Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la función para crear botones de donación en el plugin Accept Donations with PayPal de WordPress (CVE-2021-24572)
Gravedad:
MediaMedia
Publication date: 01/11/2021
Last modified:
03/11/2021
Descripción:
El plugin Accept Donations with PayPal de WordPress versiones anteriores a 1.3.1, proporciona una función para crear botones de donación que se almacenan internamente como entradas. La eliminación de un botón no está protegida por CSRF y no presenta ningún control para comprobar si la entrada eliminada era una entrada de botón. Como resultado, un atacante podría hacer que los administradores registrados eliminen publicaciones arbitrarias
Vulnerabilidad en la función para crear botones de donación en el plugin Accept Donations with PayPal de WordPress (CVE-2021-24570)
Gravedad:
MediaMedia
Publication date: 01/11/2021
Last modified:
03/11/2021
Descripción:
El plugin Accept Donations with PayPal de WordPress versiones anteriores a 1.3.1, ofrece una función para crear botones de donación, que internamente son posts. El proceso para crear un nuevo botón carece de una comprobación de tipo CSRF. Un atacante podría usar esto para que un administrador autenticado cree un nuevo botón. Además, uno de los campos Button no se escapa antes de ser emitido en un atributo cuando se edita un botón, conllevando también a un problema de tipo Cross-Site Scripting Almacenado
Vulnerabilidad en el parámetro "id" en el componente system/manager/class/web/database.php en Baijiacms (CVE-2020-25873)
Gravedad:
MediaMedia
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
Se ha detectado una vulnerabilidad de salto de directorio en el componente system/manager/class/web/database.php en Baijiacms versión V4, que permite a atacantes eliminar arbitrariamente carpetas en el servidor por medio del parámetro "id"
Vulnerabilidad en un parámetro urlencode de petición GET en la función FileManagerController.php en FrogCMS (CVE-2020-25872)
Gravedad:
MediaMedia
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
Se presenta una vulnerabilidad dentro de la función FileManagerController.php en FrogCMS versión 0.9.5, que permite a un atacante llevar a cabo un ataque de salto de directorio por medio de un parámetro urlencode de petición GET
Vulnerabilidad en Portainer (CVE-2021-41874)
Gravedad:
MediaMedia
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
Se presenta una vulnerabilidad de acceso no autorizado en todas las versiones de Portainer, que podría permitir a un usuario malicioso conseguir información confidencial
Vulnerabilidad en Portainer (CVE-2021-41748)
Gravedad:
Sin asignarSin asignar
Publication date: 29/10/2021
Last modified:
01/12/2021
Descripción:
Se presenta un problema de Control de Acceso Incorrecto en todas las versiones de Portainer. Por medio de una vulnerabilidad de acceso no autorizado. La vulnerabilidad es también CNVD-2021-49547
Vulnerabilidad en el parámetro orgcode en el archivo changepswd.php en Yonyou TurboCRM (CVE-2021-41746)
Gravedad:
MediaMedia
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL en todas las versiones de Yonyou TurboCRM. Por medio del parámetro orgcode en el archivo changepswd.php. Unos atacantes pueden usar la vulnerabilidad para conseguir información confidencial de la base de datos
Vulnerabilidad en Dspace (CVE-2021-41189)
Gravedad:
AltaAlta
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
DSpace es una aplicación de repositorio de código abierto llave en mano. En la versión 7.0, cualquier administrador de una comunidad o colección puede escalar sus permisos hasta convertirse en administrador del sistema. Esta vulnerabilidad sólo se presenta en la versión 7.0 y no afecta a las versiones 6.x o por debajo. Este problema está parcheado en la versión 7.1. Como solución, los usuarios de la versión 7.0 pueden deshabilitar temporalmente la capacidad para los administradores de comunidades o colecciones para administrar los permisos o la configuración de los flujos de trabajo
Vulnerabilidad en HP OfficeJet 7110 Wide Format ePrinter (CVE-2021-3441)
Gravedad:
BajaBaja
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
Se ha identificado una posible vulnerabilidad de seguridad en HP OfficeJet 7110 Wide Format ePrinter que permite una vulnerabilidad de tipo Cross-Site Scripting (XSS)
Vulnerabilidad en el binario del desinstalador en los instaladores de Windows (CVE-2021-22038)
Gravedad:
MediaMedia
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
En Windows, el binario del desinstalador se copia a sí mismo en una ubicación temporal fija, que luego es ejecutada (el desinstalador originalmente llamado sale, por lo que no bloquea el directorio de instalación). Esta ubicación temporal no es aleatoria y no restringe el acceso sólo a administradores, por lo que un potencial atacante podría plantar un binario para reemplazar el binario copiado justo antes de que sea llamado, obteniendo así privilegios de administrador (si el desinstalador original fue ejecutado como administrador). La vulnerabilidad sólo afecta a los instaladores de Windows
Vulnerabilidad en el parámetro de sello KeepAlive.jsp en SysAid (CVE-2021-31862)
Gravedad:
MediaMedia
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
SysAid versión 20.4.74, permite un ataque de tipo XSS por medio del parámetro de sello KeepAlive.jsp sin ninguna autenticación
Vulnerabilidad en el parámetro index en Tenda (CVE-2021-31627)
Gravedad:
MediaMedia
Publication date: 29/10/2021
Last modified:
03/11/2021
Descripción:
Una vulnerabilidad de desbordamiento del búfer en Tenda versiones AC9 V1.0 hasta V15.03.05.19(6318), y AC9 V3.0 V15.03.06.42_multi, permite a atacantes ejecutar código arbitrario por medio del parámetro index

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: