Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el paquete pekeupload (CVE-2021-23673)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Esto afecta a todas las versiones del paquete pekeupload. Si un atacante induce a un usuario a subir un archivo cuyo nombre contiene código javascript, el código javascript será ejecutado
Vulnerabilidad en un archivo M4A en Adobe Prelude (CVE-2021-40770)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido a un manejo no seguro de un archivo M4A malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción de usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad
Vulnerabilidad en un archivo WAV en Adobe Prelude (CVE-2021-40771)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido a un manejo no seguro de un archivo WAV malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción de usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad
Vulnerabilidad en un archivo M4A en Adobe Prelude (CVE-2021-40772)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido a un manejo no seguro de un archivo M4A malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción de usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad
Vulnerabilidad en Adobe Prelude (CVE-2021-40773)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de desreferencia de puntero null cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para conseguir una denegación de servicio de la aplicación en el contexto del usuario actual. Es requerida una interacción de usuario para la explotación de este problema, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en Adobe Prelude (CVE-2021-40774)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de desreferencia de puntero null cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una denegación de servicio de la aplicación en el contexto del usuario actual. Es requerida una interacción de usuario para la explotación de este problema, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en un archivo SVG en Adobe Prelude (CVE-2021-40775)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido a un manejo no seguro de un archivo SVG malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción de usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad
Vulnerabilidad en el directorio XDCAMSAM en Adobe Prelude (CVE-2021-42733)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de comprobación de entrada inapropiada en el directorio XDCAMSAM. Un atacante no autenticado podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual. Es requerida una interacción de usuario para la explotación de este problema, ya que la víctima debe abrir un archivo malicioso
Vulnerabilidad en un archivo WAV en Adobe Prelude (CVE-2021-42737)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Prelude versión 10.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido a un manejo no seguro de un archivo WAV malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción de usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-1125)
Gravedad:
MediaMedia
Publication date: 20/11/2021
Last modified:
26/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios corromper los datos del programa
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-1088)
Gravedad:
BajaBaja
Publication date: 20/11/2021
Last modified:
24/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios usar mecanismos de depuración con un control de acceso insuficiente, que puede conllevar a una divulgación de información
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-1105)
Gravedad:
BajaBaja
Publication date: 20/11/2021
Last modified:
24/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios acceder a los registros de depuración durante el tiempo de ejecución, que puede conllevar a una divulgación de información
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-23201)
Gravedad:
AltaAlta
Publication date: 20/11/2021
Last modified:
24/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios generar microcódigo válido. Esto podría conllevar a una divulgación de información, la corrupción de datos o la denegación de servicio del dispositivo
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-23217)
Gravedad:
AltaAlta
Publication date: 20/11/2021
Last modified:
24/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios instanciar una escritura DMA específicamente programada para corromper una ejecución de código, que puede afectar a la confidencialidad, la integridad o la disponibilidad
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-23219)
Gravedad:
BajaBaja
Publication date: 20/11/2021
Last modified:
24/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios acceder a información protegida, que puede conllevar a una divulgación de información
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-34399)
Gravedad:
BajaBaja
Publication date: 20/11/2021
Last modified:
24/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios acceder a información de registros no depurados, que puede conllevar a una divulgación de información
Vulnerabilidad en el microcontrolador interno en la GPU NVIDIA y el hardware Tegra (CVE-2021-34400)
Gravedad:
BajaBaja
Publication date: 20/11/2021
Last modified:
24/11/2021
Descripción:
La GPU NVIDIA y el hardware Tegra contienen una vulnerabilidad en el microcontrolador interno que puede permitir a un usuario con altos privilegios acceder a información de la memoria no depurada, que puede conllevar a una divulgación de información
Vulnerabilidad en un archivo drill en la funcionalidad drill format T-code tool number de Gerbv y la versión forked de Gerbv (CVE-2021-40391)
Gravedad:
AltaAlta
Publication date: 19/11/2021
Last modified:
24/11/2021
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites en la funcionalidad drill format T-code tool number de Gerbv versión 2.7.0, dev (commit b5f1eacd), y la versión forked de Gerbv (commit 71493260). Un archivo de perforación especialmente diseñado puede conllevar a una ejecución de código. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad
Vulnerabilidad en BeyondTrust Privilege Management (CVE-2021-42254)
Gravedad:
AltaAlta
Publication date: 19/11/2021
Last modified:
24/11/2021
Descripción:
BeyondTrust Privilege Management versiones anteriores a 21.6, crea un Archivo Temporal en un directorio con permisos no seguros
Vulnerabilidad en Greenplum database (CVE-2021-22028)
Gravedad:
MediaMedia
Publication date: 19/11/2021
Last modified:
24/11/2021
Descripción:
En las versiones de Greenplum database anteriores a 5.28.6 y 6.14.0, la base de datos Greenplum contiene una vulnerabilidad de salto de ruta de archivos que conlleva a una divulgación de información del sistema de archivos. Un usuario malicioso puede leer/escribir información del sistema de archivos usando esta vulnerabilidad
Vulnerabilidad en los registros de la base de datos en Greenplum database (CVE-2021-22030)
Gravedad:
MediaMedia
Publication date: 19/11/2021
Last modified:
24/11/2021
Descripción:
En las versiones de Greenplum database anteriores a 5.28.14 y 6.17.0, una ejecución de determinadas sentencias conllevaba a un almacenamiento de información confidencial (credenciales) en los registros de la base de datos. Un usuario malicioso con acceso a los registros puede leer información confidencial(credenciales) sobre los usuarios
Vulnerabilidad en el plugin "WPO365 | LOGIN" de WordPress (CVE-2021-43409)
Gravedad:
MediaMedia
Publication date: 19/11/2021
Last modified:
24/11/2021
Descripción:
El plugin de WordPress "WPO365 | LOGIN" (hasta la versión 15.3 inclusive) de wpo365.com es vulnerable a una vulnerabilidad persistente de Cross-Site Scripting (XSS) (también conocida como XSS almacenada o de segundo orden). Las vulnerabilidades XSS persistentes se producen cuando la aplicación almacena y recupera los datos suministrados por el cliente sin gestionar adecuadamente el contenido peligroso. Este tipo de vulnerabilidad XSS se explota enviando contenido de script malicioso a la aplicación que luego es recuperado y ejecutado por otros usuarios de la aplicación. El atacante podría aprovechar esto para realizar una serie de ataques contra los usuarios de la aplicación afectada, como el secuestro de la sesión, la toma de la cuenta y el acceso a datos sensibles. En este caso, la carga útil XSS puede ser enviada por cualquier usuario anónimo, la carga útil entonces se renderiza y ejecuta cuando un administrador de WordPress se autentifica y accede al Dashboard de WordPress. La carga útil inyectada puede llevar a cabo acciones en nombre del administrador, incluyendo la adición de otros usuarios administrativos y el cambio de la configuración de la aplicación. Este fallo podría ser explotado para proporcionar en última instancia el control total del sistema afectado al atacante
Vulnerabilidad en la función ajax_add_form en el archivo ~/includes/class-form.php en el plugin Easy Registration Forms de WordPress (CVE-2021-39353)
Gravedad:
MediaMedia
Publication date: 19/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Easy Registration Forms de WordPress es vulnerable a un ataque de tipo Cross-Site Request Forgery debido a que falta la comprobación de nonce por medio de la función ajax_add_form que se encuentra en el archivo ~/includes/class-form.php, que permite a atacantes inyectar scripts web arbitrarios en versiones hasta la 2.1.1 incluyéndola
Vulnerabilidad en el plugin Duplicate Post de WordPress (CVE-2021-43408)
Gravedad:
AltaAlta
Publication date: 19/11/2021
Last modified:
24/11/2021
Descripción:
El plugin de WordPress "Duplicate Post" hasta la versión 1.1.9 inclusive es vulnerable a la inyección SQL. Las vulnerabilidades de inyección SQL se producen cuando los datos suministrados por el cliente se incluyen en una consulta SQL de forma insegura. La inyección SQL puede ser explotada típicamente para leer, modificar y borrar datos de tablas SQL. En muchos casos también es posible explotar las características del servidor SQL para ejecutar comandos del sistema y/o acceder al sistema de archivos local. Esta vulnerabilidad en particular puede ser explotada por cualquier usuario autenticado al que se le haya concedido acceso para utilizar el plugin Duplicate Post. Por defecto, esto está limitado a los Administradores, sin embargo el plugin presenta la opción de permitir el acceso a los roles de Editor, Autor, Colaborador y Suscriptor

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: