Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una página HTML en Sign-In en Google Chrome (CVE-2021-37997)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Un uso de memoria previamente liberada en Sign-In en Google Chrome versiones anteriores a 95.0.4638.69, permitía a un atacante remoto que convenciera a un usuario de iniciar sesión en Chrome explotar potencialmente la corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Garbage Collection en Google Chrome (CVE-2021-37998)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Un uso de memoria previamente liberada en Garbage Collection en Google Chrome versiones anteriores a 95.0.4638.69, permitía a un atacante remoto explotar potencialmente la corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en New Tab Page en Google Chrome (CVE-2021-37999)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Una comprobación insuficiente de datos en New Tab Page en Google Chrome versiones anteriores a 95.0.4638.69, permitía a un atacante remoto inyectar scripts o HTML arbitrarios en una nueva pestaña del navegador por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Intents en Google Chrome en Android (CVE-2021-38000)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
La comprobación insuficiente de entradas no confiables en Intents en Google Chrome en Android versiones anteriores a 95.0.4638.69, permitía a un atacante remoto navegar arbitrariamente a una URL maliciosa por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en V8 en Google Chrome (CVE-2021-38001)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Una confusión de tipos en V8 en Google Chrome versiones anteriores a 95.0.4638.69, permitía a un atacante remoto explotar potencialmente una corrupción de pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Web Transport en Google Chrome (CVE-2021-38002)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Un uso de memoria previamente liberada en Web Transport en Google Chrome versiones anteriores a 95.0.4638.69, permitía a un atacante remoto llevar a cabo un escape de sandbox por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en V8 en Google Chrome (CVE-2021-38003)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Una implementación inapropiada de V8 en Google Chrome versiones anteriores a 95.0.4638.69, permitía a un atacante remoto explotar potencialmente la corrupción de la pila por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en Autofill en Google Chrome (CVE-2021-38004)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Una aplicación insuficiente de políticas en Autofill en Google Chrome versiones anteriores a 95.0.4638.69, permitía a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada
Vulnerabilidad en la configuración de la cuadrícula en el plugin Logo Showcase with Slick Slider de WordPress (CVE-2021-24729)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Logo Showcase with Slick Slider de WordPress versiones anteriores a 1.2.4, no sanea la configuración de la cuadrícula, que podría permitir a usuarios con un rol tan bajo como el de autor llevar a cabo ataques de tipo Cross-Site Scripting almacenados por medio de los metadatos de la cuadrícula de logotipos
Vulnerabilidad en algunas acciones administrativas en el plugin Images to WebP de WordPress (CVE-2021-24641)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Images to WebP de WordPress versiones anteriores a 1.9, no tiene comprobaciones de tipo CSRF cuando lleva a cabo algunas acciones administrativas, que podría resultar en una modificación de la configuración del plugin, a la denegación de servicio, así como a la conversión arbitraria de imágenes
Vulnerabilidad en el parámetro tab en el plugin Images to WebP de WordPress (CVE-2021-24644)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Images to WebP de WordPress versiones anteriores a 1.9, no comprueba ni sanea el parámetro tab antes de pasarlo a la función include(), que podría conllevar a un problema de Inclusión de Archivos Locales
Vulnerabilidad en el plugin MAZ Loader de WordPress (CVE-2021-24668)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin MAZ Loader de WordPress versiones hasta 1.3.4 no aplica comprobaciones de nonce, que permite a atacantes hacer que los administradores eliminen cargadores arbitrarios por medio de un ataque de tipo CSRF
