Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un cliente MQTT v5 en Eclipse Mosquitto (CVE-2021-41039)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
03/12/2021
Descripción:
En las versiones 1.6 a 2.0.11 de Eclipse Mosquitto, un cliente MQTT v5 que se conecte con un gran número de propiedades de usuario podría causar un uso excesivo de la CPU, conllevando a una pérdida de rendimiento y una posible denegación de servicio
Vulnerabilidad en el parámetro Email POST en el archivo /forgetpassword.php en PHPGURUKUL Employee Record Management System (CVE-2021-43451)
Gravedad:
AltaAlta
Publication date: 01/12/2021
Last modified:
22/12/2021
Descripción:
Se presenta una vulnerabilidad de inyección SQL en PHPGURUKUL Employee Record Management System versión 1.2, por medio del parámetro Email POST en el archivo /forgetpassword.php
Vulnerabilidad en la contraseña SSH de root en los dispositivos Victure WR1200 (CVE-2021-43284)
Gravedad:
AltaAlta
Publication date: 30/11/2021
Last modified:
03/12/2021
Descripción:
Se ha detectado un problema en los dispositivos Victure WR1200 versiones hasta 1.0.3. La contraseña SSH de root nunca es actualizada desde su valor por defecto de admin. Esto permite a un atacante conseguir el control del dispositivo mediante SSH (independientemente de que la contraseña de administrador haya sido cambiada en la interfaz web)
Vulnerabilidad en la interfaz web en los dispositivos Victure WR1200 (CVE-2021-43283)
Gravedad:
AltaAlta
Publication date: 30/11/2021
Last modified:
03/12/2021
Descripción:
Se ha detectado un problema en los dispositivos Victure WR1200 versiones hasta 1.0.3. Se ha encontrado una vulnerabilidad de inyección de comandos en la interfaz web del dispositivo, permitiendo a un atacante con credenciales válidas inyectar comandos shell arbitrarios para ser ejecutados por el dispositivo con privilegios de root. Esto ocurre en las funciones de ping y traceroute. Un atacante podría así usar esta vulnerabilidad para abrir un shell inverso en el dispositivo con privilegios de root
Vulnerabilidad en la clave Wi-Fi WPA2 por defecto en los dispositivos Victure WR1200 (CVE-2021-43282)
Gravedad:
BajaBaja
Publication date: 30/11/2021
Last modified:
03/12/2021
Descripción:
Se ha detectado un problema en los dispositivos Victure WR1200 versiones hasta 1.0.3. La clave Wi-Fi WPA2 por defecto es anunciada a cualquier persona dentro del rango Wi-Fi mediante la dirección MAC del router. La clave Wi-Fi por defecto del dispositivo corresponde a los últimos 4 bytes de la dirección MAC de su controlador de interfaz de red (NIC) de 2,4 GHz. Por lo tanto, un atacante dentro del rango de exploración de la red Wi-Fi puede escanear las redes Wi-Fi para obtener la clave por defecto

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la funcionalidad Polls en Discourse (CVE-2021-43793)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
09/08/2022
Descripción:
Discourse es una plataforma de debate de código abierto. En las versiones afectadas, una vulnerabilidad en la funcionalidad Polls permitía a usuarios votar varias veces en una encuesta de una sola opción. El problema se ha parcheado en las últimas versiones de Discourse, tanto en fase beta como en versión estable
Vulnerabilidad en la funcionalidad "Tags are visible only to the following groups" en Discourse (CVE-2021-43792)
Gravedad:
BajaBaja
Publication date: 01/12/2021
Last modified:
25/07/2022
Descripción:
Discourse es una plataforma de debate de código abierto. En las versiones afectadas, una vulnerabilidad afecta a usuarios de grupos de etiquetas que usan la funcionalidad "Tags are visible only to the following groups". Un grupo de etiquetas puede permitir a sólo un determinado grupo (por ejemplo, el personal) visualizar determinadas etiquetas. Los usuarios que seguían o visualizaban las etiquetas por medio de /preferences/tags, y luego les es revocada su condición de personal, seguirán viendo las notificaciones relacionadas con la etiqueta, pero no verán la etiqueta en cada tema. Este problema ha sido parcheado en la versión estable 2.7.11. Se recomienda a usuarios que se actualicen lo antes posible
Vulnerabilidad en el archivo includes/html/forms/poller-groups.inc.php en Librenms (CVE-2021-44279)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
03/12/2021
Descripción:
Librenms 21.11.0 está afectado por una vulnerabilidad de Cross Site Scripting (XSS) en includes/html/forms/poller-groups.inc.php
Vulnerabilidad en el archivo includes/html/common/alert-log.inc.php en Librenms (CVE-2021-44277)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
03/12/2021
Descripción:
Librenms versión 21.11.0 está afectado por una vulnerabilidad de Cross Site Scripting (XSS) en includes/html/common/alert-log.inc.php
Vulnerabilidad en vim (CVE-2021-3984)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
29/03/2022
Descripción:
vim es vulnerable a un Desbordamiento del Búfer en la región Heap de la Memoria
Vulnerabilidad en vim (CVE-2021-4019)
Gravedad:
MediaMedia
Publication date: 01/12/2021
Last modified:
29/03/2022
Descripción:
vim es vulnerable a un Desbordamiento del Búfer en la región Heap de la Memoria
Vulnerabilidad en múltiples aplicaciones Zoom (CVE-2021-34423)
Gravedad:
AltaAlta
Publication date: 24/11/2021
Last modified:
29/04/2022
Descripción:
Se ha detectado una vulnerabilidad de desbordamiento de búfer en Zoom Client for Meetings (para Android, iOS, Linux, macOS y Windows) antes de la versión 5.8.4, Zoom Client for Meetings for Blackberry (para Android e iOS) antes de la versión 5.8.1, Zoom Client for Meetings for intune (para Android e iOS) antes de la versión 5.8.4, Zoom Client for Meetings for Chrome OS antes de la versión 5.0.1, Zoom Rooms for Conference Room (para Android, AndroidBali, macOS y Windows) antes de la versión 5. 8.3, Controllers for Zoom Rooms (para Android, iOS y Windows) antes de la versión 5.8.3, Zoom VDI Windows Meeting Client antes de la versión 5.8.4, Zoom VDI Azure Virtual Desktop Plugins (para Windows x86 o x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) antes de la versión 5. 8.4.21112, Zoom VDI Citrix Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4. 21112, Zoom VDI VMware Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4.21112, Zoom Meeting SDK para Android antes de la versión 5. 7.6.1922, Zoom Meeting SDK para iOS antes de la versión 5.7.6.1082, Zoom Meeting SDK para macOS antes de la versión 5.7.6.1340, Zoom Meeting SDK para Windows antes de la versión 5.7.6.1081, Zoom Video SDK (para Android, iOS, macOS y Windows) antes de la versión 1. 1.2, Zoom On-Premise Meeting Connector Controller antes de la versión 4.8.12.20211115, Zoom On-Premise Meeting Connector MMR antes de la versión 4.8.12.20211115, Zoom On-Premise Recording Connector antes de la versión 5.1.0.65.20211116, Zoom On-Premise Virtual Room Connector antes de la versión 4. 4.7266.20211117, Zoom On-Premise Virtual Room Connector Load Balancer antes de la versión 2.5.5692.20211117, Zoom Hybrid Zproxy antes de la versión 1.0.1058.20211116, y Zoom Hybrid MMR antes de la versión 4.6.20211116.131_x86-64. Esto puede permitir potencialmente a un actor malicioso bloquear el servicio o la aplicación, o aprovechar esta vulnerabilidad para ejecutar código arbitrario