Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la sección TAGS en el panel de acceso en Bludit (CVE-2021-45744)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
07/01/2022
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) almacenada en Bludit versión 3.13.1, por medio de la sección TAGS en el panel de acceso.
Vulnerabilidad en el plugin About en el panel de acceso en Bludit (CVE-2021-45745)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
07/01/2022
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) almacenada en Bludit versión 3.13.1, por medio del plugin About en el panel de acceso.
Vulnerabilidad en la Sección Mi Cuenta en el panel de inicio de sesión en Vehicle Service Management System (CVE-2021-46068)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
07/01/2022
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) Almacenada en Vehicle Service Management System versión 1.0, por medio de la Sección Mi Cuenta en el panel de inicio de sesión.
Vulnerabilidad en la Sección de Lista de Mecánicos en el panel de inicio de sesión en Vehicle Service Management System versión (CVE-2021-46069)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
07/01/2022
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) Almacenada en Vehicle Service Management System versión 1.0, por medio de la Sección de Lista de Mecánicos en el panel de inicio de sesión.
Vulnerabilidad en la Sección de Peticiones de Servicios en el panel de inicio de sesión en Vehicle Service Management System (CVE-2021-46070)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
07/01/2022
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) Almacenada en Vehicle Service Management System versión 1.0, por medio de la Sección de Peticiones de Servicios en el panel de inicio de sesión.
Vulnerabilidad en la Sección de Lista de Servicios en el panel de inicio de sesión en Vehicle Service Management System versión (CVE-2021-46072)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
07/01/2022
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) almacenada en Vehicle Service Management System versión 1.0, por medio de la Sección de Lista de Servicios en el panel de inicio de sesión.
Vulnerabilidad en la función renderError en Read Me Stats de Github (CVE-2020-23986)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
07/01/2022
Descripción:
Se ha detectado que el commit 3c7220e4f7144f6cb068fd433c774f6db47ccb95 de Github Read Me Stats contenía una vulnerabilidad de tipo cross-site scripting (XSS) reflejada por medio de la función renderError.
Vulnerabilidad en el archivo unlink_chunk.isra en GPAC (CVE-2021-46038)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
07/01/2022
Descripción:
Se ha detectado una vulnerabilidad de Desreferencia de Puntero en GPAC 1.0.1, en el archivo unlink_chunk.isra, que causa una Denegación de Servicio (dependiente del contexto).
Vulnerabilidad en la función __strlen_avx2 en GPAC en MP4Box (CVE-2021-45831)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
07/01/2022
Descripción:
Se presenta una vulnerabilidad de Desreferencia de Puntero Null en GPAC versión 1.0.1, en MP4Box por medio de la función __strlen_avx2, que causa una Denegación de Servicio.
Vulnerabilidad en el campo title de las nuevas tareas en Daybyday CRM (CVE-2022-22109)
Gravedad:
BajaBaja
Publication date: 05/01/2022
Last modified:
07/01/2022
Descripción:
En Daybyday CRM, versión 2.2.0 es susceptible a una vulnerabilidad de tipo Cross-Site Scripting (XSS) Almacenado que permite a usuarios con pocos privilegios de la aplicación almacenar scripts maliciosos en el campo title de las nuevas tareas. Estos scripts son ejecutados en el navegador de la víctima cuando ésta abre la página "/tasks" para visualizar todas las tareas.
Vulnerabilidad en la funcionalidad user updat en Daybyday CRM (CVE-2022-22110)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
21/01/2022
Descripción:
En Daybyday CRM, versiones 1.1 a 2.2.0, imponen requisitos de contraseña débiles en la funcionalidad user update. Un usuario con privilegios para actualizar su contraseña podría cambiarla por una contraseña débil, como las que presentan una longitud de un solo carácter. Esto podría permitir a un atacante forzar las contraseñas de los usuarios con un esfuerzo computacional mínimo o nulo.