Vulnerabilidad en la etiqueta del campo email en el plugin Forminator de WordPress (CVE-2021-24700)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Forminator de WordPress versiones anteriores a 1.15.4, no sanea y escapa de la etiqueta del campo email, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando el unfiltered_html está deshabilitado
Vulnerabilidad en la acción dpwap_plugin_activate AJAX en el plugin Download Plugin de WordPress (CVE-2021-24703)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Download Plugin de WordPress versiones anteriores a 1.6.1, no tiene comprobaciones de capacidad y de tipo CSRF en la acción dpwap_plugin_activate AJAX, que permite a cualquier usuario autenticado, como los suscriptores, activar plugins que ya están instalados
Vulnerabilidad en el plugin Video Lessons Manager de WordPress y el plugin Video Lessons Manager Pro de WordPress (CVE-2021-24713)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Video Lessons Manager de WordPress versiones anteriores a 1.7.2 y el plugin Video Lessons Manager Pro de WordPress versiones anteriores a 3.5.9, no sanean correctamente y escapan de los valores cuando actualizan sus ajustes, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting
Vulnerabilidad en algunos campos imported link en el plugin BetterLinks de WordPress (CVE-2021-24812)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin BetterLinks de WordPress versiones anteriores a 1.2.6, no sanea ni escapa de algunos campos imported link, que podría conllevar problemas de tipo Cross-Site Scripting almacenado cuando un administrador importa un CSV malicioso
Vulnerabilidad en algunas de las configuraciones en el plugin Advanced Access Manager de WordPress (CVE-2021-24830)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Advanced Access Manager de WordPress versiones anteriores a 6.8.0, no escapa de algunas de sus configuraciones cuando las emite, que permite a usuarios con privilegios elevados llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida
Vulnerabilidad en la página de registro de estudiantes en el plugin Tutor LMS de WordPress (CVE-2021-24873)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin Tutor LMS de WordPress versiones anteriores a 1.9.11, no sanea ni escapa de la entrada del usuario antes de devolverla en atributos en la página de registro de estudiantes, conllevando un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en el parámetro ic-settings-search en el plugin eCommerce Product Catalog para WordPress (CVE-2021-24875)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
El plugin eCommerce Product Catalog para WordPress versiones anteriores a 3.0.39, no escapa del parámetro ic-settings-search antes de devolverlo a la página en un atributo, conllevando a un problema de tipo Cross-Site Scripting Reflejado
Vulnerabilidad en Dell EMC CloudLink (CVE-2021-36312)
Gravedad:
AltaAlta
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Dell EMC CloudLink versiones 7.1 y todas las versiones anteriores, contienen una vulnerabilidad de contraseña Embebida. Un atacante remoto con altos privilegios, con el conocimiento de las credenciales codificadas, puede potencialmente explotar esta vulnerabilidad para obtener acceso no autorizado al sistema
Vulnerabilidad en Dell EMC CloudLink (CVE-2021-36313)
Gravedad:
AltaAlta
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Dell EMC CloudLink versión 7.1 y todas las versiones anteriores, contienen una Vulnerabilidad de inyección de comandos del sistema operativo. Un atacante remoto con altos privilegios puede explotar esta vulnerabilidad, conllevando a una ejecución de comandos arbitrarios del Sistema Operativo en el Sistema Operativo subyacente de la aplicación, con los privilegios de la aplicación vulnerable. Una explotación puede conllevar a una toma del sistema por parte de un atacante. Esta vulnerabilidad se considera crítica ya que puede ser aprovechada para comprometer completamente la aplicación vulnerable así como el sistema operativo subyacente. Dell recomienda a los clientes que actualicen lo antes posible
Vulnerabilidad en IBM MQ (CVE-2021-38875)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
IBM MQ versiones 8.0, 9.0 LTS, 9.1 LTS, 9.2 LTS, 9.1 CD y 9.2 CD, es vulnerable a un ataque de denegación de servicio causado por un error de procesamiento de mensajes. IBM X-Force ID: 208398
Vulnerabilidad en un mensaje de error técnico detallado en el navegador en IBM Tivoli Key Lifecycle Manager (CVE-2021-38980)
Gravedad:
MediaMedia
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
IBM Tivoli Key Lifecycle Manager (IBM Security Guardium Key Lifecycle Manager) versiones 3.0, 3.0.1, 4.0 y 4.1, podría permitir a un atacante remoto obtener información confidencial cuando un mensaje de error técnico detallado es devuelto en el navegador. Esta información podría ser usada en posteriores ataques contra el sistema. IBM X-Force ID: 212786
Vulnerabilidad en los recursos aprovechados por el servicio Setup.exe en Adobe Creative Cloud (CVE-2021-43019)
Gravedad:
AltaAlta
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Adobe Creative Cloud versión 5.5(y las anteriores), están afectadas por una vulnerabilidad de escalada de privilegios en los recursos aprovechados por el servicio Setup.exe. Un atacante no autenticado podría aprovechar esta vulnerabilidad para eliminar archivos y escalar privilegios bajo el contexto de SYSTEM . Un atacante debe obtener primero la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad en el instalador del producto. Es requerida una interacción del usuario antes de la instalación del producto para abusar de esta vulnerabilidad
Vulnerabilidad en un módulo del cliente en iMaster NCE-Fabric (CVE-2021-22410)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Se presenta una vulnerabilidad de inyección de tipo XSS en iMaster NCE-Fabric versión V100R019C10. Un módulo del cliente no verifica suficientemente la entrada. Los atacantes pueden explotar esta vulnerabilidad al modificar la entrada después de iniciar la sesión en el cliente. Esto puede comprometer el servicio normal del cliente
Vulnerabilidad en el archivo de registro en FusionCompute (CVE-2021-37036)
Gravedad:
BajaBaja
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Se presenta una vulnerabilidad de filtrado de información en FusionCompute versiones 6.5.1, eCNS280_TD V100R005C00 y V100R005C10. Debido al almacenamiento inapropiado de información específica en el archivo de registro, el atacante puede obtener la información cuando un usuario inicia sesión en el dispositivo. Una explotación con éxito puede causar un filtrado de información
Vulnerabilidad en CloudEngine 5800 (CVE-2021-39976)
Gravedad:
AltaAlta
Publication date: 23/11/2021
Last modified:
24/11/2021
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en CloudEngine 5800 versión V200R020C00SPC600. Debido a una falta de restricciones de privilegios, un atacante local autenticado puede llevar a cabo una operación específica para explotar esta vulnerabilidad. Una explotación con éxito puede causar que el atacante obtenga un privilegio superior
Vulnerabilidad en una carga útil en el campo table content text en Shimo Document (CVE-2020-22719)
Gravedad:
BajaBaja
Publication date: 22/11/2021
Last modified:
23/11/2021
Descripción:
Shimo Document versión v2.0.1, contiene una vulnerabilidad de tipo cross-site scripting (XSS) que permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada insertada en el campo table content text
Vulnerabilidad en Adobe InCopy (CVE-2021-43016)
Gravedad:
MediaMedia
Publication date: 22/11/2021
Last modified:
25/11/2021
Descripción:
Adobe InCopy versión 16.4 (y anteriores), está afectada por una vulnerabilidad de desreferencia de puntero null cuando se analiza un archivo especialmente diseñado. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una denegación de servicio de la aplicación en el contexto del usuario actual. Es requerida una interacción de usuario para la explotación de este problema, ya que la víctima debe abrir un archivo malicioso

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en determinadas entradas en ImageMagick (CVE-2021-3962)
Gravedad:
MediaMedia
Publication date: 19/11/2021
Last modified:
28/11/2021
Descripción:
Se ha encontrado un fallo en ImageMagick que no sanea correctamente ciertas entradas antes de utilizarlas para invocar procesos de conversión. Este defecto permite a un atacante crear una imagen especialmente diseñada que conduce a una vulnerabilidad de uso después de la liberación cuando es procesada por ImageMagick. La mayor amenaza de esta vulnerabilidad es para la confidencialidad, la integridad, así como la disponibilidad del sistema