Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en /admin.html?do=user&act=add en EC Cloud E-Commerce System (CVE-2020-21139)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Se ha detectado que EC Cloud E-Commerce System versión v1.3, contiene una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) que permite a atacantes añadir arbitrariamente cuentas de administrador por medio de /admin.html?do=user&act=add
Vulnerabilidad en el módulo de administración de configuraciones del CP del Administrador en MyBB (CVE-2021-43281)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
MyBB versiones anteriores a 1.8.29, permite una Inyección de Código Remota por parte de un administrador con el permiso "Can manage settings?". El módulo de administración de configuraciones del CP del Administrador no comprueba correctamente los tipos de configuraciones al insertarlas y actualizarlas, haciendo posible añadir configuraciones del tipo "php" con código PHP, ejecutado en las páginas de cambio de configuraciones
Vulnerabilidad en Sonatype Nexus Repository Manager (CVE-2021-43293)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Sonatype Nexus Repository Manager versiones 3.x anteriores a 3.36.0 permite a un atacante remoto autenticado llevar a cabo potencialmente una enumeración de la red por medio de una vulnerabilidad de tipo Server Side Request Forgery (SSRF)
Vulnerabilidad en determinadas operaciones en Jenkins, LTS (CVE-2021-21688)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Un control de seguridad agente-a-controlador FilePath#reading(FileVisitor) en Jenkins 2.318 y anteriores, LTS versiones 2.303.2 y anteriores, no rechaza ninguna operación, permitiendo a usuarios tener acceso de lectura sin restricciones usando determinadas operaciones (crear archivos, FilePath#copyRecursiveTo)
Vulnerabilidad en la interfaz de administración basada en web de los Switches de la serie Cisco Catalyst Passive Optical Network (PON) Optical Network Terminal (ONT) (CVE-2021-34795)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de los Switches de la serie Cisco Catalyst Passive Optical Network (PON) Optical Network Terminal (ONT) podrían permitir a un atacante remoto no autenticado llevar a cabo las siguientes acciones: Iniciar sesión con una credencial predeterminada si el protocolo Telnet está habilitado Llevar a cabo una inyección de comandos Modificar la configuración Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en los parámetros de la URL en una petición HTTP en la interfaz de administración basada en la web de Cisco Webex Video Mesh (CVE-2021-1500)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Webex Video Mesh podría permitir a un atacante remoto no autenticado redirigir a un usuario a una página web maliciosa. Esta vulnerabilidad es debido a que no son comprobados correctamente los parámetros de la URL en una petición HTTP. Un atacante podría explotar esta vulnerabilidad al convencer a un usuario de que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante redirigir a un usuario a un sitio web malicioso. Los atacantes pueden usar este tipo de vulnerabilidad, conocida como ataque de redirección abierta, como parte de un ataque de phishing para persuadir a usuarios a visitar sitios maliciosos sin saberlo
Vulnerabilidad en el envío de una petición HTTP en la interfaz de administración basada en la web de múltiples dispositivos Cisco (CVE-2021-34701)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) y Cisco Unity Connection podría permitir a un atacante remoto autenticado acceder a datos confidenciales en un dispositivo afectado. Esta vulnerabilidad es debido a que la interfaz de administración basada en la web no comprueba correctamente las entradas proporcionadas por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada que contenga secuencias de caracteres de salto de directorio en un sistema afectado. Una explotación con éxito podría permitir al atacante acceder a archivos confidenciales en el sistema afectado
Vulnerabilidad en unas páginas específicas de la interfaz en la interfaz de administración basada en la web de Cisco Prime Access Registrar (CVE-2021-34731)
Gravedad:
BajaBaja
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Prime Access Registrar podría permitir a un atacante remoto y autenticado llevar a cabo un ataque de tipo cross-site scripting almacenado en un sistema afectado. Esta vulnerabilidad es debido a que la interfaz de administración basada en la web no comprueba suficientemente la información proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad al inyectar código malicioso en páginas específicas de la interfaz. Una explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para explotar esta vulnerabilidad, el atacante necesitaría credenciales administrativas válidas. Cisco espera publicar actualizaciones de software que aborden esta vulnerabilidad
Vulnerabilidad en las protecciones CSRF en la interfaz de administración basada en la web de múltiples dispositivos Cisco (CVE-2021-34773)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME) y Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross-site request forgery (CSRF) en un dispositivo afectado. Esta vulnerabilidad es debido a una insuficiencia de las protecciones CSRF para la interfaz de administración basada en la web en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al convencer a un usuario de la interfaz para que haga clic en un enlace malicioso. Una explotación con éxito podría permitir al atacante llevar a cabo acciones arbitrarias con el nivel de privilegio del usuario objetivo. Estas acciones podrían incluir la modificación de la configuración del dispositivo y la eliminación (pero no la creación) de cuentas de usuario
Vulnerabilidad en el envío de una petición HTTP en la interfaz de administración basada en la web de Cisco Common Services Platform Collector (CSPC) (CVE-2021-34774)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Common Services Platform Collector (CSPC) podría permitir a un atacante remoto autenticado acceder a datos confidenciales en un sistema afectado. Esta vulnerabilidad se presenta porque la aplicación no protege suficientemente los datos confidenciales cuando responde a una petición específica de la API. Un atacante podría explotar la vulnerabilidad mediante el envío de una petición HTTP diseñada a la aplicación afectada. Una explotación con éxito podría permitir al atacante conseguir información confidencial sobre usuarios de la aplicación, incluyendo preguntas y respuestas de seguridad. Para explotar esta vulnerabilidad, un atacante necesitaría credenciales de administrador válidas. Cisco espera publicar actualizaciones de software que aborden esta vulnerabilidad
Vulnerabilidad en las entradas proporcionadas por el usuario en la interfaz de administración basada en la web de Cisco Prime Infrastructure (PI) y Cisco Evolved Programmable Network Manager (EPNM) (CVE-2021-34784)
Gravedad:
BajaBaja
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Prime Infrastructure (PI) y Cisco Evolved Programmable Network Manager (EPNM) podría permitir a un atacante remoto autenticado realizar un ataque de tipo cross-site scripting (XSS) almacenado contra un usuario de la interfaz de administración basada en la web de un dispositivo afectado. Esta vulnerabilidad es debido a que la interfaz de administración basada en la web no comprueba correctamente las entradas proporcionadas por el usuario. Un atacante podría explotar esta vulnerabilidad al convencer a un usuario de la interfaz afectada para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador
Vulnerabilidad en la interfaz de administración basada en la web de los Switches de la serie Cisco Catalyst Passive Optical Network (PON) Optical Network Terminal (ONT) (CVE-2021-40112)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en la web de los Switches de la serie Cisco Catalyst Passive Optical Network (PON) Optical Network Terminal (ONT) podrían permitir a un atacante remoto no autenticado llevar a cabo las siguientes acciones: Iniciar sesión con una credencial predeterminada si el protocolo Telnet está habilitado Llevar a cabo una inyección de comandos Modificar la configuración Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en la interfaz de administración basada en la web de los Switches de la serie Cisco Catalyst Passive Optical Network (PON) Optical Network Terminal (ONT) (CVE-2021-40113)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en la web de los Switches de la serie Cisco Catalyst Passive Optical Network (PON) Optical Network Terminal (ONT) podrían permitir a un atacante remoto no autenticado llevar a cabo las siguientes acciones: Iniciar sesión con una credencial predeterminada si el protocolo Telnet está habilitado Llevar a cabo una inyección de comandos Modificar la configuración Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso
Vulnerabilidad en las entradas proporcionadas por el usuario en Cisco Webex Video Mesh (CVE-2021-40115)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en Cisco Webex Video Mesh podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz. Esta vulnerabilidad es debido a que la interfaz de administración basada en la web no comprueba suficientemente las entradas proporcionadas por el usuario. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador
Vulnerabilidad en el envío de una entrada a un campo específico en la interfaz de administración basada en la web de algunos routers de la serie RV de Cisco Small Business (CVE-2021-40120)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de algunos routers de la serie RV de Cisco Small Business podría permitir a un atacante remoto autenticado con privilegios administrativos inyectar comandos arbitrarios en el sistema operativo subyacente y ejecutarlos usando privilegios de nivel de root. Esta vulnerabilidad es debido a que no se comprueba suficientemente la entrada proporcionada por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una entrada maliciosa a un campo específico de la interfaz de administración basada en la web de un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo Linux subyacente como un usuario con privilegios de nivel de root
Vulnerabilidad en un script en el módulo Network Access Manager (NAM) de Cisco AnyConnect Secure Mobility Client para Windows (CVE-2021-40124)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en el módulo Network Access Manager (NAM) de Cisco AnyConnect Secure Mobility Client para Windows podría permitir a un atacante local autenticado escalar privilegios en un dispositivo afectado. Esta vulnerabilidad es debido a una asignación incorrecta de privilegios a las scripts que se ejecutan antes del inicio de sesión del usuario. Un atacante podría explotar esta vulnerabilidad al configurar un script para que se ejecute antes del inicio de sesión. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios SYSTEM
Vulnerabilidad en un mensaje de error en el panel de control basado en la web de Cisco Umbrella (CVE-2021-40126)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en el panel de control basado en la web de Cisco Umbrella podría permitir a un atacante remoto y autenticado llevar a cabo un ataque de enumeración de correos electrónicos contra la infraestructura de Umbrella. Esta vulnerabilidad es debido a un mensaje de error demasiado descriptivo en el panel de control que aparece cuando un usuario intenta modificar su dirección de correo electrónico cuando la nueva dirección ya se presenta en el sistema. Un atacante podría explotar esta vulnerabilidad al intentar modificar la dirección de correo electrónico del usuario. Una explotación con éxito podría permitir al atacante enumerar las direcciones de correo electrónico de usuarios en el sistema
Vulnerabilidad en el envío de una petición HTTP en la funcionalidad account activation de Cisco Webex Meetings (CVE-2021-40128)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad en la funcionalidad account activation de Cisco Webex Meetings podría permitir a un atacante remoto no autenticado enviar un correo electrónico de activación de cuentas con un enlace de activación que apunte a un dominio arbitrario. Esta vulnerabilidad es debido a que no son comprobados suficientemente los parámetros proporcionados por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada a la página de activación de cuentas de Cisco Webex Meetings. Un ataque exitoso podría permitir al atacante enviar a cualquier destinatario un correo electrónico de activación de cuenta que contenga un enlace de activación manipulado, que podría dirigir al usuario a un sitio web controlado por el atacante
Vulnerabilidad en vectores no especificados en el componente /cgi-bin/upload_firmware.cgi de D-Link DIR-823G REVA1 (CVE-2020-25366)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Un problema en el componente /cgi-bin/upload_firmware.cgi de D-Link DIR-823G REVA1 versión 1.02B05 permite a atacantes causar una denegación de servicio (DoS) por medio de vectores no especificados
Vulnerabilidad en TwinCAT OPC UA Server en TF6100 y TS6100 (CVE-2021-34594)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
TwinCAT OPC UA Server en TF6100 y TS6100 en versiones del producto anteriores a 4.3.48.0 o con versiones de TcOpcUaServer anteriores a 3.2.0.194, son propensos a un salto de ruta relativo que permite a administradores crear o eliminar cualquier archivo en el sistema
Vulnerabilidad en metacaracteres de shell en el campo Captcha en el protocolo HNAP1 de los dispositivos D-Link DIR-823G (CVE-2020-25367)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Se ha detectado una vulnerabilidad de inyección de comandos en el protocolo HNAP1 de los dispositivos D-Link DIR-823G con firmware V1.0.2B05. Un atacante es capaz de ejecutar scripts web arbitrarios por medio de metacaracteres de shell en el campo Captcha para iniciar sesión

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: