Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los endpoints en Mycodo (CVE-2021-41185)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
Mycodo es un sistema de monitorización y regulación ambiental. Una explotación en versiones anteriores a 8.12.7, permite a cualquiera con acceso a los endpoints descargar archivos fuera del directorio previsto. Se ha aplicado un parche y se ha realizado un lanzamiento. Los usuarios deben actualizar a la versión 8.12.7. Como solución, los usuarios pueden aplicar manualmente los cambios del commit de corrección
Vulnerabilidad en la configuración del servidor Redis en AS_Redis (CVE-2021-41172)
Gravedad:
BajaBaja
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
AS_Redis es un plugin de AntSword para Redis. El plugin Redis Manage para AntSword versiones anteriores a 0.5, es vulnerable a un ataque de tipo Self-XSS debido a una insuficiente comprobación y saneo de entradas por medio de la configuración del servidor Redis. El ataque de tipo Self-XSS en la configuración del plugin conlleva a una ejecución de código. Este problema está parcheado en la versión 0.5
Vulnerabilidad en el parámetro order_type en Mangboard (CVE-2021-26609)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
Se ha encontrado una vulnerabilidad en Mangboard (plugin de WordPress). Se ha encontrado una vulnerabilidad de inyección SQL en el parámetro order_type. El parámetro order_type realiza una consulta SQL usando datos no filtrados. Esta vulnerabilidad permite a un atacante remoto robar información del usuario
Vulnerabilidad en el mensaje de error /secure/admin/ImporterFinishedPage.jspa en Atlassian Jira Server y Data Center (CVE-2021-41304)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos anónimos inyectar HTML o JavaScript arbitrarios por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el mensaje de error /secure/admin/ImporterFinishedPage.jspa. Las versiones afectadas son anteriores a la versión 8.13.12, y desde versión 8.14.0 hasta 8.20.1
Vulnerabilidad en Average Number of Times en Status Gadget en Atlassian Jira Server y Data Center (CVE-2021-41305)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos anónimos visualizar los nombres de los proyectos y filtros privados por medio de una vulnerabilidad Insecure Direct Object References (IDOR) en el Average Number of Times in Status Gadget. Las versiones afectadas son anteriores a la versión 8.13.12
Vulnerabilidad en Average Time en Status Gadget en Atlassian Jira Server y Data Center (CVE-2021-41306)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos anónimos visualizar nombres privados de proyectos y filtros por medio de una vulnerabilidad Insecure Direct Object References (IDOR) en el Gadget Average Time in Status. Las versiones afectadas son anteriores a la versión 8.13.12, y desde versión 8.14.0 hasta 8.20.0
Vulnerabilidad en Workload Pie Chart Gadget en Atlassian Jira Server y Data Center (CVE-2021-41307)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos no autenticados visualizar los nombres de los proyectos privados y los filtros privados por medio de una vulnerabilidad Insecure Direct Object References (IDOR) en el Gadget Workload Pie Chart. Las versiones afectadas son anteriores a la versión 8.13.12, y desde versión 8.14.0 hasta 8.20.0
Vulnerabilidad en el endpoint "ReplicationSettings!default.jspa" en Atlassian Jira Server y Data Center (CVE-2021-41308)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
27/10/2021
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos autenticados pero no administradores editar la configuración de la Replicación de Archivos por medio de una vulnerabilidad de Control de Acceso Rotativo en el endpoint "ReplicationSettings!default.jspa". Las versiones afectadas son anteriores a la versión 8.6.0, desde la versión 8.7.0 anteriores a 8.13.12, y desde la versión 8.14.0 antes de la 8.20.1
Vulnerabilidad en la página de auto-suscripción en Galette (CVE-2021-21319)
Gravedad:
BajaBaja
Publication date: 25/10/2021
Last modified:
27/10/2021
Descripción:
Galette es una aplicación web de administración de socios orientada a organizaciones sin ánimo de lucro. En versiones anteriores a 0.9.5, es posible puede almacenar código javascript malicioso para mostrarlo posteriormente en la página de auto-suscripción. La función de auto-suscripción puede ser deshabilitada como una solución (este es el estado predeterminado). El código javascript malicioso puede ser ejecutado (no almacenado) en las páginas de inicio de sesión y recuperación de contraseña. Este problema es corregido en la versión 0.9.5
Vulnerabilidad en la JVM en Eclipse Openj9 (CVE-2021-41035)
Gravedad:
AltaAlta
Publication date: 25/10/2021
Last modified:
27/10/2021
Descripción:
En Eclipse Openj9 versiones anteriores 0.29.0, la JVM no lanza IllegalAccessError para MethodHandles que invocan métodos de interfaz inaccesibles
Vulnerabilidad en una carga útil en el campo de entrada Company Name en Akaunting (CVE-2020-20908)
Gravedad:
BajaBaja
Publication date: 25/10/2021
Last modified:
27/10/2021
Descripción:
Se ha detectado que Akaunting versión v1.3.17, contiene una vulnerabilidad de tipo cross-site scripting (XSS) almacenado que permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada en el campo de entrada Company Name
Vulnerabilidad en el parámetro perpage en el plugin YOP Poll de WordPress (CVE-2021-24885)
Gravedad:
MediaMedia
Publication date: 25/10/2021
Last modified:
27/10/2021
Descripción:
El plugin YOP Poll de WordPress versiones anteriores a 6.1.2, no escapa el parámetro perpage antes de devolverlo en un atributo, conllevando a una vulnerabilidad de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en los parámetros "activepath", "keyword", "tag", "fmdo=x&filename", "CKEditor" y "CKEditorFuncNum" en el componente file_pic_view.php en DedeCMS (CVE-2020-23044)
Gravedad:
BajaBaja
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Se ha detectado que DedeCMS versión v7.5 SP2 contiene múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el componente file_pic_view.php por medio de los parámetros "activepath", "keyword", "tag", "fmdo=x&filename", "CKEditor" y "CKEditorFuncNum"
Vulnerabilidad en los parámetros "filename", "mid", "userid" y "templet" en el componente tpl.php en DedeCMS (CVE-2020-23046)
Gravedad:
MediaMedia
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Se ha detectado que DedeCMS versión v7.5 SP2, contiene múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el componente tpl.php por medio de los parámetros "filename", "mid", "userid" y "templet"
Vulnerabilidad en el campo "Displayname" en las funciones "Add", "Edit" o "Register" en Fork CMS Content Management System (CVE-2020-23049)
Gravedad:
BajaBaja
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Fork CMS Content Management System v5.8.0 contiene una vulnerabilidad de tipo cross-site scripting (XSS) en el campo "Displayname" cuando se usan las funciones "Add", "Edit" o "Register". Esta vulnerabilidad permite a atacantes ejecutar scripts web o HTML arbitrarios
Vulnerabilidad en los parámetros Number (Nombre) y Description (Descripción) en el componente groupfiles.php en Catalyst IT Ltd Mahara CMS (CVE-2020-23052)
Gravedad:
BajaBaja
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Se ha detectado que Catalyst IT Ltd Mahara CMS versión v19.10.2, contiene múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el componente groupfiles.php por medio de los parámetros Number (Nombre) y Description (Descripción)
Vulnerabilidad en una carga útil en el campo de entrada user agent en NSK User Agent String Switcher Service (CVE-2020-23054)
Gravedad:
MediaMedia
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en NSK User Agent String Switcher Service versión v0.3.5, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada en el campo de entrada user agent
Vulnerabilidad en el parámetro de ruta del módulo "list" y "download" en Dropouts Technologies LLP Super Backup (CVE-2020-23061)
Gravedad:
MediaMedia
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Se ha detectado que Dropouts Technologies LLP Super Backup versión v2.0.5, contiene un problema en el parámetro de ruta del módulo "list" y "download" que permite a atacantes llevar a cabo un salto de directorio por medio de un cambio en la variable de ruta para solicitar el comando de lista local
Vulnerabilidad en los parámetros "activepath", "keyword", "tag", "fmdo=x&filename", "CKEditor" y "CKEditorFuncNum" en el componente file_manage_view.php en DedeCMS (CVE-2020-36490)
Gravedad:
BajaBaja
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Se ha detectado que DedeCMS versión v7.5 SP2, contiene múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el componente file_manage_view.php por medio de los parámetros "activepath", "keyword", "tag", "fmdo=x&filename", "CKEditor" y "CKEditorFuncNum"
Vulnerabilidad en los parámetros "activepath", "keyword", "tag", "fmdo=x&filename", "CKEditor" y "CKEditorFuncNum" en el componente tags_main.php en DedeCMS (CVE-2020-36491)
Gravedad:
BajaBaja
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Se ha detectado que DedeCMS versión v7.5 SP2, contiene múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el componente tags_main.php por medio de los parámetros "activepath", "keyword", "tag", "fmdo=x&filename", "CKEditor" y "CKEditorFuncNum"
Vulnerabilidad en el Asistente de Instalación de Kiwi CatTools (CVE-2021-35230)
Gravedad:
AltaAlta
Publication date: 22/10/2021
Last modified:
27/10/2021
Descripción:
Como resultado de una vulnerabilidad de ruta de servicio no citada presente en el Asistente de Instalación de Kiwi CatTools, un atacante local podría alcanzar privilegios escalados al insertar un ejecutable en la ruta del servicio afectado o en la entrada de desinstalación

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en vectores no especificados en Movable Type Movable Type Premium y Movable Type Premium Advanced (CVE-2020-5669)
Gravedad:
BajaBaja
Publication date: 26/10/2021
Last modified:
29/10/2021
Descripción:
La vulnerabilidad de tipo cross-site scripting en Movable Type Movable Type Premium versiones 1.37 y anteriores y Movable Type Premium Advanced versiones 1.37 y anteriores, permite a un atacante remoto autenticado inyectar un script arbitrario por medio de vectores no especificados