Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en (1) el parámetro Product Code en la página pos en cashiering. (2) parámetro id en manage_products y el (3) parámetro t en el archivo actions.php en Sourcecodester Simple Cashiering System (POS) (CVE-2021-41492)
Gravedad:
AltaAlta
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Se presentan múltiples vulnerabilidades de inyección SQL en Sourcecodester Simple Cashiering System (POS) versión 1.0 por medio de (1) parámetro Product Code en la página pos en cashiering. (2) parámetro id en manage_products y el (3) parámetro t en el archivo actions.php
Vulnerabilidad en el cuerpo de las peticiones chunked en la función parse en llhttp (CVE-2021-22960)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
La función parse en llhttp versiones anteriores a 2.1.4 y versiones anteriores a 6.0.6. ignora las extensiones chunk cuando analiza el cuerpo de las peticiones chunked. Esto conlleva a un Contrabando de Peticiones HTTP (HRS) bajo determinadas condiciones
Vulnerabilidad en la ruta con parámetro en una determinada función en Druid (CVE-2021-33800)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
En Druid versión 1.2.3, la visita a la ruta con parámetro en una determinada función puede conllevar a un salto de directorio
Vulnerabilidad en el parámetro proveedor del mantenimiento de la API en Delta Electronics DIALink (CVE-2021-38403)
Gravedad:
BajaBaja
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, es vulnerable a un ataque de tipo cross-site scripting porque un atacante autenticado puede inyectar código JavaScript arbitrario en el parámetro proveedor del mantenimiento de la API, que puede permitir a un atacante ejecutar código de forma remota
Vulnerabilidad en el parámetro deviceName de la API devices en Delta Electronics DIALink (CVE-2021-38407)
Gravedad:
BajaBaja
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, son vulnerables a un ataque de tipo cross-site scripting porque un atacante autenticado puede inyectar código JavaScript arbitrario en el parámetro deviceName de la API devices, que puede permitir a un atacante ejecutar código de forma remota
Vulnerabilidad en el parámetro deviceName de la API modbusWriter-Reader en Delta Electronics DIALink (CVE-2021-38411)
Gravedad:
BajaBaja
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, es vulnerable a un ataque de tipo cross-site scripting porque un atacante autenticado puede inyectar código JavaScript arbitrario en el parámetro deviceName de la API modbusWriter-Reader, lo que puede permitir a un atacante ejecutar código de forma remota
Vulnerabilidad en Delta Electronics DIALink (CVE-2021-38416)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, cargan bibliotecas de forma no segura, lo que puede permitir a un atacante usar un secuestro de DLL y tomar el control del sistema donde está instalado el software
Vulnerabilidad en Delta Electronics DIALink (CVE-2021-38418)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, son ejecutadas por defecto en HTTP, lo que puede permitir a un atacante situarse entre el tráfico y llevar a cabo un ataque de tipo machine-in-the-middle para acceder a la información sin autorización
Vulnerabilidad en Delta Electronics DIALink (CVE-2021-38420)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, los permisos predeterminados otorgan amplios permisos a cuentas de usuario con pocos privilegios, que puede permitir a un atacante modificar el directorio de instalación y cargar archivos maliciosos
Vulnerabilidad en Delta Electronics DIALink (CVE-2021-38422)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, almacena información confidencial en texto sin cifrar, que puede permitir a un atacante tener un amplio acceso al directorio de la aplicación y escalar privilegios
Vulnerabilidad en el nombre del parámetro de la programación de la API en Delta Electronics DIALink (CVE-2021-38428)
Gravedad:
BajaBaja
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, son vulnerables a un ataque de tipo cross-site scripting porque un atacante autenticado puede inyectar código JavaScript arbitrario en el nombre del parámetro de la programación de la API, que puede permitir a un atacante ejecutar código de forma remota
Vulnerabilidad en el comentario del parámetro de los eventos API en Delta Electronics DIALink (CVE-2021-38488)
Gravedad:
BajaBaja
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Delta Electronics DIALink versiones 1.2.4.0 y anteriores, es vulnerable a un ataque de tipo cross-site scripting porque un atacante autenticado puede inyectar código JavaScript arbitrario en el comentario del parámetro de los eventos API, que puede permitir a un atacante ejecutar código de forma remota
Vulnerabilidad en el inicio de sesión en Sourcecodester Simple Subscription Website (CVE-2021-43140)
Gravedad:
AltaAlta
Publication date: 03/11/2021
Last modified:
16/11/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL en Sourcecodester Simple Subscription Website versión 1.0. por medio del inicio de sesión
Vulnerabilidad en una carga útil en los campos Post title o Post content en el componente sposts.php en ED01-CMS (CVE-2020-18259)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Se ha detectado que ED01-CMS versión v1.0, contiene una vulnerabilidad de tipo cross-site scripting (XSS) reflectiva en el componente sposts.php. Esta vulnerabilidad permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada insertada en los campos Post title o Post content
Vulnerabilidad en la función image upload de ED01-CMS (CVE-2020-18261)
Gravedad:
AltaAlta
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad de carga de archivos arbitraria en la función image upload de ED01-CMS versión v1.0, permite a atacantes ejecutar comandos arbitrarios
Vulnerabilidad en el parámetro cid en el componente cposts.php en ED01-CMS (CVE-2020-18262)
Gravedad:
AltaAlta
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Se ha detectado que ED01-CMS versión v1.0, contiene una inyección SQL en el componente cposts.php por medio del parámetro cid
Vulnerabilidad en el parámetro search en el componente search.php en PHP-CMS (CVE-2020-18263)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Se ha detectado que PHP-CMS versión v1.0, contiene una vulnerabilidad de inyección SQL en el componente search.php por medio del parámetro search. Esta vulnerabilidad permite a atacantes acceder a información confidencial de la base de datos
Vulnerabilidad en el parámetro resourceid en el archivo /showReports.do Zoho ManageEngine Applications Manager (CVE-2020-24743)
Gravedad:
AltaAlta
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Se ha detectado un problema en el archivo /showReports.do Zoho ManageEngine Applications Manager versiones hasta la 14550, permite a atacantes alcanzar privilegios escalados por medio del parámetro resourceid
Vulnerabilidad en el código de compra al archivo config.php en in customercentric-selling-poland PlayTube (CVE-2021-26786)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Se ha detectado un problema en in customercentric-selling-poland PlayTube, permite a atacantes autenticados ejecutar código arbitrario por medio del código de compra al archivo config.php
Vulnerabilidad en una imagen BMP a la función image_load_bmp en htmldoc (CVE-2021-40985)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad de desbordamiento del búfer en htmldoc versiones anteriores a 1.9.12, permite a atacantes causar una denegación de servicio por medio de una imagen BMP diseñada a la función image_load_bmp
Vulnerabilidad en el parámetro username en el archivo customer/login.php en Sourcecodester Customer Relationship Management System (CRM) (CVE-2021-43130)
Gravedad:
AltaAlta
Publication date: 03/11/2021
Last modified:
16/11/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL en Sourcecodester Customer Relationship Management System (CRM) versión 1.0 por medio del parámetro username en el archivo customer/login.php
Vulnerabilidad en Un archivo PHP en el fichero .htaccess en Artica Pandora FMS (CVE-2021-36697)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
Con una cuenta de administrador, el fichero .htaccess en Artica Pandora FMS versiones anteriores a 755 incluyéndola, puede ser sobrescrito con el componente File Manager. El nuevo fichero .htaccess contiene una Regla de Reescritura con una definición de tipo. Un archivo PHP normal puede ser cargado con este nuevo "file type" y el código puede ser ejecutado con una petición HTTP
Vulnerabilidad en la cuenta asociada a un token de servicios web en Mahara (CVE-2021-40849)
Gravedad:
AltaAlta
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, la cuenta asociada a un token de servicios web es vulnerable a ser explotada y a iniciar sesión, resultando en una divulgación de información (como mínimo) y a menudo en una escalada de privilegios
Vulnerabilidad en los archivos CSV en Mahara (CVE-2021-40848)
Gravedad:
MediaMedia
Publication date: 03/11/2021
Last modified:
05/11/2021
Descripción:
En Mahara versiones anteriores a 20.04.5, 20.10.3, 21.04.2 y 21.10.0, los archivos CSV exportados podían contener caracteres que un programa de hoja de cálculo podía interpretar como un comando, conllevando a una ejecución de una cadena maliciosa localmente en un dispositivo, lo que se conoce como inyección CSV

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: