Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la página de inicio de sesión nativa en Talend Data Catalog (CVE-2021-42837)
Gravedad:
AltaAlta
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Se ha detectado un problema en Talend Data Catalog versiones anteriores a 7.3-20210930. Después de configurar SAML/OAuth, la autenticación no se aplica correctamente en la página de inicio de sesión nativa. Cualquier usuario válido del proveedor de SAML/OAuth puede ser usado como nombre de usuario con una contraseña arbitraria, y el inicio de sesión tendrá éxito
Vulnerabilidad en un archivo JPEG 2000 en Irfanview (CVE-2020-23565)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Irfanview versión v4.53, permite a atacantes ejecutar código arbitrario por medio de un archivo JPEG 2000 diseñado. Relacionado a "Data from Faulting Address controls Branch Selection starting at JPEG2000!ShowPlugInSaveOptions_W+0x0000000000032850"
Vulnerabilidad en un archivo JPEG 2000 en Irfanview (CVE-2020-23567)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Irfanview versión v4.53 permite a atacantes causar una denegación de servicio (DoS) por medio de un archivo JPEG 2000 diseñado. Relacionado con "Integer Divide By Zero starting at JPEG2000!ShowPlugInSaveOptions_W+0x00000000000082ea"
Vulnerabilidad en JPEG2000!ShowPlugInSaveOptions_W+0x1ecd8 en Irfanview (CVE-2020-23566)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Se ha detectado que Irfanview versión v4.53 contiene un bucle infinito por medio de JPEG2000!ShowPlugInSaveOptions_W+0x1ecd8
Vulnerabilidad en la aplicación afectada (CVE-2021-42543)
Gravedad:
AltaAlta
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
La aplicación afectada usa funciones específicas que podrían ser abusadas mediante un archivo de proyecto diseñado, lo que podría conllevar a una ejecución de código, el reinicio del sistema y el apagado del mismo
Vulnerabilidad en Remote Clinic (CVE-2021-39416)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Se presentan múltiples vulnerabilidades de tipo Cross Site Scripting (XSS) en Remote Clinic versión v2.0 en el archivo (1) patients/register-patient.php por medio de los parámetros (a) Contact, (b) Email, (c) Weight, (d) Profession, (e) ref_contact, (f) address, (g) gender, (h) age, y (i) serial; en el archivo (2) patients/edit-patient.php por medio de los parámetros (a) Contact, (b) Email, (c) Weight, Profession, (d) ref_contact, (e) address, (f) serial, (g) age, and (h) gender ; en el archivo (3) staff/edit-my-profile.php por medio de los parámetros (a) Title, (b) First Name, (c) Last Name, (d) Skype, and (e) Address ; y en el archivo (4) clinics/settings.php por medio de los parámetros (a) portal_name, (b) guardian_short_name, (c) guardian_name, (d) opening_time, (e) closing_time, (f) access_level_5, (g) access_level_4, (h) access_level_ 3, (i) access_level_2, (j) access_level_1, (k) currency, (l) mobile_number, (m) address, (n) patient_contact, (o) patient_address, and (p) patient_email
Vulnerabilidad en SEO Panel (CVE-2021-39413)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Se presentan múltiples vulnerabilidades de tipo Cross Site Scripting (XSS) en SEO Panel versión v4.8.0 por medio del parámetro (1) to_time en los archivos: (a) backlinks.php, (b) analytics.php, (c) log.php, (d) overview.php, (e) pagespeed. php, (f) rank.php, (g) review.php, (h) saturationchecker.php, (i) social_media.php, y (j) reports.php; el parámetro (2) from_time en los archivos: (a) backlinks.php, (b) analytics.php, (c) log.php, (d) overview. php, (e) pagespeed.php, (f) rank.php, (g) review.php, (h) saturationchecker.php, (i) social_media.php, (j) webmaster-tools.php, y (k) reports.php; el parámetro (3) order_col en los archivos: (a) analytics.php, (b) review. php, (c) social_media.php, y (d) webmaster-tools.php; y el parámetro (4) pageno en los archivos: (a) alerts.php, (b) log.php, (c) keywords.php, (d) proxy.php, (e) searchengine.php, y (f) siteauditor.php
Vulnerabilidad en el parámetro Holiday reason en Sourcecodester Online Event Booking and Reservation System in PHP/MySQL (CVE-2021-42662)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
16/11/2021
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) almacenada en Sourcecodester Online Event Booking and Reservation System in PHP/MySQL por medio del parámetro Holiday reason. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos javascript en nombre de los navegantes del servidor web, que puede conllevar al robo de cookies y más
Vulnerabilidad en Property Settings (CVE-2021-25502)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Una vulnerabilidad de almacenamiento de información confidencial de forma no segura en Property Settings anterior a SMR Nov-2021 Release 1 permite a atacantes leer el valor de ESN sin privilegio
Vulnerabilidad en HDCP LDFW (CVE-2021-25500)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Una falta de comprobación de entradas en HDCP LDFW versiones anteriores a 1 de SMR Nov-2021, permite a atacantes sobrescribir TZASC, lo que permite comprometer el TEE
Vulnerabilidad en SCloudBnRReceiver en SecTelephonyProvider (CVE-2021-25501)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en SCloudBnRReceiver en SecTelephonyProvider versiones anteriores a SMR Nov-2021 Release 1, permite que una aplicación no confiable llame a algunos proveedores protegidos
Vulnerabilidad en HDCP (CVE-2021-25503)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Una vulnerabilidad de comprobación de entrada inapropiada en HDCP versiones anteriores a SMR Nov-2021 Release 1, permite a atacantes una ejecución de código arbitrario
Vulnerabilidad en Group Sharing (CVE-2021-25504)
Gravedad:
BajaBaja
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Una vulnerabilidad de redirección de intenciones en Group Sharing versiones anteriores a 10.8.03.2, permite a un atacante acceder a la información de los contactos
Vulnerabilidad en Samsung Pass (CVE-2021-25505)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
08/11/2021
Descripción:
Una autenticación inapropiada en Samsung Pass versiones anteriores a 3.0.02.4, permite usar la aplicación sin autenticación cuando la pantalla de bloqueo está desbloqueada
Vulnerabilidad en GitLab CE/EE (CVE-2021-39897)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Un control de acceso inapropiado en GitLab CE/EE versión 10.5 y superiores, permitía que miembros de un subgrupo con acceso heredado a un proyecto de un grupo padre siguieran teniendo acceso incluso después de que se transfiriera el subgrupo
Vulnerabilidad en una exportación de proyecto en GitLab CE/EE (CVE-2021-39898)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
En todas las versiones de GitLab CE/EE desde versión 10.6, una exportación de proyecto filtra el valor del token externo de webhook que puede permitir el acceso al proyecto desde el que se exportó
Vulnerabilidad en los archivos ipynb en GitLab CE/EE (CVE-2021-39906)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Una comprobación inapropiada de los archivos ipynb en GitLab CE/EE versión 13.5 y superiores, permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima
Vulnerabilidad en las programaciones de tuberías en GitLab CE/EE (CVE-2021-39895)
Gravedad:
BajaBaja
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
En todas las versiones de GitLab CE/EE desde versión 8.0, un atacante puede configurar las programaciones de tuberías para que estén activas en una exportación de proyectos, de modo que cuando un propietario desprevenido importa ese proyecto, las tuberías están activas por defecto en ese proyecto. Bajo condiciones especializadas, esto puede conllevar a una divulgación de información si el proyecto es importado desde una fuente no confiable
Vulnerabilidad en la integración de DataDog en GitLab CE/EE (CVE-2021-22260)
Gravedad:
BajaBaja
Publication date: 04/11/2021
Last modified:
05/11/2021
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting almacenada en la integración de DataDog en GitLab CE/EE versiones 13.7 y superiores, permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima
Vulnerabilidad en el token SCIM en GitLab CE/EE (CVE-2021-39901)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
En todas las versiones de GitLab CE/EE desde versión 11.10, un administrador de un grupo puede visualizar el token SCIM de ese grupo visitando un endpoint específico
Vulnerabilidad en la API GraphQL de GitLab CE/EE (CVE-2021-39904)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en la API GraphQL de GitLab CE/EE desde la versión 13.1, permite a un creador de Merge Request resolver discusiones y aplicar sugerencias después de que el propietario de un proyecto haya bloqueado la Merge Request
Vulnerabilidad en la API de GitLab CE/EE (CVE-2021-39905)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Una vulnerabilidad de divulgación de información en la API de GitLab CE/EE desde la versión 8.9.6 permite a un usuario visualizar información básica sobre grupos privados con los que se ha compartido un proyecto público
Vulnerabilidad en los datos EXIF de determinadas imágenes en GitLab CE/EE (CVE-2021-39907)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Se ha detectado una posible vulnerabilidad de DOS en GitLab CE/EE a partir de la versión 13.7. La eliminación de los datos EXIF de determinadas imágenes resultaba en un elevado uso de la CPU
Vulnerabilidad en la dirección de correo electrónico en la función CODEOWNERS en GitLab EE (CVE-2021-39909)
Gravedad:
BajaBaja
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Una falta de verificación de la propiedad de la dirección de correo electrónico en la función CODEOWNERS en todas las versiones de GitLab EE desde la versión 11.3 permite a un atacante omitir el requisito de aprobación de las peticiones de fusión CODEOWNERS en raras circunstancias
Vulnerabilidad en GitLab CE/EE (CVE-2021-39911)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Un fallo de control de acceso inapropiado en GitLab CE/EE a partir de la versión 13.9 expone la dirección de correo electrónico privada del asignatario de Issue y Merge Requests a los consumidores de datos Webhook
Vulnerabilidad en unas imágenes TIFF en GitLab CE/EE (CVE-2021-39912)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Se ha detectado una potencial vulnerabilidad DoS en GitLab CE/EE a partir de la versión 13.7. Usando imágenes TIFF mal formadas era posible desencadenar el agotamiento de la memoria
Vulnerabilidad en el sistema en el registro de migración de GitLab CE/EE (CVE-2021-39913)
Gravedad:
AltaAlta
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
El registro accidental de la contraseña de root del sistema en el registro de migración en todas las versiones de GitLab CE/EE permite a un atacante con acceso al sistema de archivos local alcanzar privilegios a nivel de root del sistema
Vulnerabilidad en GitLab CE/EE (CVE-2021-39902)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Una autorización incorrecta en GitLab CE/EE versión 13.4 o superior permite a un usuario con membresía de invitado en un proyecto modificar la gravedad de un incidente
Vulnerabilidad en una llamada a la API en GitLab CE/EE (CVE-2021-39903)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
En todas las versiones de GitLab CE/EE desde versión 13.0, un usuario con privilegios, mediante una llamada a la API, puede cambiar el nivel de visibilidad de un grupo o un proyecto a una opción restringida incluso después de que el administrador de la instancia establezca esa opción de visibilidad como restringida en la configuración
Vulnerabilidad en GitLab (CVE-2021-39914)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Un problema de denegación de servicio con expresiones regulares en GitLab versiones 8.13 a 14.2.5, 14.3.0 a 14.3.3 y 14.4.0, podía causar un uso excesivo de recursos cuando se usaba un nombre de usuario especialmente diseñado al aprovisionar un nuevo usuario
Vulnerabilidad en el procesamiento de D-Bus de una llamada WriteValue en el archivo gatt-database.c en BlueZ (CVE-2021-43400)
Gravedad:
MediaMedia
Publication date: 04/11/2021
Last modified:
08/11/2021
Descripción:
Se ha detectado un problema en el archivo gatt-database.c en BlueZ versión 5.61. Puede producirse un uso de memoria previamente liberada cuando un cliente se desconecta durante el procesamiento de D-Bus de una llamada WriteValue

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en vim (CVE-2021-3928)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
24/11/2021
Descripción:
vim es vulnerable a un Desbordamiento Del búfer en la región Stack de la memoria
Vulnerabilidad en los clústeres Dask en Dask (CVE-2021-42343)
Gravedad:
MediaMedia
Publication date: 26/10/2021
Last modified:
17/11/2021
Descripción:
Se ha descubierto un problema en el paquete distribuido Dask antes de la versión 2021.10.0 para Python. Los clústeres Dask de una sola máquina iniciados con dask.distributed.LocalCluster o dask.distributed.Client (que utiliza por defecto LocalCluster) configuraban por error sus respectivos Dask workers para escuchar en interfaces externas (normalmente con un puerto alto seleccionado al azar) en lugar de hacerlo sólo en localhost. Un cluster Dask creado con este método (cuando se ejecuta en una máquina que tiene un puerto aplicable expuesto) podría ser utilizado por un atacante sofisticado para lograr la ejecución remota de código