Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la caché de los proxies intermedios en Discourse (CVE-2021-41271)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Discourse es una plataforma para el debate comunitario. En versiones afectadas, una petición maliciosamente diseñada podría causar una respuesta de error en la caché de los proxies intermedios. Esto podría causar una pérdida de confidencialidad para algunos contenidos. Este problema está parcheado en las últimas versiones estables, beta y de prueba de Discourse
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12901)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Un Uso de Memoria Previamente Liberada en AMD Graphics Driver para Windows 10 puede conllevar un desvío de KASLR o la divulgación de información
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12893)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Un Desbordamiento del Búfer de la Pila en AMD Graphics Driver para Windows 10 en Escape 0x15002a puede conllevar a una escalada de privilegios o una denegación de servicio
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12894)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Una escritura arbitraria en AMD Graphics Driver para Windows 10 en el escape 0x40010d puede conllevar a una escritura arbitraria en la memoria del kernel o una denegación de servicio
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12960)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
AMD Graphics Driver para Windows 10, amdfender.sys puede manejar incorrectamente la comprobación de entrada en InputBuffer, lo que puede resultar en una denegación de servicio (DoS)
Vulnerabilidad en AMD Graphics Driver para Windows (CVE-2020-12962)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
La interfaz de llamada de escape en AMD Graphics Driver para Windows puede causar una escalada de privilegios
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12898)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Un desbordamiento del búfer de pila en AMD Graphics Driver para Windows 10 puede conllevar a una escalada de privilegios o una denegación de servicio
Vulnerabilidad en WebAccess/MHI Designer (CVE-2021-42706)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Esta vulnerabilidad podría permitir a un atacante revelar información y ejecutar código arbitrario en las instalaciones afectadas de WebAccess/MHI Designer
Vulnerabilidad en el análisis de los archivos DXF en Open Design Alliance Drawings SDK (CVE-2021-43391)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
30/11/2021
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites cuando es leído un archivo DXF usando Open Design Alliance Drawings SDK versiones anteriores a 2022.11. El problema específico es presentado en el análisis de los archivos DXF. Los datos diseñados en un archivo DXF (un contador de guiones no válido en los tipos de líneas) pueden desencadenar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual
Vulnerabilidad en el análisis de los archivos DGN en Open Design Alliance Drawings SDK (CVE-2021-43390)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
30/11/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites cuando es leído un archivo DGN usando Open Design Alliance Drawings SDK versiones anteriores a 2022.11. El problema específico es presentado en el análisis de los archivos DGN. Los datos diseñados en un archivo DGN y una falta de comprobación apropiada de los datos de entrada pueden desencadenar una operación de escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual
Vulnerabilidad en el análisis de los archivos DXF en Open Design Alliance Drawings SDK (CVE-2021-43336)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
17/11/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites cuando es leído un archivo DXF usando Open Design Alliance Drawings SDK versiones anteriores a 2022.11. El problema específico es presentado dentro del análisis de los archivos DXF. Los datos diseñados en un archivo DXF (un número no válido de propiedades) pueden desencadenar una operación de escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual
Vulnerabilidad en el procedimiento de lectura de archivos DWF en Open Design Alliance Drawings SDK (CVE-2021-43280)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
30/11/2021
Descripción:
Se presenta una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria en el procedimiento de lectura de archivos DWF en Open Design Alliance Drawings SDK versiones anteriores a 2022.8. El problema resulta de la falta de comprobación apropiada de la longitud de los datos suministrados por el usuario antes de copiarlos en un búfer en la región stack de la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual
Vulnerabilidad en los datos diseñados en un archivo U3D en el procedimiento de lectura de archivos U3D en Open Design Alliance PRC SDK (CVE-2021-43279)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
30/11/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites en el procedimiento de lectura de archivos U3D en Open Design Alliance PRC SDK versiones anteriores a 2022.10. Los datos diseñados en un archivo U3D pueden desencadenar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual
Vulnerabilidad en los datos en un archivo U3D en Open Design Alliance PRC SDK (CVE-2021-43277)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
17/11/2021
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites en el procedimiento de lectura de archivos U3D en Open Design Alliance PRC SDK versiones anteriores a 2022.10. Los datos diseñados en un archivo U3D pueden desencadenar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual
Vulnerabilidad en Los datos en un archivo DWF en Open Design Alliance ODA Viewer (CVE-2021-43276)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
17/11/2021
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites en Open Design Alliance ODA Viewer versiones anteriores a 2022.8. Los datos diseñados en un archivo DWF pueden desencadenar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual
Vulnerabilidad en el procedimiento de lectura de archivos DGN en Open Design Alliance Drawings SDK (CVE-2021-43275)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
17/11/2021
Descripción:
Se presenta una vulnerabilidad de Uso de Memoria previamente Liberada en el procedimiento de lectura de archivos DGN en Open Design Alliance Drawings SDK versiones anteriores a 2022.8. El problema es debido a que no se comprueba la existencia de un objeto antes de llevar a cabo operaciones con él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual
Vulnerabilidad en el procedimiento de lectura de archivos OBJ en Open Design Alliance Drawings SDK (CVE-2021-43278)
Gravedad:
MediaMedia
Publication date: 14/11/2021
Last modified:
17/11/2021
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites en el procedimiento de lectura de archivos OBJ en Open Design Alliance Drawings SDK versiones anteriores a 2022.11. La falta de comprobación de la longitud de la entrada puede desencadenar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual
Vulnerabilidad en el comando npm ci en npm (CVE-2021-43616)
Gravedad:
AltaAlta
Publication date: 13/11/2021
Last modified:
26/11/2021
Descripción:
El comando npm ci en npm versiones 7.x y 8.x hasta 8.1.3, procede con una instalación incluso si la información de dependencia en package-lock.json difiere de package.json. Este comportamiento es incoherente con la documentación, y facilita a atacantes la instalación de malware que se supone que ha sido bloqueado por un requisito de coincidencia de versión exacta en package-lock.json
Vulnerabilidad en Dell EMC PowerScale Nodes (CVE-2021-36315)
Gravedad:
AltaAlta
Publication date: 12/11/2021
Last modified:
17/11/2021
Descripción:
Dell EMC PowerScale Nodes contiene un defecto de diseño de hardware. Esto puede permitir a un usuario local no autenticado escalar privilegios. Esto también afecta al modo Compliance y, para los clústeres en modo Compliance, es una vulnerabilidad crítica. Dell EMC recomienda aplicar la solución lo antes posible
Vulnerabilidad en una petición con un nombre de usuario al endpoint POST /login en Apache Traffic Control Traffic Ops (CVE-2021-43350)
Gravedad:
AltaAlta
Publication date: 11/11/2021
Last modified:
30/11/2021
Descripción:
Un usuario no autenticado de Apache Traffic Control Traffic Ops puede enviar una petición con un nombre de usuario especialmente diseñado al endpoint POST /login de cualquier versión de la API para inyectar contenido no desinfectado en el filtro LDAP
Vulnerabilidad en 3D Viewer (CVE-2021-43209)
Gravedad:
MediaMedia
Publication date: 09/11/2021
Last modified:
16/11/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en 3D Viewer. Este ID de CVE es diferente de CVE-2021-43208
Vulnerabilidad en Azure RTOS (CVE-2021-42301)
Gravedad:
BajaBaja
Publication date: 09/11/2021
Last modified:
17/11/2021
Descripción:
Azure RTOS Una vulnerabilidad de Divulgación de Información. Este ID de CVE es diferente de CVE-2021-26444, CVE-2021-42323
Vulnerabilidad en Azure Sphere (CVE-2021-42300)
Gravedad:
MediaMedia
Publication date: 09/11/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad de Manipulación de Azure Sphere
Vulnerabilidad en Microsoft Defender (CVE-2021-42298)
Gravedad:
AltaAlta
Publication date: 09/11/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Defender
Vulnerabilidad en el componente thymeleaf-spring (CVE-2021-43466)
Gravedad:
MediaMedia
Publication date: 09/11/2021
Last modified:
17/11/2021
Descripción:
En el componente thymeleaf-spring versión 5.3.0.12, thymeleaf combinado con escenarios específicos en la inyección de plantillas puede conllevar a una ejecución de código remota

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la cadena &&& en el applet hush de Busybox (CVE-2021-42377)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
29/11/2021
Descripción:
Un puntero libre controlado por un atacante en el applet hush de Busybox conlleva a una denegación de servicio y una posible ejecución de código cuando es procesado un comando shell diseñado, debido a que el shell maneja inapropiadamente la cadena &&&. Esto puede ser usado para una ejecución de código remota bajo condiciones raras de entrada de comandos filtrados
Vulnerabilidad en un comando shell en el applet hush de Busybox (CVE-2021-42376)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
29/11/2021
Descripción:
Una desreferencia de puntero NULL en el applet hush de Busybox conlleva a una denegación de servicio cuando es procesado un comando shell diseñado, debido a una falta de comprobación después de un carácter delimitador \x03. Esto puede ser usado para DoS bajo condiciones muy raras de entrada de comandos filtrados
Vulnerabilidad en un comando shell en un elemento especial en el applet ash de Busybox (CVE-2021-42375)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
29/11/2021
Descripción:
Un manejo incorrecto de un elemento especial en el applet ash de Busybox conlleva una denegación de servicio cuando es procesado un comando shell diseñado, debido a que el shell confunde caracteres específicos con caracteres reservados. Esto puede ser usado para DoS bajo condiciones raras de entrada de comandos filtrados
Vulnerabilidad en una entrada comprimida LZMA en el applet unlzma de Busybox (CVE-2021-42374)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
29/11/2021
Descripción:
Una lectura de pila fuera de límites en el applet unlzma de Busybox conlleva a un filtrado de información y una denegación de servicio cuando se descomprime una entrada comprimida LZMA manipulada. Esto puede ser desencadenado por cualquier applet/formato que
Vulnerabilidad en el applet man de Busybox (CVE-2021-42373)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
29/11/2021
Descripción:
Una desreferencia de puntero NULL en el applet man de Busybox conlleva a una denegación de servicio cuando se proporciona un nombre de sección pero no se da ningún argumento de página
Vulnerabilidad en un archivo WAV en el archivo speexenc.c de Speex (CVE-2020-23904)
Gravedad:
MediaMedia
Publication date: 10/11/2021
Last modified:
17/11/2021
Descripción:
Un desbordamiento del búfer de la pila en el archivo speexenc.c de Speex versión v1.2, permite a atacantes causar una denegación de servicio (DoS) por medio de un archivo WAV diseñado
Vulnerabilidad en Azure RTOS (CVE-2021-26444)
Gravedad:
BajaBaja
Publication date: 09/11/2021
Last modified:
16/11/2021
Descripción:
Una vulnerabilidad de Divulgación de Información de Azure RTOS. Este ID de CVE es diferente de CVE-2021-42301, CVE-2021-42323
Vulnerabilidad en vim (CVE-2021-3928)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
24/11/2021
Descripción:
vim es vulnerable a un Desbordamiento Del búfer en la región Stack de la memoria
Vulnerabilidad en vim (CVE-2021-3927)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
24/11/2021
Descripción:
vim es vulnerable a un Desbordamiento del Búfer en la región Heap de la memoria
Vulnerabilidad en vim (CVE-2021-3903)
Gravedad:
MediaMedia
Publication date: 27/10/2021
Last modified:
16/11/2021
Descripción:
vim es vulnerable al desbordamiento del búfer en la región Heap de la memoria
