Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Adobe InDesign (CVE-2021-42731)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe InDesign versiones 16.4 (y anteriores), están afectadas por una vulnerabilidad de desbordamiento del búfer cuando es analizado un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para la explotación de este problema, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Experience Manager (CVE-2021-42725)
Gravedad:
MediaMedia
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe Experience Manager versión 6.5.9.0 (y anteriores), está afectada por una vulnerabilidad de control de acceso inapropiada que conlleva a una omisión de la funcionalidad security. Al manipular los encabezados de referencia, un atacante no autenticado podría conseguir acceso a páginas arbitrarias a las que no está autorizado a acceder
Vulnerabilidad en Adobe Prelude (CVE-2021-43011)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe Prelude versiones 10.1 (y anteriores), están afectadas por una vulnerabilidad de corrupción de memoria. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para la explotación de este problema, ya que la víctima debe abrir un archivo M4A malicioso
Vulnerabilidad en Adobe Prelude (CVE-2021-43012)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe Prelude versiones 10.1 (y anteriores), están afectadas por una vulnerabilidad de corrupción de memoria. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para la explotación de este problema, ya que la víctima debe abrir un archivo M4A malicioso
Vulnerabilidad en Adobe Premiere Pro (CVE-2021-42723)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe Premiere Pro versiones 15.4 (y anteriores), están afectadas por una vulnerabilidad de corrupción de memoria. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para la explotación de este problema, ya que la víctima debe abrir un archivo M4A malicioso
Vulnerabilidad en Adobe Media Encoder (CVE-2021-42721)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe Media Encoder versión 15.4 (y anteriores), están afectadas por una vulnerabilidad de corrupción de memoria. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para la explotación de este problema, ya que la víctima debe abrir un archivo M4A malicioso
Vulnerabilidad en Adobe Media Encoder (CVE-2021-43013)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe Media Encoder versión 15.4.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para la explotación de este problema, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Media Encoder (CVE-2021-42726)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Adobe Media Encoder versión 15.4 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para la explotación de este problema, ya que la víctima debe abrir un archivo M4A malicioso
Vulnerabilidad en los registros de auditoría del sistema de archivos en IBM Spectrum Scale (CVE-2021-38882)
Gravedad:
BajaBaja
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
IBM Spectrum Scale versiones 5.1.0 a 5.1.1.1, podría permitir a un administrador con privilegios destruir los registros de auditoría del sistema de archivos antes del tiempo de caducidad. IBM X-Force ID: 209164
Vulnerabilidad en IBM MQ (CVE-2021-38949)
Gravedad:
BajaBaja
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
IBM MQ versiones 7.5, 8.0, 9.0 LTS, 9.1 CD y 9.1 LTS, almacena las credenciales de usuario en texto sin cifrar que puede ser leído por un usuario local. IBM X-Force ID: 211403
Vulnerabilidad en MedData HBYS software (CVE-2021-43361)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Debido a un saneo inapropiado, MedData HBYS software sufre una vulnerabilidad de inyección SQL remota. Un atacante no autenticado con acceso a la web puede extraer información crítica del sistema
Vulnerabilidad en MedData HBYS software (CVE-2021-43362)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Debido a un saneo inapropiado, MedData HBYS software sufre una vulnerabilidad de inyección SQL remota. Un atacante no autenticado con acceso a la web es capaz de extraer información crítica del sistema
Vulnerabilidad en iPack SCADA Automation software (CVE-2021-3958)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Debido a un saneo inapropiado, iPack SCADA Automation software sufre una vulnerabilidad de inyección SQL remota. Un atacante no autenticado con acceso a la web es capaz de extraer información crítica del sistema
Vulnerabilidad en la sección "post reply" en Factor (App Framework & Headless CMS) forum plugin (CVE-2021-25984)
Gravedad:
MediaMedia
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
En Factor (App Framework & Headless CMS) forum plugin, versiones v1.3.3 a v1.8.30, son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) almacenado en la sección "post reply". Un atacante no autenticado puede ejecutar código JavaScript malicioso y robar las cookies de sesión
Vulnerabilidad en los parámetros "tags" y "category" de la URL en Factor (App Framework & Headless CMS) forum plugin (CVE-2021-25983)
Gravedad:
MediaMedia
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
En Factor (App Framework & Headless CMS) forum plugin, versiones v1.3.8 a v1.8.30, son vulnerables a un ataque de tipo Cross-Site Scripting (XSS) reflejado en los parámetros "tags" y "category" de la URL. Un atacante no autenticado puede ejecutar código JavaScript malicioso y robar las cookies de sesión
Vulnerabilidad en el parámetro "search" de la URL en Factor (App Framework & Headless CMS) forum plugin (CVE-2021-25982)
Gravedad:
MediaMedia
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
En Factor (App Framework & Headless CMS) forum plugin, versiones 1.3.5 a 1.8.30, es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) reflejado en el parámetro "search" de la URL. Un atacante no autenticado puede ejecutar código JavaScript malicioso y robar las cookies de sesión
Vulnerabilidad en Calibre-web (CVE-2021-25965)
Gravedad:
MediaMedia
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
En Calibre-web, versiones 0.6.0 a 0.6.13, son vulnerables a un ataque de tipo Cross-Site Request Forgery (CSRF). Al atraer a un usuario autenticado para que haga clic en un enlace, un atacante puede crear un nuevo rol de usuario con privilegios de administrador y credenciales controladas por el atacante, permitiéndole tomar el control de la aplicación
Vulnerabilidad en la contraseña de un usuario en ArangoDB (CVE-2021-25940)
Gravedad:
MediaMedia
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
En ArangoDB, versiones v3.7.6 a v3.8.3, son vulnerables a una Expiración de Sesión Insuficiente. Cuando la contraseña de un usuario es cambiada por el administrador, la sesión no es invalidada, permitiendo a un usuario malicioso seguir conectado y llevar a cabo acciones arbitrarias dentro del sistema
Vulnerabilidad en JWT en ShenyuAdminBootstrap en Apache ShenYu Admin (CVE-2021-37580)
Gravedad:
AltaAlta
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
Se ha encontrado un fallo en Apache ShenYu Admin. El uso incorrecto de JWT en ShenyuAdminBootstrap permite a un atacante omitir la autenticación. Este problema afecta a Apache ShenYu versiones 2.3.0 y 2.4.0
Vulnerabilidad en PiranhaCMS (CVE-2021-25976)
Gravedad:
MediaMedia
Publication date: 16/11/2021
Last modified:
17/11/2021
Descripción:
En PiranhaCMS, versiones 4.0.0-alpha1 a 9.2.0, son vulnerables a un ataque de tipo cross-site request forgery (CSRF) cuando son llevados a cabo varias acciones soportadas por el sistema de administración, como eliminar un usuario, eliminar un rol, editar un post, eliminar una carpeta multimedia, etc., cuando es conocido un ID
Vulnerabilidad en la función salary query de AIFU cashier management (CVE-2021-42337)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
El control de permisos de la función salary query de AIFU cashier management puede ser omitido, por lo que después de obtener el permiso general del usuario, el atacante remoto puede acceder a la información de la cuenta, excepto las contraseñas, al diseñar los parámetros de la URL
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12905)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Una lectura fuera de límites en AMD Graphics Driver para Windows 10 en el escape 0x3004403 puede conllevar a una divulgación de información arbitraria
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12903)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Una lectura y escritura fuera de límites en AMD Graphics Driver para Windows 10 en Escape 0x6002d03 puede conllevar a una escalada de privilegios o una denegación de servicio
Vulnerabilidad en AMD Display driver (CVE-2020-12920)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Se presenta un problema potencial de denegación de servicio en AMD Display driver Escape 0x130007 Call handler. Un atacante con bajo privilegio podría inducir potencialmente un BugCheck de Windows
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12904)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Una lectura fuera de límites en AMD Graphics Driver for Windows 10 en Escape 0x3004203 puede conllevar a una divulgación de información arbitraria
Vulnerabilidad en AMD Graphics Driver para Windows 10 (CVE-2020-12902)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Una escalada de privilegios por Disminución Arbitraria en AMD Graphics Driver para Windows 10 puede conllevar a una escalada de privilegios o una denegación de servicio
Vulnerabilidad en AMD Radeon Graphics Driver para Windows 10 (CVE-2020-12900)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
Una vulnerabilidad de escritura arbitraria en AMD Radeon Graphics Driver para Windows 10 permite potencialmente a usuarios no privilegiados conseguir una escalada de privilegios y causar una denegación de servicio
Vulnerabilidad en el archivo alquist/IO/input.py en la rama AlquistManager (CVE-2021-43495)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
La rama AlquistManager a partir del commit 280d99f43b11378212652e75f6f3159cde9c1d36, está afectada por una vulnerabilidad de salto de directorio en el archivo alquist/IO/input.py. Este ataque puede causar la revelación de secretos críticos almacenados en cualquier parte del sistema y puede ayudar significativamente a conseguir el acceso remoto al código
Vulnerabilidad en la BIOS en ASUS P453UJ (CVE-2021-41289)
Gravedad:
BajaBaja
Publication date: 15/11/2021
Last modified:
17/11/2021
Descripción:
ASUS P453UJ contiene una vulnerabilidad de restricción inapropiada de operaciones dentro de los límites de un búfer de memoria. Con el permiso de un usuario general, atacantes locales pueden modificar la BIOS sustituyendo o rellenando el contenido del Memory DataBuffer designado, lo que causa un fallo en la verificación de la integridad y, además, resulta en un fallo en el arranque
Vulnerabilidad en la seguridad de las extensiones de los nombres de archivos en el crate fruity para Rust (CVE-2021-43620)
Gravedad:
MediaMedia
Publication date: 15/11/2021
Last modified:
18/11/2021
Descripción:
Se ha detectado un problema en el crate fruity versiones hasta 0.2.0, para Rust. Una comprobación relevante para la seguridad de las extensiones de los nombres de archivos está plausiblemente afectada. Los métodos de NSString para la conversión a una cadena pueden devolver un resultado parcial. Debido a que llaman a CStr::from_ptr en un puntero al buffer de la cadena, la cadena se termina en el primer byte "\0", que podría no ser el final de la cadena

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la aplicación RCDevs OpenOTP para iOS (CVE-2021-42111)
Gravedad:
BajaBaja
Publication date: 10/11/2021
Last modified:
16/11/2021
Descripción:
Se ha detectado un problema en la aplicación RCDevs OpenOTP 1.4.13 y 1.4.14 para iOS. Si se instala en un dispositivo con jailbreak, es posible recuperar el código PIN utilizado para acceder a la aplicación. La versión 1.4.1631262629 de la app para IOS resuelve este problema almacenando un código PIN hash