Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo de configuración de registro en Apache Log4j2 (CVE-2021-44832)
Gravedad:
MediaMedia
Publication date: 28/12/2021
Last modified:
10/01/2022
Descripción:
Las versiones de Apache Log4j2 de la 2.0-beta7 a la 2.17.0 (excluyendo las versiones de corrección de seguridad 2.3.2 y 2.12.4) son vulnerables a un ataque de ejecución remota de código (RCE) cuando una configuración utiliza un JDBC Appender con un URI de origen de datos JNDI LDAP cuando un atacante tiene el control del servidor LDAP de destino. Este problema se soluciona limitando los nombres de fuentes de datos JNDI al protocolo java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2
Vulnerabilidad en la construcción de objetos de cadena en el componente numpy.core en NumPy (CVE-2021-34141)
Gravedad:
MediaMedia
Publication date: 17/12/2021
Last modified:
05/01/2022
Descripción:
Una comparación incompleta de cadenas en el componente numpy.core en NumPy en versiones anteriores a la 1.22.0, permite a los atacantes activar una copia ligeramente incorrecta mediante la construcción de objetos de cadena específicos. NOTA: el proveedor afirma que este comportamiento de código reportado es "completamente inofensivo".
Vulnerabilidad en Thruk (CVE-2021-35490)
Gravedad:
BajaBaja
Publication date: 15/12/2021
Last modified:
04/01/2022
Descripción:
Thruk versión 2.44 permite una vulnerabilidad de tipo XSS almacenado
Vulnerabilidad en el comando "keybase git lfs-config" en la línea de comandos en Keybase Client para Windows (CVE-2021-34426)
Gravedad:
AltaAlta
Publication date: 14/12/2021
Last modified:
03/01/2022
Descripción:
Se ha detecado una vulnerabilidad en el cliente Keybase para Windows antes de la versión 5.6.0 cuando un usuario ejecutaba el comando "keybase git lfs-config" en la línea de comandos. En las versiones anteriores a la 5.6.0, un actor malicioso con acceso de escritura al repositorio Git de un usuario podía aprovechar esta vulnerabilidad para ejecutar potencialmente comandos arbitrarios de Windows en el sistema local de un usuario
Vulnerabilidad en la funcionalidad "link preview" del chat en Zoom Client for Meetings (CVE-2021-34425)
Gravedad:
MediaMedia
Publication date: 14/12/2021
Last modified:
03/01/2022
Descripción:
Zoom Client for Meetings anterior a la versión 5.7.3 (para Android, iOS, Linux, macOS y Windows) contiene una vulnerabilidad de falsificación de solicitudes del lado del servidor en la funcionalidad de "vista previa de enlaces" del chat. En las versiones anteriores a la 5.7.3, si un usuario habilitaba la función de "vista previa de enlaces" del chat, un actor malicioso podía engañar al usuario para que enviara solicitudes HTTP GET arbitrarias a URLs a las que el actor no podía acceder directamente.
Vulnerabilidad en el objeto de clase org.h2.jdbc.JdbcSQLXML en el paquete com.h2database:h2 (CVE-2021-23463)
Gravedad:
MediaMedia
Publication date: 10/12/2021
Last modified:
03/01/2022
Descripción:
El paquete com.h2database:h2 a partir de la versión 1.4.198 y antes de la versión 2.0.202 son vulnerables a la Inyección de Entidades Externas XML (XXE) a través del objeto de clase org.h2.jdbc.JdbcSQLXML, cuando recibe datos de cadena analizados del método org.h2.jdbc.JdbcResultSet.getSQLXML(). Si ejecuta el método getSource() cuando el parámetro es DOMSource.class activará la vulnerabilidad
Vulnerabilidad en los datos de PI System y otros datos en Microsoft Internet Explorer (CVE-2021-43551)
Gravedad:
BajaBaja
Publication date: 17/11/2021
Last modified:
30/12/2021
Descripción:
Un atacante remoto con acceso de escritura a PI Vision podría inyectar código en una pantalla. La divulgación, modificación o eliminación de información no autorizada es posible si una víctima ve o interactúa con la pantalla infectada usando Microsoft Internet Explorer. El impacto afecta a los datos del Sistema PI y otros datos accesibles con los permisos de usuario de la víctima
Vulnerabilidad en vim (CVE-2021-3928)
Gravedad:
MediaMedia
Publication date: 05/11/2021
Last modified:
15/01/2022
Descripción:
vim es vulnerable al uso de una variable no inicializada
Vulnerabilidad en la autenticación en Digi RealPort (CVE-2021-36767)
Gravedad:
AltaAlta
Publication date: 08/10/2021
Last modified:
31/12/2021
Descripción:
En Digi RealPort hasta la versión 4.10.490, la autenticación se basa en un mecanismo de desafío-respuesta que da acceso a la contraseña del servidor, lo que hace que la protección sea ineficaz. Un atacante puede enviar una solicitud no autenticada al servidor. El servidor responderá con una versión débilmente codificada de la contraseña de acceso al servidor. El atacante puede entonces descifrar este hash fuera de línea con el fin de iniciar sesión con éxito en el servidor
Vulnerabilidad en Sketch (CVE-2021-40531)
Gravedad:
AltaAlta
Publication date: 06/09/2021
Last modified:
01/01/2022
Descripción:
Sketch antes de 75 permite utilizar las fuentes de la biblioteca para eludir la cuarentena de archivos. Los archivos se descargan y abren automáticamente, sin el atributo extendido com.apple.quarantine. Esto da lugar a la ejecución remota de código, como lo demuestra CommandString en un perfil de terminal a Terminal.app
Vulnerabilidad en la comprobación de entrada por XMPParser en Apache XmlGraphics Commons (CVE-2020-11988)
Gravedad:
MediaMedia
Publication date: 24/02/2021
Last modified:
04/01/2022
Descripción:
Apache XmlGraphics Commons versión 2.4 y anteriores son vulnerables a la falsificación de peticiones del lado del servidor, causada por una validación de entrada inadecuada por parte del XMPParser. Utilizando un argumento especialmente diseñado, un atacante podría explotar esta vulnerabilidad para hacer que el servidor subyacente realice peticiones GET arbitrarias. Los usuarios deberían actualizar a la versión 2.6 o posterior
Vulnerabilidad en Smart Viewer en Samsung Web Viewer for Samsung DVR (CVE-2018-11689)
Gravedad:
MediaMedia
Publication date: 14/06/2018
Last modified:
04/01/2022
Descripción:
Web Viewer para Hanwha DVR 2.17 y Smart Viewer en Samsung Web Viewer para Samsung DVR son vulnerables a XSS a través del parámetro /cgi-bin/webviewer_login_page data3. (La misma base de código de Web Viewer fue transferida de Samsung a Hanwha)