Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición POST en la función FUN_80046eb4 en /formSetPortTr en los dispositivos D-Link DIR-809 (CVE-2021-33265)
Gravedad:
AltaAlta
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Se ha detectado que los dispositivos D-Link DIR-809 con versión de firmware hasta DIR-809Ax_FW1.12WB03_20190410, contienen una vulnerabilidad de desbordamiento del búfer de la pila en la función FUN_80046eb4 en /formSetPortTr. Esta vulnerabilidad es desencadenada por medio de una petición POST diseñada
Vulnerabilidad en la caché de los usuarios anónimos en Discourse (CVE-2021-43794)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Discourse es una plataforma de debate de código abierto. En las versiones afectadas, un atacante puede envenenar la caché de los usuarios anónimos (es decir, los que no han iniciado sesión), de forma que se les muestre un blob JSON en lugar de la página HTML. Esto puede conllevar a una denegación de servicio parcial. Este problema está parcheado en las últimas versiones estables, beta y de prueba de Discourse
Vulnerabilidad en NetworkPkg/IScsiDxe (CVE-2021-38575)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
10/12/2021
Descripción:
NetworkPkg/IScsiDxe presenta unos desbordamientos de búfer explotables de forma remota
Vulnerabilidad en CloverDX Server (CVE-2021-42776)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
CloverDX Server versiones anteriores a 5.11.2 y 5.12.x versiones anteriores a 5.12.1, permite un ataque de tipo XXE durante la importación de la configuración
Vulnerabilidad en IBM QRadar SIEM (CVE-2021-29863)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
IBM QRadar SIEM versiones 7.3 y 7.4, es vulnerable a un ataque de tipo server side request forgery (SSRF). Esto puede permitir a un atacante autenticado enviar peticiones no autorizadas desde el sistema, que podría conllevar a una enumeración de la red o facilitar otros ataques. Esta vulnerabilidad es debido a una corrección incompleta de CVE-2020-4786. IBM X-Force ID: 206087
Vulnerabilidad en IBM QRadar SIEM (CVE-2021-29849)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
IBM QRadar SIEM versiones 7.3 y 7.4, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 205281
Vulnerabilidad en IBM QRadar SIEM (CVE-2021-29779)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
IBM QRadar SIEM versiones 7.3 y 7.4, podría permitir a un atacante obtener información confidencial debido a que el servidor lleva a cabo un intercambio de claves sin autenticación de entidades en las comunicaciones entre hosts utilizando técnicas de tipo man in the middle. IBM X-Force ID: 203033
Vulnerabilidad en IBM QRadar SIEM (CVE-2021-20400)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
IBM QRadar SIEM versiones 7.3 y 7.4, usa algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 196074
Vulnerabilidad en el archivo /blob/master/legacy/application/modules/rest/controllers/ShowImageController.php en la función rename en libretime (CVE-2021-43685)
Gravedad:
AltaAlta
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
libretime versión hv3.0.0-alpha.10 está afectado por una vulnerabilidad de manipulación de rutas en el archivo /blob/master/legacy/application/modules/rest/controllers/ShowImageController.php mediante la función rename
Vulnerabilidad en el archivo /plugin/jcapture/applet.php en chamilo-lms (CVE-2021-43687)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
15/12/2021
Descripción:
chamilo-lms versión v1.11.14, está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS) en el archivo /plugin/jcapture/applet.php si un atacante pasa un mensaje hex2bin en la cookie
Vulnerabilidad en la carga de archivos SVG de la foto de perfil de los usuarios en CKAN (CVE-2021-25967)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
En CKAN, versiones 2.9.0 a 2.9.3, están afectadas por una vulnerabilidad de tipo XSS almacenada por medio de la carga de archivos SVG de la foto de perfil de los usuarios. Esto permite a usuarios de aplicaciones con pocos privilegios almacenar scripts maliciosos en su foto de perfil. Estos scripts son ejecutados en el navegador de la víctima cuando ésta abre la imagen de perfil maliciosa
Vulnerabilidad en el archivo src/Client.php en YurunProxy (CVE-2021-43690)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
YurunProxy versión v0.01, está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS) en el archivo src/Client.php. La función exit terminará el script e imprimirá un mensaje que presenta valores del socket_read
Vulnerabilidad en el archivo admin/incFunctions.php en la función makeSafe en attendance management system (CVE-2021-44280)
Gravedad:
AltaAlta
Publication date: 01/12/2021
Last modified:
22/12/2021
Descripción:
attendance management system versión 1.0, está afectado por una vulnerabilidad de inyección SQL en el archivo admin/incFunctions.php mediante la función makeSafe
Vulnerabilidad en kimai2 (CVE-2021-3983)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
kimai2 es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting"
Vulnerabilidad en una biblioteca de motor OpenSSL en la ruta de búsqueda en FortiClientWindows, FortiClientEMS (CVE-2021-32592)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de ruta de búsqueda no segura en FortiClientWindows versiones 7.0.0, 6.4.6 y anteriores, 6.2.x, 6.0.x y FortiClientEMS 7.0.0, 6.4.6 y anteriores, 6.2.x, 6.0.x puede permitir a un atacante llevar a cabo un ataque de secuestro de DLL en los dispositivos afectados por medio de una biblioteca de motor OpenSSL maliciosa en la ruta de búsqueda
Vulnerabilidad en elgg (CVE-2021-3964)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
elgg es vulnerable a una Omisión de Autorización Mediante una Clave Controlada por el Usuario
Vulnerabilidad en kimai2 (CVE-2021-3985)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
kimai2 es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Vulnerabilidad en showdoc (CVE-2021-3989)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
showdoc es vulnerable a una Redirección de la URL a un Sitio no Confiable
Vulnerabilidad en showdoc (CVE-2021-3990)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
showdoc es vulnerable al Uso de un Generador de Números Pseudoaleatorios (PRNG) Criptográficamente Débil
Vulnerabilidad en kimai2 (CVE-2021-3992)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
kimai2 es vulnerable a un Control de Acceso Inapropiado
Vulnerabilidad en showdoc (CVE-2021-4017)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
showdoc es vulnerable a un ataque de tipo Cross-Site Request Forgery (CSRF)
Vulnerabilidad en firefly-iii (CVE-2021-4015)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
firefly-iii es vulnerable a la falsificación de peticiones en sitios cruzados (CSRF)
Vulnerabilidad en django-helpdesk (CVE-2021-3994)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
django-helpdesk es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Vulnerabilidad en showdoc (CVE-2021-3993)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
showdoc es vulnerable a un ataque de tipo Cross-Site Request Forgery (CSRF)
Vulnerabilidad en snipe-it (CVE-2021-4018)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
snipe-it es vulnerable a una Neutralización Inapropiada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Vulnerabilidad en los protocolos de enlace HTTPS en CODESYS Git (CVE-2021-34599)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Las versiones afectadas de CODESYS Git en Versiones anteriores a V1.1.0.0, carecen de la comprobación de certificados en los protocolos de enlace HTTPS. CODESYS Git no implementa la comprobación de certificados por defecto, por lo que no comprueba que el servidor proporcione un certificado HTTPS válido y confiable. Dado que el certificado del servidor con el que es realizada la conexión no es verificado apropiadamente, la conexión del servidor es vulnerable a un ataque de tipo man-in-the-middle
Vulnerabilidad en vectores no especificados en los routers LAN de ELECOM (CVE-2021-20855)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting en los routers LAN de ELECOM (firmware WRH-733GBK versiones v1.02.9 y anteriores y firmware WRH-733GWH versiones v1.02.9 y anteriores) permite a un atacante remoto autenticado inyectar un script arbitrario por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en los routers ELECOM (CVE-2021-20864)
Gravedad:
AltaAlta
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en los routers ELECOM (firmware WRC-1167GST2 versiones v1.25 y anteriores, firmware WRC-1167GST2A versiones v1.25 y anteriores, firmware WRC-1167GST2H versiones v1.25 y anteriores, firmware WRC-2533GS2-B versiones v1. 52 y anteriores, firmware WRC-2533GS2-W versiones v1.52 y anteriores, firmware WRC-1750GS versiones v1.03 y anteriores, firmware WRC-1750GSV versiones v2.11 y anteriores, firmware WRC-1900GST versiones v1.03 y anteriores, firmware WRC-2533GST versiones v1.03 y anteriores, firmware WRC-2533GSTA versiones v1.03 y anteriores, firmware WRC-2533GST2 versiones v1.25 y anteriores, firmware WRC-2533GST2SP versiones v1.25 y anteriores, firmware WRC-2533GST2-G versiones v1.25 y anteriores, y firmware EDWRC-2533GST2 versiones v1. 25 y anteriores) permite a un atacante no autentificado adyacente a la red omitir la restricción de acceso, e iniciar el servicio telnet y ejecutar un comando arbitrario del SO por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en los routers ELECOM (CVE-2021-20863)
Gravedad:
AltaAlta
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de inyección de comandos del SO en los routers ELECOM (firmware WRC-1167GST2 versiones v1.25 y anteriores, firmware WRC-1167GST2A versiones v1.25 y anteriores, firmware WRC-1167GST2H v1. 25 y anteriores, WRC-2533GS2-B firmware v1.52 y anteriores, firmware WRC-2533GS2-W versiones v1.52 y anteriores, firmware WRC-1750GS versiones v1.03 y anteriores, firmware WRC-1750GSV versiones v2.11 y anteriores, firmware WRC-1900GST versiones v1. 03 y anteriores, firmware WRC-2533GST v1.03 y anteriores, firmware WRC-2533GSTA v1.03 y anteriores, firmware WRC-2533GST2 v1.25 y anteriores, firmware WRC-2533GST2SP v1.25 y anteriores, firmware WRC-2533GST2-G v1. 25 y anteriores, y firmware EDWRC-2533GST2 versiones v1.25 y anteriores) permite a un atacante autenticado adyacente a la red ejecutar un comando arbitrario del sistema operativo con el privilegio de root por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en los routers ELECOM (CVE-2021-20862)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en los routers ELECOM (firmware WRC-1167GST2 versiones v1.25 y anteriores, firmware WRC-1167GST2A versiones v1.25 y anteriores, firmware WRC-1167GST2H versiones v1.25 y anteriores, firmware WRC-2533GS2-B versiones v1. 52 y anteriores, firmware WRC-2533GS2-W versiones v1.52 y anteriores, firmware WRC-1750GS versiones v1.03 y anteriores, firmware WRC-1750GSV versiones v2.11 y anteriores, firmware WRC-1900GST versiones v1.03 y anteriores, firmware WRC-2533GST versiones v1.03 y anteriores, firmware WRC-2533GSTA v1.03 y anteriores, firmware WRC-2533GST2 v1.25 y anteriores, firmware WRC-2533GST2SP v1.25 y anteriores, firmware WRC-2533GST2-G v1.25 y anteriores, y firmware EDWRC-2533GST2 v1. 25 y anteriores) permite a un atacante no autenticado adyacente a la red omitir la restricción de acceso y obtener tokens anti-CSRF y cambiar la configuración del producto por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en los routers LAN de ELECOM (CVE-2021-20861)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de control de acceso inapropiado en los routers LAN de ELECOM (firmware WRC-1167GST2 versiones v1.25 y anteriores, firmware WRC-1167GST2A versiones v1.25 y anteriores, firmware WRC-1167GST2H versiones v1.25 y anteriores, firmware WRC-2533GS2-B versiones v1. 52 y anteriores, firmware WRC-2533GS2-W versiones v1.52 y anteriores, firmware WRC-1750GS versiones v1.03 y anteriores, firmware WRC-1750GSV versiones v2.11 y anteriores, firmware WRC-1900GST versiones v1.03 y anteriores, firmware WRC-2533GST versiones v1.03 y anteriores, firmware WRC-2533GSTA versiones v1.03 y anteriores, firmware WRC-2533GST2 versiones v1.25 y anteriores, firmware WRC-2533GST2SP versiones v1.25 y anteriores, firmware WRC-2533GST2-G versiones v1.25 y anteriores, y firmware EDWRC-2533GST2 versiones v1.25 y anteriores) permite a un atacante autenticado adyacente a la red omitir la restricción de acceso y acceder a la pantalla de administración del producto por medio de vectores no especificados
Vulnerabilidad en los routers LAN de ELECOM (CVE-2021-20860)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en los routers LAN de ELECOM (firmware WRC-1167GST2 versiones v1.25 y anteriores, firmware WRC-1167GST2A versiones v1.25 y anteriores, firmware WRC-1167GST2H versiones v1. 25 y anteriores, firmware WRC-2533GS2-B versiones v1.52 y anteriores, firmware WRC-2533GS2-W versiones v1.52 y anteriores, firmware WRC-1750GS versiones v1.03 y anteriores, firmware WRC-1750GSV versiones v2.11 y anteriores, firmware WRC-1900GST versiones v1. 03 y anteriores, firmware WRC-2533GST versiones v1.03 y anteriores, firmware WRC-2533GSTA versiones v1.03 y anteriores, firmware WRC-2533GST2 versiones v1.25 y anteriores, firmware WRC-2533GST2SP versiones v1.25 y anteriores, firmware WRC-2533GST2-G versiones v1.25 y anteriores, y firmware EDWRC-2533GST2 versiones v1.25 y anteriores) permite a un atacante remoto autenticado secuestrar la autenticación de un administrador por medio de una página especialmente diseñada
Vulnerabilidad en vectores no especificados en el router ELECOM LAN (CVE-2021-20857)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting en el router ELECOM LAN firmware WRC-2533GHBK-I versiones v1.20 y anteriores, permite a un atacante remoto autenticado inyectar un script arbitrario por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en los routers LAN de ELECOM (CVE-2021-20856)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de tipo cross-site scripting en los routers LAN de ELECOM (firmware WRH-733GBK versiones v1.02.9 y anteriores y firmware WRH-733GWH versiones v1.02.9 y anteriores) permite a un atacante remoto autenticado inyectar un script arbitrario por vectores no especificados
Vulnerabilidad en vectores no especificados en los routers LAN de ELECOM (CVE-2021-20854)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Los routers LAN de ELECOM (firmware WRH-733GBK versiones v1.02.9 y anteriores y firmware WRH-733GWH versiones v1.02.9 y anteriores) permiten a un atacante adyacente a la red con privilegios de administrador ejecutar comandos arbitrarios del sistema operativo por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en los routers LAN de ELECOM (CVE-2021-20853)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Los routers LAN de ELECOM (firmware WRH-733GBK versiones v1.02.9 y anteriores y firmware WRH-733GWH versiones v1.02.9 y anteriores) permiten a un atacante adyacente a la red con privilegios de administrador ejecutar comandos arbitrarios del sistema operativo por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en los routers LAN de ELECOM (CVE-2021-20852)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de desbordamiento del búfer en los routers LAN de ELECOM (firmware WRH-733GBK versiones v1.02.9 y anteriores y firmware WRH-733GWH versiones v1.02.9 y anteriores) permite a un atacante adyacente a la red con privilegios de administrador ejecutar un comando arbitrario del sistema operativo por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en Browser and Operating System Finder (CVE-2021-20851)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de tipo Cross-site request forgery (CSRF) en Browser and Operating System Finder versiones anteriores a 1.2, permite a un atacante remoto no autenticado secuestrar la autenticación de un administrador por medio de vectores no especificados
Vulnerabilidad en la WebUI del dispositivo en Wi-Fi STATION SH-52A (CVE-2021-20847)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Una vulnerabilidad de tipo Cross-site scripting en Wi-Fi STATION SH-52A versiones (38JP_1_11G, 38JP_1_11J, 38JP_1_11K, 38JP_1_11L, 38JP_1_26F, 38JP_1_26G, 38JP_1_26J, 38JP_2_03B y 38JP_2_03C), permite a un atacante remoto no autenticado inyectar un script arbitrario por medio de la WebUI del dispositivo
Vulnerabilidad en vectores no especificados en el router ELECOM LAN (CVE-2021-20858)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
01/12/2021
Descripción:
Una vulnerabilidad de cross-site scripting en el router ELECOM LAN firmware WRC-2533GHBK-I versiones v1.20 y anteriores, permite a un atacante remoto autenticado inyectar un script arbitrario por medio de vectores no especificados
Vulnerabilidad en vectores no especificado en los routers LAN de ELECOM (CVE-2021-20859)
Gravedad:
AltaAlta
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
Los routers LAN de ELECOM (firmware WRC-1167GST2 versiones v1.25 y anteriores, firmware WRC-1167GST2A versiones v1.25 y anteriores, firmware WRC-1167GST2H versiones v1.25 y anteriores, firmware WRC-2533GS2-B versiones v1. 52 y anteriores, firmware WRC-2533GS2-W versiones v1.52 y anteriores, firmware WRC-1750GS versiones v1.03 y anteriores, firmware WRC-1750GSV versiones v2.11 y anteriores, firmware WRC-1900GST versiones v1.03 y anteriores, firmware WRC-2533GST versiones v1.03 y anteriores, firmware WRC-2533GSTA versiones v1.03 y anteriores, firmware WRC-2533GST2 versiones v1.25 y anteriores, firmware WRC-2533GST2SP versiones v1.25 y anteriores, firmware WRC-2533GST2-G versiones v1.25 y anteriores, y firmware EDWRC-2533GST2 versiones v1.25 y anteriores) permite a un atacante autenticado adyacente a la red ejecutar un comando arbitrario del sistema operativo por medio de vectores no especificados
Vulnerabilidad en la función e-mail delivery task schedule’s serialization de Sunnet eHRD (CVE-2021-43360)
Gravedad:
AltaAlta
Publication date: 30/11/2021
