise CC Common Application Objects de Oracle PeopleSoft (componente: Activity Guide Composer) (CVE-2021-35543)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise CC Common Application Objects de Oracle PeopleSoft (componente: Activity Guide Composer). La versión compatible que está afectada es 9.2. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer PeopleSoft Enterprise CC Common Application Objects. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o de todos los datos accesibles de PeopleSoft Enterprise CC Common Application Objects, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de PeopleSoft Enterprise CC Common Application Objects. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2021-35542)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es anterior a 6.1.28. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox, comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 4.4 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto PeopleSoft Enterprise SCM de Oracle PeopleSoft (componente: Supplier Portal) (CVE-2021-35541)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise SCM de Oracle PeopleSoft (componente: Supplier Portal). La versión compatible que está afectada es 9.2. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer PeopleSoft Enterprise SCM. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en PeopleSoft Enterprise SCM, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de PeopleSoft Enterprise SCM, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise SCM. CVSS 3.1 Puntuación Base 5.4 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2021-35540)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es anterior a 6.1.28. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox, comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 5.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Filesystem) (CVE-2021-35539)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Filesystem). La versión compatible que está afectada es 11. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la infraestructura en la que se ejecuta Oracle Solaris comprometerlo. Mientras que la vulnerabilidad está en Oracle Solaris, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Solaris. CVSS 3.1 Puntuación Base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2021-35538)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es anterior a 6.1.28. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado que inicie sesión en la infraestructura en la que se ejecuta Oracle VM VirtualBox, comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. Nota: Esta vulnerabilidad no es aplicable a los sistemas Windows. CVSS 3.1 Puntuación Base 7.8 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-35537)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.25 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Payables de Oracle E-Business Suite (componente: Invoice Approvals) (CVE-2021-2482)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Payables de Oracle E-Business Suite (componente: Invoice Approvals). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Payables. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o de todos los datos accesibles de Oracle Payables, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Payables. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: Web Listener) (CVE-2021-2480)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: Web Listener). La versión compatible que está afectada es 11.1.1.9.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer el Servidor HTTP de Oracle. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle HTTP Server. CVSS 3.1 Puntuación Base 3.7 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)
Vulnerabilidad en el producto Oracle Applications Framework de Oracle E-Business Suite (componente: Session Management) (CVE-2021-2477)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Applications Framework de Oracle E-Business Suite (componente: Session Management). Las versiones compatibles que están afectadas son 12.1.3 y la 12.2.3-12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Applications Framework. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial del servicio (DOS parcial) de Oracle Applications Framework. CVSS 3.1 Puntuación Base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto Oracle Transportation Management de Oracle Supply Chain (componente: Authentication) (CVE-2021-2476)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Transportation Management de Oracle Supply Chain (componente: Authentication). La versión compatible que está afectada es 6.4.3. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Transportation Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Transportation Management. CVSS 3.1 Puntuación Base 5.3 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2021-2475)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es anterior a 6.1.28. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la infraestructura en la que se ejecuta Oracle VM VirtualBox, comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 4.4 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Web Analytics de Oracle E-Business Suite (componente: Admin) (CVE-2021-2474)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Web Analytics de Oracle E-Business Suite (componente: Admin). Las versiones compatibles que están afectadas son 12.1.1-12.1.3. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Web Analytics. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o de todos los datos accesibles de Oracle Web Analytics, así como el acceso no autorizado a los datos críticos o el acceso completo a todos los datos accesibles de Oracle Web Analytics. CVSS 3.1 Puntuación Base 8.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Communications Interactive Session Recorder de Oracle Communications (componente: Provision API) (CVE-2021-2461)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Communications Interactive Session Recorder de Oracle Communications (componente: Provision API). La versión compatible que está afectada es 6.4. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Communications Interactive Session Recorder. Mientras que la vulnerabilidad está en Oracle Communications Interactive Session Recorder, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización, inserción o eliminación no autorizada de algunos de los datos accesibles de Oracle Communications Interactive Session Recorder, así como al acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Communications Interactive Session Recorder y a la habilidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de Oracle Communications Interactive Session Recorder. CVSS 3.1 Puntuación Base 8.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L)
Vulnerabilidad en el producto Oracle Communications Session Border Controller de Oracle Communications (componente: Routing) (CVE-2021-2416)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Communications Session Border Controller de Oracle Communications (componente: Routing). Las versiones compatibles que están afectadas son 8.4 y la 9.0. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Communications Session Border Controller. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle Communications Session Border Controller. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Communications Session Border Controller de Oracle Communications (componente: Routing) (CVE-2021-2414)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Oracle Communications Session Border Controller de Oracle Communications (componente: Routing). Las versiones compatibles que están afectadas son 8.4 y la 9.0. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Communications Session Border Controller. Mientras que la vulnerabilidad está en Oracle Communications Session Border Controller, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Oracle Communications Session Border Controller. CVSS 3.1 Puntuación Base6.8 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)
Vulnerabilidad en el componente Oracle LogMiner de Oracle Database Server (CVE-2021-2332)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el componente Oracle LogMiner de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1 y 19c. Una vulnerabilidad explotable fácilmente permite a un atacante con privilegios de DBA con acceso a la red por medio de Oracle Net, comprometer a Oracle LogMiner. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o de todos los datos accesibles de Oracle LogMiner, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle LogMiner y la habilidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de Oracle LogMiner. CVSS 3.1 Puntuación Base6.7 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H)
Vulnerabilidad en el producto Enterprise Manager Base Platform de Oracle Enterprise Manager (componente: Policy Framework) (CVE-2021-2137)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad en el producto Enterprise Manager Base Platform de Oracle Enterprise Manager (componente: Policy Framework). Las versiones compatibles que están afectadas son 13.4.0.0 y la 13.5.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer Enterprise Manager Base Platform. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Enterprise Manager Base Platform. CVSS 3.1 Puntuación Base8.8 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en la valla HSYNC en diversos productos Snapdragon (CVE-2021-30316)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible acceso a la memoria sin límites debido a una comprobación de límites inapropiada mientras se crea la valla HSYNC en Snapdragon Auto, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables
Vulnerabilidad en la estructura HAL del sensor en diversos productos Snapdragon (CVE-2021-30315)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un manejo inapropiado de la estructura HAL del sensor en ausencia del mismo puede conllevar a su uso después de ser libre en Snapdragon Auto
Vulnerabilidad en las subtramas de una trama AMSDU de multidifusión en diversos productos Snapdragon (CVE-2021-30312)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una autenticación inapropiada de subtramas de una trama AMSDU de multidifusión puede conllevar la divulgación de información en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en las tramas de datos CF-ACK y CF-Poll en diversos productos Snapdragon (CVE-2021-30310)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento del búfer debido a una Comprobación Inapropiada de las tramas de datos CF-ACK y CF-Poll recibidas en Snapdragon Auto, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music
Vulnerabilidad en diversos productos Snapdragon (CVE-2021-30306)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible lectura excesiva del búfer debido a una asignación inapropiada del búfer para la longitud del archivo pasado desde el espacio de usuario en Snapdragon Auto, Snapdragon Connectivity, Snapdragon Industrial IOT, Snapdragon Mobile
Vulnerabilidad en diversos productos Snapdragon (CVE-2021-30305)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible acceso fuera de límites debido a una falta de comprobación del desplazamiento de la página antes de insertarla en Snapdragon Auto, Snapdragon Connectivity, Snapdragon Industrial IOT, Snapdragon Mobile
Vulnerabilidad en la respuesta de la baliza en diversos productos Snapdragon (CVE-2021-30304)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible lectura fuera de límites del búfer debido a una falta de comprobación del recuento y la longitud del TBTT mientras se analiza la respuesta de la baliza en Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity
Vulnerabilidad en las tramas EAP WAPI EAPOL en diversos productos Snapdragon (CVE-2021-30302)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una autenticación inapropiada de las tramas EAP WAPI EAPOL de un usuario no autenticado puede conllevar a una divulgación de información en Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en el servicio VR en diversos productos Snapdragon (CVE-2021-30297)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible lectura fuera de límites debido a una comprobación inapropiada de la longitud del paquete mientras se maneja la transferencia de datos en el servicio VR en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en la asignación de memoria en diversos productos Snapdragon (CVE-2021-30292)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible corrupción de la memoria debido a una falta de comprobación de los datos del cliente usados para la asignación de memoria en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en los datos del cliente en diversos productos Snapdragon (CVE-2021-30291)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible corrupción de memoria debido a una falta de comprobación de los datos del cliente usados para la asignación de memoria en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en la longitud del TLV en diversos productos Snapdragon (CVE-2021-30288)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento de pila debido a una comprobación inapropiada de la longitud del TLV mientras se copia el TLV a una variable de pila local en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en el servicio VR en diversos productos Snapdragon (CVE-2021-30258)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento del búfer debido al cálculo inapropiado del tamaño de la carga útil recibida en el servicio VR en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en el servicio de RV en diversos productos Snapdragon (CVE-2021-30257)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible lectura o escritura fuera de límites en el servicio de RV debido a una falta de comprobación de los valores de selección del DSP en Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT
Vulnerabilidad en el Servicio VR en diversos productos Snapdragon (CVE-2021-30256)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento de pila debido a la comprobación inapropiada de la longitud del nombre de la cámara antes de copiar el nombre en el Servicio VR en Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT
Vulnerabilidad en la configuración del servicio QVR en diversos productos Snapdragon (CVE-2021-1985)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento del búfer debido a una falta de comprobación de la longitud de los datos en la configuración del servicio QVR en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en el procesamiento del bloque del plugin en diversos productos Snapdragon (CVE-2021-1984)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento del búfer debido a una comprobación inapropiada del valor del índice mientras se procesa el bloque del plugin en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en el servicio VR en diversos productos Snapdragon (CVE-2021-1983)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento del búfer debido al manejo inapropiado de la longitud negativa de los datos mientras se procesa la petición de escritura en el servicio VR en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en el análisis de la respuesta de la baliza IE en diversos productos Snapdragon (CVE-2021-1980)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible exceso de lectura en el búfer debido a una falta de comprobación de la longitud mientras se analiza la respuesta de la baliza IE en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en la respuesta ASSOC en diversos productos Snapdragon (CVE-2021-1977)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible lectura excesiva del búfer debido a una comprobación inapropiada de la longitud de la trama mientras se procesa el descifrado AEAD durante la respuesta ASSOC en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music
Vulnerabilidad en la dirección del búfer del kernel en diversos productos Snapdragon (CVE-2021-1969)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una comprobación inapropiada de la dirección del búfer del kernel mientras se copia la información en el búfer del usuario puede conllevar a una exposición de la información de la memoria del kernel al espacio del usuario en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en la dirección del búfer del kernel en diversos productos Snapdragon (CVE-2021-1968)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una comprobación inapropiada de la dirección del búfer del kernel mientras se copia la información en el búfer del usuario puede conllevar a una exposición de la información de la memoria del kernel al espacio del usuario en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en el procesamiento de un evento NAN Match en diversos productos Snapdragon (CVE-2021-1967)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Posible desbordamiento del búfer de la pila debido a una falta de comprobación del número máximo de atributos de descubrimiento posteriores a NAN mientras se procesa un evento NAN Match en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en la longitud del búfer de origen y destino en diversos productos Snapdragon (CVE-2021-1966)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento del búfer debido a una falta de comprobación de la longitud del búfer de origen y destino antes de copiar en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music
Vulnerabilidad en el índice de entrada en diversos productos Snapdragon (CVE-2021-1959)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Una posible corrupción de memoria debido a una falta de comprobación del índice de entrada en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en el valor del recuento de lotes en diversos productos Snapdragon (CVE-2021-1949)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento de enteros debido a una comprobación inapropiada del valor del recuento de lotes mientras el sanitizador está activado en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Voice & Music, Snapdragon Wearables
Vulnerabilidad en una entrada en diversos productos Snapdragon (CVE-2021-1936)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Puede producirse una desreferencia de puntero null debido a una falta de comprobación de null para la entrada proporcionada por el usuario en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en la memoria de CDSP o ADSP VM en diversos productos Snapdragon (CVE-2021-1932)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un control de acceso inapropiado en el entorno de aplicaciones confiable puede causar un acceso no autorizado a la memoria de CDSP o ADSP VM con cualquier privilegio en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en una asignación de memoria en DIAG en diversos productos Snapdragon (CVE-2021-1917)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Puede producirse una desreferencia de puntero null debido a un fallo de asignación de memoria en DIAG en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Industrial IOT, Snapdragon Wearables
Vulnerabilidad en el periodo de gracia y el registro de recuento en diversos productos Snapdragon (CVE-2021-1913)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
Un posible desbordamiento de enteros debido a una comprobación inapropiada de la longitud mientras se actualiza el periodo de gracia y el registro de recuento en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en la aceptación de tramas AMSDU en diversos productos Snapdragon (CVE-2020-11303)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
26/10/2021
Descripción:
La aceptación de tramas AMSDU con direcciones de destino y origen no coincidentes puede conllevar a una divulgación de información en Snapdragon Auto, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking
Vulnerabilidad en la desconexión del canal L2CAP en Zephyr (CVE-2021-3455)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
La desconexión del canal L2CAP justo después de una petición de ATT no válida conlleva a una congelación. Zephyr versiones posteriores a 2.4.0 incluyéndola, versiones posteriores a 2.5.0 incluyéndola, contienen un Uso de Memoria Previamente Liberada (CWE-416). Para más información, consulte https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-7g38-3x9v-v7vp
Vulnerabilidad en la trama K de L2CAP truncada en Zephyr (CVE-2021-3454)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
La trama K de L2CAP truncada causa un fallo de aserción. Zephyr versiones posteriores a 2.4.0 incluyéndola, versiones posteriores a v.2.50 incluyéndola, contienen un Manejo Inapropiado de Inconsistencias de Longitud de Parámetros (CWE-130), Aserción Alcanzable (CWE-617). Para más información, consulte https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-fx88-6c29-vrp3
Vulnerabilidad en los nombres de los roles delegados en Tough (CVE-2021-41150)
Gravedad:
BajaBaja
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
Tough proporciona un conjunto de bibliotecas y herramientas de Rust para usar y generar los repositorios del marco de actualización (TUF). La biblioteca tough, versiones anteriores a 0.12.0, no sanea adecuadamente los nombres de los roles delegados cuando se almacena en caché un repositorio, o cuando se carga un repositorio desde el sistema de archivos. Cuando el repositorio se almacena en caché o se carga, los archivos que terminan con la extensión .json podrían sobrescribirse con metadatos de roles en cualquier parte del sistema. Una corrección está disponible en la versión 0.12.0. No se conocen soluciones a este problema
Vulnerabilidad en el componente JBoss Application Server (AppSvr) de Juniper Networks SRC Series (CVE-2021-31381)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
Una debilidad de configuración en el componente JBoss Application Server (AppSvr) de Juniper Networks SRC Series permite a un atacante remoto enviar una consulta especialmente diseñada para causar que el servidor web elimine archivos, lo que puede permitir al atacante interrumpir la integridad y disponibilidad del sistema
Vulnerabilidad en las plataformas de la serie MX con MS-MPC/MS-MIC en Juniper Networks Junos OS (CVE-2021-31369)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
En las plataformas de la serie MX con MS-MPC/MS-MIC, una vulnerabilidad de asignación de recursos sin límites o estrangulamiento en Juniper Networks Junos OS permite a un atacante de red no autenticado causar una Denegación de Servicio (DoS) parcial con una alta tasa de tráfico específico. Si se adjunta una regla de clase de servicio (CoS) al conjunto de servicios y este conjunto de servicios procesa una tasa elevada de tráfico específico, se observarán caídas en el resto del tráfico que tiene servicios aplicados y está siendo procesado por este MS-MPC/MS-MIC. Una recepción continuada de esta alta tasa de tráfico específico creará una condición sostenida de Denegación de Servicio (DoS). Este problema afecta a: Juniper Networks Junos OS en la serie MX con MS-MPC/MS-MIC: todas las versiones anteriores a 17.4R3-S5; versiones 18.3 anteriores a 18.3R3-S5; versiones 18.4 anteriores a 18.4R3-S9; versiones 19.1 anteriores a 19.1R3-S6; versiones 19.2 anteriores a 19.2R1-S7, 19.2R3-S3; versiones 19.3 anteriores a 19. 3R2-S7, 19.3R3-S3; versiones 19.4 anteriores a 19.4R3-S5; versiones 20.1 anteriores a 20.1R2-S2, 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3; versiones 20.4 anteriores a 20.4R2-S1, 20.4R3; versiones 21.1 anteriores a 21.1R1-S1, 21.1R2
Vulnerabilidad en el envío de una inundación de tráfico al puerto ethernet de administración fuera de banda en el kernel de Juniper Networks Junos OS (CVE-2021-31368)
Gravedad:
AltaAlta
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad de Consumo No Controlado de Recursos en el kernel de Juniper Networks Junos OS permite a un atacante no autenticado basado en la red causar una carga del 100% de la CPU y que el dispositivo deje de responder mediante el envío de una inundación de tráfico al puerto ethernet de administración fuera de banda. Una recepción continuada de una inundación creará una condición sostenida de Denegación de Servicio (DoS). Una vez que la inundación disminuya, el sistema se recuperará por sí mismo. Una indicación de que el sistema está afectado por este problema sería que el kernel y el proceso netisr se muestran usando muchos ciclos de CPU como en la siguiente salida de ejemplo: user@host> show system processes extensive ... PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND 16 root -72 - 0K 304K WAIT 1 839:40 88.96% intr{swi1: netisr 0} 0 root 97 - 0K 160K RUN 1 732:43 87.99% kernel{bcm560xgmac0 que} Este problema afecta a Juniper Networks Junos OS en las series EX2300, EX3400 y ACX710: Todas las versiones anteriores a 18.1R3-S13; versiones 18.2 anteriores a 18.2R3-S8; versiones 18.3 anteriores a 18.3R3-S5; versiones 18.4 anteriores a 18.4R2-S8, 18.4R3-S9; versiones 19.1 anteriores a 19.1R3-S5; versiones 19.2 anteriores a 19.2R1-S7, 19.2R3-S3; 19. 3 versiones anteriores a 19.3R2-S6, 19.3R3-S2; versiones 19.4 anteriores a 19.4R1-S4, 19.4R3-S3; versiones 20.1 anteriores a 20.1R2-S2, 20.1R3; versiones 20.2 anteriores a 20.2R3; versiones 20.3 anteriores a 20.3R2-S1, 20.3R3; versiones 20.4 anteriores a 20.4R2
Vulnerabilidad en Juniper Networks Junos OS (CVE-2021-31365)
Gravedad:
BajaBaja
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad de Consumo No Controlado de Recursos en Juniper Networks Junos OS en las plataformas de las series EX2300, EX3400 y EX4300 permite a un atacante adyacente que envíe un flujo de tramas de capa 2 desencadenar una caída de una interfaz de Ethernet Agregada (AE) y causar así una Denegación de Servicio (DoS). Al enviar continuamente un flujo de tramas de capa 2 específicas, el atacante mantendrá la condición de Denegación de Servicio (DoS). Este problema afecta a: Juniper Networks Junos OS EX4300 Series Todas las versiones anteriores a 15.1R7-S7; 16.1 versiones anteriores a 16.1R7-S8; 17.1 versiones anteriores a 17.1R2-S12; 17.2 versiones anteriores a 17.2R3-S4; versiones 17.3 anteriores a 17.3R3-S8; versiones 17.4 anteriores a 17.4R2-S10, 17.4R3-S2; versiones 18.1 anteriores a 18.1R3-S10; versiones 18.2 anteriores a 18. 2R2-S7, 18.2R3-S3; versiones 18.3 anteriores a 18.3R2-S4, 18.3R3-S2; versiones 18.4 anteriores a 18.4R1-S7, 18.4R2-S4, 18.4R3-S1; versiones 19.1 anteriores a 19. 1R1-S5, 19.1R2-S1, 19.1R3; versiones 19.2 anteriores a 19.2R1-S5, 19.2R2; versiones 19.3 anteriores a 19.3R2-S2, 19.3R3; versiones 19.4 anteriores a 19.4R1-S2, 19.4R2. Juniper Networks Junos OS Serie EX3400 y EX4300-MP Todas las versiones anteriores a 18.1R3-S12; versiones 18.2 anteriores a 18.2R3-S7; versiones 18.3 anteriores a 18.3R3-S4; versiones 18.4 anteriores a 18.4R2-S9, 18.4R3-S7; versiones 19.1 anteriores a 19. 1R2-S3, 19.1R3-S4; versiones 19.2 anteriores a 19.2R3-S1; versiones 19.3 anteriores a 19.3R3-S1; versiones 19.4 anteriores a 19.4R3-S1; versiones 20.1 anteriores a 20.1R3; versiones 20.2 anteriores a 20.2R3; versiones 20.3 anteriores a 20.3R2. Juniper Networks Junos OS EX2300 Series Todas las versiones anteriores a 18.3R3-S5; versiones 18.4 anteriores a 18.4R2-S9, 18.4R3-S9; versiones 19.1 anteriores a 19.1R2-S3, 19.1R3-S6; versiones 19.2 anteriores a 19.2R1-S7, 19.2R3-S3; versiones 19.3 anteriores a 19. 3R2-S7, 19.3R3-S3; versiones 19.4 anteriores a 19.4R3-S5; versiones 20.1 anteriores a 20.1R2-S2, 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R2-S1, 20.4R3; versiones 21.1 anteriores a 21.1R2
Vulnerabilidad en el procesamiento de comandos sftp en Juniper Networks Junos OS Evolved (CVE-2021-31358)
Gravedad:
AltaAlta
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de inyección de comandos en el procesamiento de comandos sftp en Juniper Networks Junos OS Evolved permite a un atacante con acceso autenticado a la CLI ser capaz de omitir las protecciones de acceso configuradas para ejecutar comandos de shell arbitrarios dentro del contexto del usuario actual. La vulnerabilidad permite a un atacante omitir las restricciones de autorización de comandos asignadas a su cuenta de usuario específica y ejecutar comandos que están disponibles para el nivel de privilegio para el que el usuario está asignado. Por ejemplo, un usuario que está en la clase de inicio de sesión de superusuario, pero restringido a la ejecución de comandos específicos de la CLI podría explotar la vulnerabilidad para ejecutar cualquier otro comando disponible para un usuario administrador sin restricciones. Esta vulnerabilidad no aumenta el nivel de privilegios del usuario, sino que omite cualquier restricción de comandos de la CLI al permitir el acceso completo al shell. Este problema afecta a Juniper Networks Junos OS Evolved: Todas las versiones anteriores a 20.4R2-S2-EVO; las versiones 21.1 anteriores a 21.1R2-EVO; las versiones 21.2 anteriores a 21.2R1-S1-EVO, 21.2R2-EVO
Vulnerabilidad en el procesamiento de comandos tcpdump en Juniper Networks Junos OS Evolved (CVE-2021-31357)
Gravedad:
AltaAlta
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de inyección de comandos en el procesamiento de comandos tcpdump en Juniper Networks Junos OS Evolved permite a un atacante con acceso autenticado a la CLI ser capaz de omitir las protecciones de acceso configuradas para ejecutar comandos de shell arbitrarios dentro del contexto del usuario actual. La vulnerabilidad permite a un atacante omitir las restricciones de autorización de comandos asignadas a su cuenta de usuario específica y ejecutar comandos que están disponibles para el nivel de privilegio para el que el usuario está asignado. Por ejemplo, un usuario que está en la clase de inicio de sesión de superusuario, pero restringido a la ejecución de comandos específicos de la CLI podría explotar la vulnerabilidad para ejecutar cualquier otro comando disponible para un usuario administrador sin restricciones. Esta vulnerabilidad no aumenta el nivel de privilegios del usuario, sino que omite cualquier restricción de comandos de la CLI al permitir el acceso completo al shell. Este problema afecta a Juniper Networks Junos OS Evolved: Todas las versiones anteriores a 20.3R2-S1-EVO; las versiones 20.4 anteriores a 20.4R2-S2-EVO; las versiones 21.1 anteriores a 21.1R2-EVO; las versiones 21.2 anteriores a 21.2R1-S1-EVO, 21.2R2-EVO
Vulnerabilidad en el procesamiento de comandos en Juniper Networks Junos OS Evolved (CVE-2021-31356)
Gravedad:
AltaAlta
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de inyección de comandos en el procesamiento de comandos en Juniper Networks Junos OS Evolved permite a un atacante con acceso autenticado a la CLI ser capaz de omitir las protecciones de acceso configuradas para ejecutar comandos de shell arbitrarios dentro del contexto del usuario actual. La vulnerabilidad permite a un atacante omitir las restricciones de autorización de comandos asignadas a su cuenta de usuario específica y ejecutar comandos que están disponibles para el nivel de privilegio para el que el usuario está asignado. Por ejemplo, un usuario que está en la clase de inicio de sesión de superusuario, pero restringido a la ejecución de comandos específicos de la CLI podría explotar la vulnerabilidad para ejecutar cualquier otro comando disponible para un usuario administrador sin restricciones. Esta vulnerabilidad no aumenta el nivel de privilegios del usuario, sino que omite cualquier restricción de comandos de la CLI al permitir el acceso completo al shell. Este problema afecta a Juniper Networks Junos OS Evolved: Todas las versiones anteriores a 20.4R3-S1-EVO; Todas las versiones de 21.1-EVO y 21.2-EVO
Vulnerabilidad en los dispositivos de Juniper Networks SRC Series configurados para NETCONF sobre SSH (CVE-2021-31352)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
25/10/2021
Descripción:
Una vulnerabilidad de exposición de información en los dispositivos de Juniper Networks SRC Series configurados para NETCONF sobre SSH permite una negociación de cifrados débiles, lo que podría permitir a un atacante remoto conseguir información confidencial. Un atacante remoto con acceso de lectura y escritura a los datos de la red podría aprovechar esta vulnerabilidad para mostrar bits de texto plano de un bloque de texto cifrado y conseguir información confidencial. Este problema afecta a todas las versiones de Juniper Networks SRC Series anteriores a 4.13.0-R6
Vulnerabilidad en Juniper Networks 128 Technology Session Smart Router en el uso de un encabezado HTTP (CVE-2021-31349)
Gravedad:
AltaAlta
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
El uso de un encabezado HTTP interno creó una vulnerabilidad de omisión de autenticación (CWE-287), que permite a un atacante visualizar archivos internos, cambiar la configuración, manipular servicios y ejecutar código arbitrario. Este problema afecta a todas las versiones de Juniper Networks 128 Technology Session Smart Router anteriores a 4.5.11 y a todas las versiones de la 5.0 hasta la 5.0.1 incluyéndola
Vulnerabilidad en el procesamiento de un paquete IPv6 en Juniper Networks Junos OS (CVE-2021-0299)
Gravedad:
AltaAlta
Publication date: 19/10/2021
Last modified:
26/10/2021
Descripción:
Una vulnerabilidad de Manejo Inapropiado de Condiciones Excepcionales en el procesamiento de un paquete IPv6 malformado recibido en tránsito o directamente en Juniper Networks Junos OS resulta en un bloqueo del kernel, causando el reinicio del dispositivo, conllevando a una Denegación de Servicio (DoS). Si se sigue recibiendo y procesando este paquete, se creará una condición de Denegación de Servicio (DoS) sostenida. Este problema sólo afecta a los sistemas con IPv6 configurado. Los dispositivos con sólo IPv4 configurado no son vulnerables a este problema. Este problema afecta a Juniper Networks Junos OS: versiones 19.4 anteriores a 19.4R3; versiones 20.1 anteriores a 20.1R2; versiones 20.2 anteriores a 20.2R1-S1, 20.2R2. Este problema no afecta a las versiones de Juniper Networks Junos OS anteriores a 19.4R1

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los mensajes AMF en Adobe Connect (CVE-2021-40719)
Gravedad:
AltaAlta
Publication date: 21/10/2021
Last modified:
30/11/2021
Descripción:
Adobe Connect versiones 11.2.3 de Adobe Connect (y anteriores) se ve afectada por una vulnerabilidad de Deserialización de datos no confiables para lograr la invocación de métodos arbitrarios cuando los mensajes AMF se deserializan en un servidor de Adobe Connect. Un atacante puede aprovechar esto para ejecutar código remoto en el servidor
Vulnerabilidad en el archivo drivers/gpu/drm/amd/display/amdgpu_dm/amdgpu_dm_debugfs.c en la función dp_link_settings_write en el kernel de Linux (CVE-2021-42327)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
28/11/2021
Descripción:
la función dp_link_settings_write en el archivo drivers/gpu/drm/amd/display/amdgpu_dm/amdgpu_dm_debugfs.c en el kernel de Linux versiones hasta 5.14.14, permite un desbordamiento de búfer en la región heap de la memoria por parte de un atacante que puede escribir una cadena en el sistema de archivos de depuración de los controladores de la GPU AMD. No se presentan comprobaciones de tamaño dentro de parse_write_buffer_into_params cuando usa el tamaño de copy_from_user para copiar un buffer de espacio de usuario en un buffer de pila de 40 bytes
Vulnerabilidad en la CLI del sistema de Cisco IOS XE SD-WAN Software (CVE-2021-1529)
Gravedad:
MediaMedia
Publication date: 21/10/2021
Last modified:
23/11/2021
Descripción:
Una vulnerabilidad en la CLI de Cisco IOS XE SD-WAN Software podría permitir a un atacante local autenticado ejecutar comandos arbitrarios con privilegios de root. La vulnerabilidad es debido a una comprobación insuficiente de entradas por parte de la CLI del sistema. Un atacante podría aprovechar esta vulnerabilidad al autenticarse en un dispositivo afectado y enviando entradas diseñadas a la CLI del sistema. Una explotación con éxito podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de root
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2021-35618)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
22/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde se ejecuta el MySQL Cluster, comprometer a MySQL Cluster. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1 Puntuación Base 1.8 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35610)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL, así como el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1 Puntuación Base 7.1 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Group Replication Plugin) (CVE-2021-35608)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Group Replication Plugin). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-35607)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-35604)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 5.7.35 y anteriores y la 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL, así como la actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1 Puntuación Base 5.5 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Options) (CVE-2021-35602)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Options). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL, así como el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1 Puntuación Base 5.0 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto Cliente MySQL de Oracle MySQL (componente: C API) (CVE-2021-35597)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto Cliente MySQL de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer el Cliente MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Cliente de MySQL. CVSS 3.1 Puntuación Base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Error Handling) (CVE-2021-35596)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Error Handling). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-35591)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. La vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer el Servidor MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: ImageIO) (CVE-2021-35586)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
24/11/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: ImageIO). Las versiones compatibles que están afectadas son Java SE: 7u311, 8u301, 11.0.12, 17; Oracle GraalVM Enterprise Edition: 20.3.3 y 21.2.0. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1 Puntuación Base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries) (CVE-2021-35567)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
24/11/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Java SE: 8u301, 11.0.12, 17; Oracle GraalVM Enterprise Edition: 20.3.3 y 21.2.0. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de Kerberos comprometer Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Java SE, Oracle GraalVM Enterprise Edition, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1 Puntuación Base 6.8 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N)
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Keytool) (CVE-2021-35564)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
24/11/2021
Descripción:
Una vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Keytool). Las versiones compatibles que están afectadas son Java SE: 7u311, 8u301, 11.0.12, 17; Oracle GraalVM Enterprise Edition: 20.3.3 y 21.2.0. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer Java SE, Oracle GraalVM Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a las implantaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start con sandbox o applets Java con sandbox, que cargan y ejecutan código que no es confiable (por ejemplo, código que viene de Internet) y dependen de la sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada al usar APIs en el Componente especificado, por ejemplo, mediante un servicio web que suministra datos a las APIs. CVSS 3.1 Puntuación Base 5.3 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication) (CVE-2021-35546)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2481)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2479)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2478)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Connectors de Oracle MySQL (componente: Connector/J) (CVE-2021-2471)
Gravedad:
AltaAlta
Publication date: 20/10/2021
Last modified:
22/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Connectors de Oracle MySQL (componente: Connector/J). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Connectors. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles de los Conectores MySQL y en la habilidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Connectors. CVSS 3.1 Puntuación Base 5.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:H)
Vulnerabilidad en los archivos drivers/media/firewire/firedtv-avc.c y drivers/media/firewire/firedtv-ci.c en el subsistema firewire en el kernel de Linux (CVE-2021-42739)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
18/11/2021
Descripción:
El subsistema firewire en el kernel de Linux versiones hasta 5.14.13, presenta un desbordamiento de búfer relacionado con los archivos drivers/media/firewire/firedtv-avc.c y drivers/media/firewire/firedtv-ci.c, porque avc_ca_pmt maneja mal la comprobación de límites
Vulnerabilidad en la subred 128.0.0.0/2 en Juniper Networks Junos OS (CVE-2021-31371)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
17/11/2021
Descripción:
El sistema operativo Junos de Juniper Networks utiliza la subred 128.0.0.0/2 para las comunicaciones internas entre el RE y los PFE. Se ha descubierto que los paquetes que utilizan estas direcciones IP pueden salir de un conmutador de la serie QFX5000, filtrando información de configuración como los latidos del corazón, las versiones del kernel, etc. a Internet, lo que lleva a una vulnerabilidad de exposición de información. Este problema afecta al sistema operativo Junos de Juniper Networks en las series QFX5110, QFX5120, QFX5200, QFX5210 y QFX5100 con la imagen de la serie QFX 5e instalada: Todas las versiones anteriores a 17.3R3-S12; 18.1 versiones anteriores a 18.1R3-S13; 18.3 versiones anteriores a 18.3R3-S5; 19.1 versiones anteriores a 19.1R3-S6; 19.2 versiones anteriores a 19.2R1-S7, 19.2R3-S3; 19.3 versiones anteriores a 19.3R2-S6, 19.3R3-S3; 19. 4 versiones anteriores a 19.4R1-S4, 19.4R3-S5; 20.1 versiones anteriores a 20.1R2-S2, 20.1R3-S1; 20.2 versiones anteriores a 20.2R3-S2; 20.3 versiones anteriores a 20.3R3-S1; 20.4 versiones anteriores a 20.4R2-S1, 20.4R3; 21.1 versiones anteriores a 21.1R1-S1, 21.1R2;
Vulnerabilidad en vim (CVE-2021-3872)
Gravedad:
MediaMedia
Publication date: 19/10/2021
Last modified:
28/11/2021
Descripción:
vim es vulnerable a un Desbordamiento del Búfer en la región Heap de la Memoria
Vulnerabilidad en bluemonday sanitizer para Go y Python (CVE-2021-42576)
Gravedad:
AltaAlta
Publication date: 18/10/2021
Last modified:
26/10/2021
Descripción:
bluemonday sanitizer versiones anteriores a 1.0.16 para Go, y versiones anteriores a 0.0.8 para Python (en pybluemonday), no aplica apropiadamente las políticas asociadas a los elementos SELECT, STYLE y OPTION
Vulnerabilidad en el parámetro GET "s" en el plugin Bitcoin / AltCoin Payment Gateway for WooCommerce de WordPress (CVE-2021-24679)
Gravedad:
MediaMedia
Publication date: 04/10/2021
Last modified:
26/10/2021
Descripción:
El plugin Bitcoin / AltCoin Payment Gateway for WooCommerce de WordPress versiones anteriores a 1.6.1, no escapa del parámetro GET "s" antes de devolverlo a la página All Masking Rules, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en El paquete normalize-url para Node.js (CVE-2021-33502)
Gravedad:
MediaMedia
Publication date: 24/05/2021
Last modified:
26/10/2021
Descripción:
El paquete normalize-url versiones anteriores a 4.5.1, versiones 5.x anteriores a 5.3.1 y versiones 6.x anteriores a 6.0.1 para Node.js, presenta un problema de ReDoS (denegación de servicio de expresión regular) porque presenta un rendimiento exponencial para los datos: URL
Vulnerabilidad en FasterXML Jackson Databind (CVE-2020-25649)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
26/10/2021
Descripción:
Se encontró un fallo en FasterXML Jackson Databind, donde no tenía la expansión de entidad asegurada apropiadamente. Este fallo permite una vulnerabilidad a ataques de tipo XML external entity (XXE). La mayor amenaza de esta vulnerabilidad es la integridad de los datos
Vulnerabilidad en el archivo /sys/class/zram-control/hot_add en el módulo del kernel ZRAM en el directorio /dev/ en el kernel de Linux (CVE-2020-10781)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
26/10/2021
Descripción:
Se encontró un fallo en el kernel de Linux versiones anteriores a 5.8-rc6 en el módulo del kernel ZRAM, donde un usuario con una cuenta local y la capacidad de leer el archivo /sys/class/zram-control/hot_add puede crear nodos de dispositivo ZRAM en el directorio /dev/. Esta lectura asigna memoria del kernel y no es contabilizada para un usuario que activa la creación de ese dispositivo ZRAM. Con esta vulnerabilidad, la lectura del dispositivo de manera continua puede consumir una gran cantidad de memoria del sistema y causar que el eliminador de Out-of-Memory (OOM) active y finalice procesos aleatorios del espacio de usuario, lo que posiblemente haga el sistema inoperable
Vulnerabilidad en la implementación de la referencia TUF en la biblioteca tough (Rust/crates.io) (CVE-2020-15093)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
26/10/2021
Descripción:
La biblioteca tough (Rust/crates.io) anterior a la versión 0.7.1, no verifica apropiadamente el umbral de firmas criptográficas. Permite a un atacante duplicar una firma válida a fin de eludir TUF que requiere un umbral mínimo de firmas únicas antes de que los metadatos se consideraran válidos. Una corrección está disponible en la versión 0.7.1. El CVE-2020-6174 es asignado a la misma vulnerabilidad en la implementación de la referencia TUF
Vulnerabilidad en credenciales no seguras en el controlador de almacenamiento del backend del sistema operativo Dell EMC ScaleIO o VxFlex en openstack-cinder (CVE-2020-10755)
Gravedad:
MediaMedia
Publication date: 10/06/2020
Last modified:
26/10/2021
Descripción:
Se encontró un fallo de credenciales no seguras en todas las versiones de openstack-cinder anteriores a openstack-cinder versión 14.1.0, todas las versiones de openstack-cinder 15.xx anteriores a openstack-cinder versión 15.2.0 y todas las versiones de openstack-cinder 16.xx anteriores a openstack-cinder versión 16.1 .0. Cuando se usa openstack-cinder con el controlador de almacenamiento del backend del sistema operativo Dell EMC ScaleIO o VxFlex, las credenciales para todo el backend se exponen en el elemento "connection_info" en todas las llamadas a la API de Attachments de Block Storage v3 que contienen ese elemento. Este fallo permite al usuario final crear un volumen, hacer una llamada de la API para mostrar la información detallada del archivo adjunto y recuperar un nombre de usuario y una contraseña que pueden ser usados para conectarse al volumen de otro usuario. Adicionalmente, estas credenciales son válidas para la API Management de Sistema Operativo ScaleIO o VxFlex, si un atacante detecta el endpoint de la API Management. Fuente: OpenStack project
Vulnerabilidad en un algoritmo de tokens CSRF en rand, uniqid y MD5 en GLPI (CVE-2020-11035)
Gravedad:
MediaMedia
Publication date: 05/05/2020
Last modified:
26/10/2021
Descripción:
En GLPI posterior a la versión 0.83.3 y versiones anteriores a 9.4.6, los tokens CSRF son generados usando un algoritmo no seguro. La implementación utiliza rand y uniqid y MD5 que no proporcionan valores seguros. Esto es corregido en la versión 9.4.6.
Vulnerabilidad en el parámetro add_query_arg en el componente principal de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9505)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
El componente principal de Easy Digital Downloads (EDD) versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7 para WordPress, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión de Amazon S3 de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9506)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión de Amazon S3 de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Attach Accounts to Orders de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9507)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Attach Accounts to Orders de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Commissions de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9508)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Commissions de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Content Restriction de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9509)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Content Restriction de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Cross-sell Upsell de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9510)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Cross-sell Upsell de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Conditional Success Redirects de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9511)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Conditional Success Redirects de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión CSV Manager de Easy Digital Downloads (EDD) (CVE-2015-9512)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión CSV Manager de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Favorites de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9513)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Favorites de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Free Downloads de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9514)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Free Downloads de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión htaccess Editor de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9515)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión htaccess Editor de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Invoices de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9516)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Invoices de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Manual Purchases de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9517)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Manual Purchases de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión PDF Invoices de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9518)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión PDF Invoices de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión PDF Stamper de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9519)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión PDF Stamper de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Per Product Emails de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9520)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Per Product Emails de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Pushover Notifications de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9521)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Pushover Notifications de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión QR Code de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9522)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión QR Code de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Recommended Products de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9523)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Recommended Products de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Recount Earnings de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9524)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Recount Earnings de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Recurring Payments de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9525)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Recurring Payments de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Reviews de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9526)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Reviews de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Simple Shipping de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9527)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Simple Shipping de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Software Licensing de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9528)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Software Licensing de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Stripe de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9529)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Stripe de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Upload File de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9530)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Upload File de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en la extensión Wish Lists de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9531)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
La extensión Wish Lists de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Digital Store de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9532)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
El tema Digital Store de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Lattice de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9533)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
El tema Lattice de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Quota de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9534)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
El tema Quota de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Shoppette de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9535)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
El tema Shoppette de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD 1.8.x anteriores a 1.8.7, 1.9.x antes 1.9.10, 2.0.x antes 2.0.5, 2.1.x antes 2.1.11, 2.2. x anteriores a 2.2.9, y 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en el parámetro add_query_arg en el tema Twenty-Twelve de Easy Digital Downloads (EDD) para WordPress (CVE-2015-9536)
Gravedad:
MediaMedia
Publication date: 23/10/2019
Last modified:
26/10/2021
Descripción:
El tema Twenty-Twelve de Easy Digital Downloads (EDD) para WordPress, como es usada con EDD versiones 1.8.x anteriores a 1.8.7, versiones 1.9.x anteriores a 1.9.10, versiones 2.0.x anteriores a 2.0.5, versiones 2.1.x anteriores a 2.1.11, versiones 2.2.x anteriores a 2.2.9, y versiones 2.3.x anteriores a 2.3.7, presenta una vulnerabilidad de tipo XSS porque el parámetro add_query_arg es usado inapropiadamente.
Vulnerabilidad en WordPress (CVE-2015-9324)
Gravedad:
AltaAlta
Publication date: 16/08/2019
Last modified:
02/11/2021
Descripción:
El plugin easy-digital-downloads versiones anteriores a 2.3.3 para WordPress, presenta una inyección SQL.
Vulnerabilidad en El plugin easy-digital-downloads (CVE-2019-15116)
Gravedad:
MediaMedia
Publication date: 16/08/2019
Last modified:
02/11/2021
Descripción:
El plugin easy-digital-downloads versiones anteriores a 2.9.16 para WordPress, presenta una vulnerabilidad de tipo XSS relacionada con el registro de direcciones IP.