Vulnerabilidad en el Título y la Descripción de los vídeos de una galería en el plugin Video Gallery - Vimeo and YouTube Gallery de WordPress (CVE-2021-24515)
Gravedad:
BajaBaja
Publication date: 25/10/2021
Last modified:
17/11/2021
Descripción:
El plugin Video Gallery WordPress antes de la versión 1.1.5 no escapa al Título y a la Descripción de los vídeos de una galería antes de mostrarlos en los atributos, lo que provoca problemas de Stored Cross-Site Scripting
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Error Handling) (CVE-2021-35596)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Error Handling). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-35591)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. La vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer el Servidor MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Cliente MySQL de Oracle MySQL (componente: C API) (CVE-2021-35597)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto Cliente MySQL de Oracle MySQL (componente: C API). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer el Cliente MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Cliente de MySQL. CVSS 3.1 Puntuación Base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Options) (CVE-2021-35602)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Options). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL, así como el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1 Puntuación Base 5.0 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2021-35604)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 5.7.35 y anteriores y la 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL, así como la actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1 Puntuación Base 5.5 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-35607)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Group Replication Plugin) (CVE-2021-35608)
Gravedad:
BajaBaja
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Group Replication Plugin). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 5.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35610)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL, así como el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1 Puntuación Base 7.1 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2479)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2021-2478)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-2481)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication) (CVE-2021-35546)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35575)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2021-35577)
Gravedad:
MediaMedia
Publication date: 20/10/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. La vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de MySQL Protcol comprometer el Servidor MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) del Servidor MySQL. CVSS 3.1 Puntuación Base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en IBM Cognos Analytics (CVE-2020-4951)
Gravedad:
BajaBaja
Publication date: 15/10/2021
Last modified:
16/11/2021
Descripción:
IBM Cognos Analytics versiones 11.1.7 y 11.2.0, contiene datos del navegador almacenados en caché localmente, que podría permitir a un atacante local obtener información confidencial
Vulnerabilidad en la entrada controlada por el usuario en IBM Cognos Analytics (CVE-2021-29679)
Gravedad:
MediaMedia
Publication date: 15/10/2021
Last modified:
16/11/2021
Descripción:
IBM Cognos Analytics versiones 11.1.7 y 11.2.0, podrían permitir a un usuario autenticado ejecutar código de forma remota debido a una neutralización incorrecta de la entrada controlada por el usuario que podría interpretarse como una directiva de tipo server-side include (SSI). IBM X-Force ID: 199915
Vulnerabilidad en IBM Cognos Analytics (CVE-2021-29745)
Gravedad:
MediaMedia
Publication date: 15/10/2021
Last modified:
16/11/2021
Descripción:
IBM Cognos Analytics versiones 11.1.7 y 11.2.0, es vulnerable a una escalada de privilegios en la que un usuario de nivel inferior podría tener acceso a la página "New Job" a la que no debería tener acceso. IBM X-Force ID: 201695
Vulnerabilidad en vim (CVE-2021-3875)
Gravedad:
MediaMedia
Publication date: 15/10/2021
Last modified:
24/11/2021
Descripción:
vim es vulnerable a un desbordamiento del búfer en la región heap de la memoria
