Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la utilidad LOAD en IBM Db2 (CVE-2021-20373)
Gravedad:
MediaMedia
Publication date: 09/12/2021
Last modified:
31/03/2022
Descripción:
IBM Db2 versiones 9.7, 10.1, 10.5, 11.1 y 11.5, pueden ser vulnerables a una divulgación de información cuando es usada la utilidad LOAD, ya que en determinadas circunstancias la utilidad LOAD no aplica las restricciones de directorio. IBM X-Force ID: 199521
Vulnerabilidad en el identificador y la cookie de sesión en Express OpenID Connect (CVE-2021-41246)
Gravedad:
MediaMedia
Publication date: 09/12/2021
Last modified:
13/12/2021
Descripción:
Express OpenID Connect es un middleware JS que implementa el inicio de sesión para aplicaciones web Express usando OpenID Connect. Las versiones anteriores a "2.5.1" incluyéndola, no regeneran el identificador y la cookie de sesión cuando el usuario inicia la sesión. Este comportamiento abre la aplicación a varias vulnerabilidades de fijación de sesión. Las versiones "2.5.2" contienen un parche para este problema
Vulnerabilidad en la función get_aes_key_info_by_packetid() del binario home_security de Anker Eufy Homebase (CVE-2021-21955)
Gravedad:
MediaMedia
Publication date: 09/12/2021
Last modified:
28/04/2022
Descripción:
Se presenta una vulnerabilidad de omisión de autenticación en la función get_aes_key_info_by_packetid() del binario home_security de Anker Eufy Homebase versión 2 2.1.6.9h. Un sniffing genérico de la red puede conllevar a una recuperación de la contraseña. Un atacante puede olfatear el tráfico de red para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad wifi_country_code_update del binario home_security de Anker Eufy Homebase (CVE-2021-21954)
Gravedad:
AltaAlta
Publication date: 09/12/2021
Last modified:
29/07/2022
Descripción:
Se presenta una vulnerabilidad de ejecución de comandos en la funcionalidad wifi_country_code_update del binario home_security de Anker Eufy Homebase versión 2 2.1.6.9h. Un conjunto de paquetes de red especialmente diseñado puede conllevar a una ejecución de un comando arbitrario
Vulnerabilidad en el agente Java de APM (CVE-2021-37941)
Gravedad:
MediaMedia
Publication date: 08/12/2021
Last modified:
13/12/2021
Descripción:
Se encontró un problema de escalada de privilegios local con el agente Java de APM, donde un usuario en el sistema podría adjuntar un archivo malicioso a una aplicación que es ejecutada con el agente Java de APM. Usando este vector, una cuenta de usuario maliciosa o comprometida podría usar el agente para ejecutar comandos con un nivel de permisos superior al que posee. Esta vulnerabilidad afecta a los usuarios que han configurado el agente por medio del attacher cli 3, el attach API 2, así como a usuarios que han habilitado la opción profiling_inferred_spans_enabled
Vulnerabilidad en el controlador CSU de OPTEE-OS para los dispositivos SoC NXP i.MX6UL en Trusted Firmware OP-TEE Trusted OS (CVE-2021-44149)
Gravedad:
MediaMedia
Publication date: 07/12/2021
Last modified:
12/07/2022
Descripción:
Se ha detectado un problema en Trusted Firmware OP-TEE Trusted OS versiones hasta 3.15.0. El controlador CSU de OPTEE-OS para los dispositivos SoC NXP i.MX6UL carece de la configuración de acceso de seguridad para los registros relacionados con el wakeup, resultando en una omisión de TrustZone porque el Mundo no Seguro puede llevar a cabo operaciones de lectura/escritura de memoria arbitrarias en la memoria del Mundo Seguro. Esto implica un ciclo v

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: