Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el plugin Comment Engine Pro de WordPress (CVE-2021-36911)
Gravedad:
BajaBaja
Publication date: 10/12/2021
Last modified:
13/12/2021
Descripción:
Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado en el plugin Comment Engine Pro de WordPress (versiones anteriores a 1.0 incluyéndola), que podría ser explotada por usuarios con rol de Editor o superior
Vulnerabilidad en openwhyd (CVE-2021-3829)
Gravedad:
MediaMedia
Publication date: 10/12/2021
Last modified:
13/12/2021
Descripción:
openwhyd es vulnerable a una Redirección de URLs a Sitios no Confiables
Vulnerabilidad en pimcore (CVE-2021-4084)
Gravedad:
MediaMedia
Publication date: 10/12/2021
Last modified:
13/12/2021
Descripción:
pimcore es vulnerable a una Neutralización Inadecuada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")
Vulnerabilidad en pimcore (CVE-2021-4082)
Gravedad:
MediaMedia
Publication date: 10/12/2021
Last modified:
13/12/2021
Descripción:
pimcore es vulnerable a un ataque de tipo Cross-Site Request Forgery (CSRF)
Vulnerabilidad en pimcore (CVE-2021-4081)
Gravedad:
MediaMedia
Publication date: 10/12/2021
Last modified:
10/12/2021
Descripción:
pimcore es vulnerable a una Neutralización Inadecuada de Entradas Durante la Generación de Páginas Web ("Cross-site Scripting")

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en yetiforcecrm (CVE-2021-4092)
Gravedad:
MediaMedia
Publication date: 11/12/2021
Last modified:
13/12/2021
Descripción:
yetiforcecrm es vulnerable a un ataque de tipo Cross-Site Request Forgery (CSRF)
Vulnerabilidad en las funcionalidades JNDI en la configuración, los mensajes de registro y los parámetros de Apache Log4j2 (CVE-2021-44228)
Gravedad:
AltaAlta
Publication date: 10/12/2021
Last modified:
17/08/2022
Descripción:
Las características JNDI de Apache Log4j2 2.0-beta9 hasta 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1) utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por un atacante y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está habilitada. A partir de la versión 2.15.0 de log4j, este comportamiento ha sido deshabilitado por defecto. A partir de la versión 2.16.0 (junto con las versiones 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se ha eliminado por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services
Vulnerabilidad en los rangos superpuestos en M-Files Web (CVE-2021-37253)
Gravedad:
AltaAlta
Publication date: 05/12/2021
Last modified:
31/03/2022
Descripción:
** EN DISPUTA ** M-Files Web antes de la versión 20.10.9524.1 permite una denegación de servicio a través de rangos superpuestos (en peticiones HTTP con cabeceras Range o Request-Range manipuladas). NOTA: esto se cuestiona porque el comportamiento de los rangos es responsabilidad del servidor web, no de la aplicación web individual