Last modified:
02/12/2021
Descripción:
La función e-mail delivery task schedule’s serialization de Sunnet eHRD presenta una comprobación y restricción de objetos de entrada inapropiadas, que permite a un atacante remoto no autenticado con privilegios de acceso a la base de datos, ejecutar código arbitrario y controlar el sistema o interrumpir servicios
Vulnerabilidad en caracteres especiales en las URL en Sunnet eHRD (CVE-2021-43358)
Gravedad:
AltaAlta
Publication date: 30/11/2021
Last modified:
01/12/2021
Descripción:
Sunnet eHRD presenta un filtrado inapropiado de caracteres especiales en las URL, que permite a un atacante remoto llevar a cabo ataques de salto de ruta sin autenticación, acceder a rutas restringidas y descargar archivos del sistema
Vulnerabilidad en Sunnet eHRD (CVE-2021-43359)
Gravedad:
AltaAlta
Publication date: 30/11/2021
Last modified:
02/12/2021
Descripción:
Sunnet eHRD presenta una vulnerabilidad de control de acceso rota, que permite a un atacante remoto acceder a la página de administración de cuentas después de ser autenticado como usuario general, y luego llevar a cabo una escalada de privilegios para ejecutar código arbitrario y controlar el sistema o interrumpir los servicios
Vulnerabilidad en Jamf Pro (CVE-2021-40809)
Gravedad:
MediaMedia
Publication date: 30/11/2021
Last modified:
01/12/2021
Descripción:
Se ha detectado un problema en Jamf Pro versiones anteriores a 10.32.0, también se conoce como PI-009921. Una cuenta puede recibir privilegios incorrectos en respuesta a la autenticación que usa flujos de trabajo de inicio de sesión específicos

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo Application/Home/Controller/GoodsController.class.php en la función exit en manage (CVE-2021-43689)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
02/12/2021
Descripción:
manage (última actualización 24 de octubre de 2017) está afectado por una vulnerabilidad de Cross Site Scripting (XSS) en Application/Home/Controller/GoodsController.class.php. La función exit terminará el script e imprimirá un mensaje que tiene valores de $_POST
Vulnerabilidad en el archivo system/helpers/dompdf/load_font.php en tripexpress (CVE-2021-43691)
Gravedad:
AltaAlta
Publication date: 29/11/2021
Last modified:
01/12/2021
Descripción:
tripexpress versión v1.1 está afectado por una vulnerabilidad de manipulación de rutas en el archivo system/helpers/dompdf/load_font.php. La variable src viene de $_SERVER["argv"] entonces hay una vulnerabilidad de manipulación de ruta
Vulnerabilidad en el archivo ytproxy/index.php en youtube-php-mirroring (CVE-2021-43692)
Gravedad:
MediaMedia
Publication date: 29/11/2021
Last modified:
09/12/2021
Descripción:
youtube-php-mirroring (última actualización 9 de junio de 2017) está afectado por una vulnerabilidad de Cross Site Scripting (XSS) en el archivo ytproxy/index.php
Vulnerabilidad en el archivo page.backup_restore.php en issabelPBX (CVE-2021-43695)
Gravedad:
MediaMedia
Publication date: 29/11/2021
Last modified:
01/12/2021
Descripción:
La versión 2.11 de issabelPBX está afectada por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo page.backup_restore.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_REQUEST sin sanear, por lo que existe una vulnerabilidad XSS
Vulnerabilidad en el archivo list.php en twmap (CVE-2021-43696)
Gravedad:
MediaMedia
Publication date: 29/11/2021
Last modified:
09/12/2021
Descripción:
twmap versión v2.91_v4.33 está afectado por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo list.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_REQUEST entonces hay una vulnerabilidad XSS.
Vulnerabilidad en Controller.class.php en Workerman-ThinkPHP-Redis (CVE-2021-43697)
Gravedad:
MediaMedia
Publication date: 29/11/2021
Last modified:
09/12/2021
Descripción:
Workerman-ThinkPHP-Redis (última actualización 16 de marzo de 2018) está afectado por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo Controller.class.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_GET{C('VAR_JSONP_HANDLER')] entonces hay una vulnerabilidad XSS
Vulnerabilidad en el archivo example.php en phpWhois (CVE-2021-43698)
Gravedad:
MediaMedia
Publication date: 29/11/2021
Last modified:
01/12/2021
Descripción:
phpWhois (última actualización 30 de junio de 2021) está afectado por una vulnerabilidad de Cross Site Scripting (XSS). En el archivo example.php, la función exit terminará el script e imprimirá el mensaje al usuario. El mensaje contendrá $_GET['query'] entonces hay una vulnerabilidad XSS