Vulnerabilidad en el permiso de actualización de usuarios en DayByDay CRM (CVE-2022-22111)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
07/01/2022
Descripción:
En DayByDay CRM, versión 2.2.0, es vulnerable a una falta de autorización. Cualquier usuario de la aplicación que tenga habilitado el permiso de actualización de usuarios es capaz de cambiar la contraseña de otros usuarios, incluida la del administrador. Esto permite al atacante conseguir acceso al usuario con más privilegios de la aplicación.
Vulnerabilidad en Daybyday CRM (CVE-2022-22107)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
07/01/2022
Descripción:
En Daybyday CRM, versiones 2.0.0 hasta 2.2.0, son vulnerables a una falta de autorización. Un atacante que tenga la cuenta con menos privilegios (usuario de tipo empleado), puede visualizar las citas de todos los usuarios del sistema, incluidos los administradores. Sin embargo, este tipo de usuario no está autorizado a visualizar el calendario en absoluto.
Vulnerabilidad en Daybyday CRM (CVE-2022-22108)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
07/01/2022
Descripción:
En Daybyday CRM, versiones 2.0.0 hasta 2.2.0, son vulnerables a una falta de autorización. Un atacante que tenga la cuenta con menos privilegios (usuario tipo empleado), puede visualizar las ausencias de todos los usuarios del sistema, incluidos los administradores. Este tipo de usuario no está autorizado a visualizar este tipo de información.
Vulnerabilidad en BeyondTrust Secure Remote Access Base Software (CVE-2021-31589)
Gravedad:
AltaAlta
Publication date: 05/01/2022
Last modified:
24/01/2022
Descripción:
BeyondTrust Secure Remote Access Base Software versiones hasta 6.0.1, permite a un atacante conseguir acceso completo de administrador al dispositivo, al engañar al administrador para que cree una nueva cuenta de administrador mediante un ataque de tipo XSS/CSRF que implica una petición diseñada al endpoint /appliance/users?action=edit. Esta vulnerabilidad de tipo cross-site-scripting (XSS) es producida cuando no es saneada apropiadamente una petición web diseñada sin autenticación al servidor.
Vulnerabilidad en Convos (CVE-2022-21649)
Gravedad:
BajaBaja
Publication date: 04/01/2022
Last modified:
07/01/2022
Descripción:
Convos es un chat multiusuario de código abierto que es ejecutado en un navegador web. Los caracteres que empiezan por "https://" en la ventana de chat crean una etiqueta (a). Una vulnerabilidad de tipo XSS almacenada que usa onfocus y autofocus se produce porque el escape se presenta para "(" o ")" pero el escape para las comillas dobles no se presenta. Mediante esta vulnerabilidad, un atacante es capaz de ejecutar scripts maliciosos. Se aconseja a usuarios que actualicen lo antes posible
Vulnerabilidad en Fluxbb (CVE-2021-43677)
Gravedad:
MediaMedia
Publication date: 04/01/2022
Last modified:
07/01/2022
Descripción:
Fluxbb versión v1.4.12, está afectado por una vulnerabilidad de tipo Cross Site Scripting (XSS)
Vulnerabilidad en la vista previa de la plantilla de correo electrónico en OroPlatform (CVE-2021-41236)
Gravedad:
BajaBaja
Publication date: 04/01/2022
Last modified:
07/01/2022
Descripción:
OroPlatform es una plataforma de aplicaciones empresariales en PHP. En las versiones afectadas, la vista previa de la plantilla de correo electrónico es vulnerable a una carga útil de tipo XSS añadida al contenido de la plantilla de correo electrónico. Un atacante debe tener permiso para crear o editar una plantilla de correo electrónico. Para que la carga útil sea ejecutada con éxito, el usuario atacado debe previsualizar una plantilla de correo electrónico vulnerable. No se presentan soluciones que aborden esta vulnerabilidad. Se aconseja a usuarios que actualicen lo antes posible
Vulnerabilidad en uppy (CVE-2022-0086)
Gravedad:
AltaAlta
Publication date: 04/01/2022
Last modified:
07/01/2022
Descripción:
uppy es vulnerable a un ataque de tipo Server-Side Request Forgery (SSRF)
Vulnerabilidad en el endpoint /rest/collectors/1.0/template/custom en Atlassian Jira Server y Data Center (CVE-2021-43942)
Gravedad:
MediaMedia
Publication date: 04/01/2022
Last modified:
07/01/2022
Descripción:
Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos inyectar HTML o JavaScript arbitrarios por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) Reflejado en el endpoint /rest/collectors/1.0/template/custom. Para explotar este problema, el atacante debe engañar a un usuario para que visite un sitio web malicioso. Las versiones afectadas son anteriores a 8.13.15, y desde la versión 8.14.0 hasta 8.20.3

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-45584)
Gravedad:
MediaMedia
Publication date: 25/12/2021
Last modified:
30/12/2021
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un usuario autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.16.6, RBR750 versiones anteriores a 3.2.16.6, RBS750 versiones anteriores a 3.2.16.6, RBK852 versiones anteriores a 3.2.16.6, RBR850 versiones anteriores a 3.2.16.6 y RBS850 versiones anteriores a 3.2.16.6.
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37564)
Gravedad:
MediaMedia
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos de NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Lectura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37565)
Gravedad:
MediaMedia
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos de NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Lectura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37566)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
10/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos de NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7610, MT7613, MT7615, MT7620, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Escritura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37568)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos de NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Escritura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37569)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos de NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Escritura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37570)
Gravedad:
MediaMedia
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos de NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Lectura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37571)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos de NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Escritura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37572)
Gravedad:
MediaMedia
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos NETGEAR versiones hasta 11-11-2021 y en otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Falta la autorización).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37583)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en los dispositivos NETGEAR versiones hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente los protocolos IEEE 1905. (Chipsets afectados MT7603E, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 2.0.2; Escritura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-37584)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en dispositivos NETGEAR hasta 11-11-2021 y otros dispositivos, manejan inapropiadamente el protocolo WPS (Wi-Fi Protected Setup). (Chipsets afectados MT7603E, MT7610, MT7612, MT7613, MT7615, MT7620, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 7.4.0.0; Escritura fuera de límites).
Vulnerabilidad en los microchips MediaTek en dispositivos NETGEAR (CVE-2021-41788)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
06/01/2022
Descripción:
Los microchips de MediaTek, usados en dispositivos NETGEAR hasta 13-12-20213 y otros dispositivos, manejan inapropiadamente los intentos de inundación de autenticación Wi-Fi. (Chipsets afectados MT7603E, MT7612, MT7613, MT7615, MT7622, ??MT7628, MT7629, MT7915; Versiones de software afectadas 7.4.0.0).
Vulnerabilidad en la función gf_node_get_field en gpac (CVE-2021-44918)
Gravedad:
MediaMedia
Publication date: 21/12/2021
Last modified:
27/12/2021
Descripción:
Se presenta una vulnerabilidad de Desreferencia de Puntero Null en gpac versión 1.1.0, en la función gf_node_get_field, que puede causar un fallo de segmentación y un bloqueo de la aplicación.
Vulnerabilidad en la construcción de objetos de cadena en el componente numpy.core en NumPy (CVE-2021-34141)
Gravedad:
MediaMedia
Publication date: 17/12/2021
Last modified:
05/01/2022
Descripción:
Una comparación incompleta de cadenas en el componente numpy.core en NumPy en versiones anteriores a la 1.22.0, permite a los atacantes activar una copia ligeramente incorrecta mediante la construcción de objetos de cadena específicos. NOTA: el proveedor afirma que este comportamiento de código reportado es "completamente inofensivo".