Vulnerabilidad en Windows Media Foundation Dolby Digital Atmos Decoders de Microsoft (CVE-2021-40462)
Gravedad:
MediaMedia
Publication date: 12/10/2021
Last modified:
16/11/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Windows Media Foundation Dolby Digital Atmos Decoders
Vulnerabilidad en Windows Nearby Sharing de Microsoft (CVE-2021-40464)
Gravedad:
MediaMedia
Publication date: 12/10/2021
Last modified:
16/11/2021
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Nearby Sharing
Vulnerabilidad en Windows Text Shaping de Microsoft (CVE-2021-40465)
Gravedad:
MediaMedia
Publication date: 12/10/2021
Last modified:
16/11/2021
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Windows Text Shaping
Vulnerabilidad en una página HTML en Memory en Google Chrome (CVE-2021-37976)
Gravedad:
MediaMedia
Publication date: 08/10/2021
Last modified:
28/11/2021
Descripción:
Una implementación inapropiada en Memory en Google Chrome versiones anteriores a 94.0.4606.71, permitía a un atacante remoto conseguir información potencialmente confidencial de la memoria del proceso por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en V8 en Google Chrome (CVE-2021-37975)
Gravedad:
MediaMedia
Publication date: 08/10/2021
Last modified:
28/11/2021
Descripción:
Un uso de memoria previamente liberada en V8 en Google Chrome versiones anteriores a 94.0.4606.71, permitía a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Safebrowsing en Google Chrome (CVE-2021-37974)
Gravedad:
MediaMedia
Publication date: 08/10/2021
Last modified:
24/11/2021
Descripción:
Un uso de memoria previamente liberada en Safebrowsing en Google Chrome versiones anteriores a 94.0.4606.71, permitía a un atacante remoto que hubiera comprometido el proceso de renderización explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en Poly VVX 400/410 (CVE-2021-41322)
Gravedad:
MediaMedia
Publication date: 04/10/2021
Last modified:
28/11/2021
Descripción:
Poly VVX 400/410 versión 5.3.1 permite a los usuarios con pocos privilegios cambiar la contraseña de administrador modificando un parámetro POST a 120 durante el proceso de restablecimiento de la contraseña
Vulnerabilidad en el análisis de archivos OBJ en Solid Edge (CVE-2021-41538)
Gravedad:
MediaMedia
Publication date: 28/09/2021
Last modified:
28/11/2021
Descripción:
Se ha identificado una vulnerabilidad en NX 1953 Series (Todas las versiones anteriores a V1973.3700), NX 1980 Series (Todas las versiones anteriores a V1988), Solid Edge SE2021 (Todas las versiones anteriores a SE2021MP8). La aplicación afectada es vulnerable a la divulgación de información por el acceso inesperado a un puntero no inicializado mientras se analizan los archivos OBJ suministrados por el usuario. Un atacante podría aprovechar esta vulnerabilidad para filtrar información desde ubicaciones de memoria inesperadas (ZDI-CAN-13770)
Vulnerabilidad en el análisis de archivos OBJ en Solid Edge (CVE-2021-41535)
Gravedad:
MediaMedia
Publication date: 28/09/2021
Last modified:
28/11/2021
Descripción:
Se ha identificado una vulnerabilidad en NX 1953 Series (Todas las versiones anteriores a V1973.3700), NX 1980 Series (Todas las versiones anteriores a V1988), Solid Edge SE2021 (Todas las versiones anteriores a SE2021MP8). La aplicación afectada contiene una vulnerabilidad de uso después de libre al analizar archivos OBJ. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual (ZDI-CAN-13771)
Vulnerabilidad en el análisis de archivos JT en Solid Edge (CVE-2021-41534)
Gravedad:
MediaMedia
Publication date: 28/09/2021
Last modified:
28/11/2021
Descripción:
Se ha identificado una vulnerabilidad en NX 1980 Series (Todas las versiones anteriores a V1984), Solid Edge SE2021 (Todas las versiones anteriores a SE2021MP8). La aplicación afectada es vulnerable a una lectura fuera de límites más allá del final de un búfer asignado al analizar archivos JT. Un atacante podría aprovechar esta vulnerabilidad para filtrar información en el contexto del proceso actual (ZDI-CAN-13703)
Vulnerabilidad en el análisis de archivos JT en Solid Edge (CVE-2021-41533)
Gravedad:
MediaMedia
Publication date: 28/09/2021
Last modified:
28/11/2021
Descripción:
Se ha identificado una vulnerabilidad en NX 1980 Series (Todas las versiones anteriores a V1984), Solid Edge SE2021 (Todas las versiones anteriores a SE2021MP8). La aplicación afectada es vulnerable a una lectura fuera de límites más allá del final de un búfer asignado al analizar archivos JT. Un atacante podría aprovechar esta vulnerabilidad para filtrar información en el contexto del proceso actual (ZDI-CAN-13565)
Vulnerabilidad en vim (CVE-2021-3796)
Gravedad:
MediaMedia
Publication date: 15/09/2021
Last modified:
24/11/2021
Descripción:
vim es vulnerable a un Uso de memoria Previamente Liberada
Vulnerabilidad en vim (CVE-2021-3778)
Gravedad:
MediaMedia
Publication date: 15/09/2021
Last modified:
24/11/2021
Descripción:
vim es vulnerable a un desbordamiento del búfer en la región Heap de la memoria
Vulnerabilidad en la función __cil_verify_classperms en el compilador CIL en SELinux (CVE-2021-36084)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
16/11/2021
Descripción:
El compilador CIL en SELinux versión 3.2,, presenta un uso de la memoria previamente liberada en la función __cil_verify_classperms (llamado desde __cil_verify_classpermission y __cil_pre_verify_helper)
Vulnerabilidad en la función __cil_verify_classperms en el compilador CIL en SELinux (CVE-2021-36085)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
16/11/2021
Descripción:
El compilador CIL en SELinux versión 3.2, presenta un uso de la memoria previamente liberada en la función __cil_verify_classperms (llamado desde __verify_map_perm_classperms y hashtab_map)
Vulnerabilidad en la función cil_reset_classpermission en el compilador CIL en SELinux (CVE-2021-36086)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
16/11/2021
Descripción:
El compilador CIL en SELinux versión 3.2, presenta un uso de la memoria previamente liberada en la función cil_reset_classpermission (llamado desde cil_reset_classperms_set y cil_reset_classperms_list)
Vulnerabilidad en la función ebitmap_match_any en el compilador CIL en SELinux (CVE-2021-36087)
Gravedad:
BajaBaja
Publication date: 01/07/2021
Last modified:
17/11/2021
Descripción:
El compilador CIL en SELinux 3.2 tiene una sobrelectura del búfer basada en el montón en ebitmap_match_any (llamado indirectamente desde cil_check_neverallow). Esto ocurre porque a veces no se comprueban las declaraciones no válidas en un bloque opcional
Vulnerabilidad en los gadgets de serialización y escritura en FasterXML jackson-databind (CVE-2020-14195)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/11/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.5, maneja inapropiadamente la interacción entre los gadgets de serialización y escritura, relacionada con org.jsecurity.realm.jndi.JndiRealmFactory (también se conoce como org.jsecurity)
Vulnerabilidad en weblogic/oracle-aqjms en los gadgets de serialización en FasterXML jackson-databind (CVE-2020-14061)
Gravedad:
MediaMedia
Publication date: 14/06/2020
Last modified:
17/11/2021
Descripción:
FasterXML jackson-databind versiones 2.x anteriores a 2.9.10.5, maneja incorrectamente la interacción entre los gadgets de serialización y la escritura, relacionada con oracle.jms.AQjmsQueueConnectionFactory, oracle.jms.AQjmsXATopicConnectionFactory, oracle.jms.AQjmsTopicConnectionFactory, oracle.jms.AQjmsXAQueueConnectionFactory, y oracle.jms.AQjmsXAConnectionFactory (también se conoce como weblogic/oracle-aqjms)
Vulnerabilidad en globals, _get, _post, _cookie, y _env en la página Ignition para Laravel (CVE-2020-13909)
Gravedad:
AltaAlta
Publication date: 07/06/2020
Last modified:
02/12/2021
Descripción:
El componente Ignition anterior a la versión 2.0.5 para Laravel maneja mal los globals, _get, _post, _cookie y _env. NOTA: en la serie 1.x, las versiones 1.16.15 y posteriores no están afectadas como consecuencia de la corrección de CVE-2021-43996.
Vulnerabilidad en Freeware Advanced Audio Decoder 2 (FAAD2) (CVE-2019-6956)
Gravedad:
MediaMedia
Publication date: 25/01/2019
Last modified:
17/11/2021
Descripción:
Se ha descubierto un problema en la versión 2.8.8 de Freeware Advanced Audio Decoder 2 (FAAD2). Se trata de una sobrelectura de búfer en ps_mix_phase en libfaad/ps_dec.c.
Vulnerabilidad en CVE-2018-20360 (CVE-2018-20360)
Gravedad:
MediaMedia
Publication date: 22/12/2018
Last modified:
17/11/2021
Descripción:
Se ha descubierto una desreferencia de dirección de memoria inválida en la función sbr_process_channel de libfaad/sbr_dec.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.8.8. Esta vulnerabilidad causa un error de segmentación y el cierre inesperado de la aplicación, lo que da lugar a una denegación de servicio.