Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la página de Informes en Zoho ManageEngine Desktop Central (CVE-2021-46166)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Zoho ManageEngine Desktop Central versiones anteriores a 10.0.662, permite a usuarios autenticados conseguir información confidencial de la base de datos al visitar la página de Informes
Vulnerabilidad en la función wasm::WasmBinaryBuilder::visitRethrow(wasm::Rethrow*) en Binaryen (CVE-2021-46055)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de Denegación de Servicio en Binaryen versión 104, debido a una aserción abortada en la función wasm::WasmBinaryBuilder::visitRethrow(wasm::Rethrow*)
Vulnerabilidad en la función wasm::WasmBinaryBuilder::visitRethrow(wasm::Rethrow*) en Binaryen (CVE-2021-46054)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de Denegación de Servicio en Binaryen versión 104, debido a una aserción abortada en la función wasm::WasmBinaryBuilder::visitRethrow(wasm::Rethrow*)
Vulnerabilidad en Binaryen (CVE-2021-46053)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de Denegación de Servicio en Binaryen versión 103. El programa termina con la señal SIGKILL
Vulnerabilidad en wasm::Tuple::validate en Binaryen (CVE-2021-46052)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de Denegación de Servicio en Binaryen versión 104, debido a una aserción abortada en la función wasm::Tuple::validate
Vulnerabilidad en la función extend en el paquete extend2 (CVE-2021-23568)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
El paquete extend2 versiones anteriores a 1.0.1, es vulnerable a una Contaminación de Prototipos por medio de la función extend debido a una fusión recursiva no segura
Vulnerabilidad en el comando mount en IBM AIX y VIOS (CVE-2021-38990)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
IBM AIX versiones 7.1, 7.2 y VIOS versión 3.1, podrían permitir a un usuario local no privilegiado explotar una vulnerabilidad en el comando mount que podría conllevar a una ejecución de código. IBM X-Force ID: 212952
Vulnerabilidad en IBM Security Verify (CVE-2021-38957)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
IBM Security Verify versiones 10.0.0, 10.0.1.0 y 10.0.2.0, podría revelar información confidencial debido a una comprobación de entrada peligrosa durante una generación de códigos QR. IBM X-Force ID: 212040
Vulnerabilidad en los encabezados de respuesta HTTP en IBM Security Verify (CVE-2021-38956)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
IBM Security Verify versiones 10.0.0, 10.0.1.0 y 10.0.2.0, podría revelar información confidencial sobre la versión en los encabezados de respuesta HTTP que podría ayudar a realizar más ataques contra el sistema. IBM X-Force ID: 212038
Vulnerabilidad en IBM Security Verify (CVE-2021-38921)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
IBM Security Verify versiones 10.0.0, 10.0.1.0 y 10.0.2.0, usa algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 210067
Vulnerabilidad en IBM Security Verify (CVE-2021-38895)
Gravedad:
BajaBaja
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
IBM Security Verify versiones 10.0.0, 10.0.1.0 y 10.0.2.0, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 209563
Vulnerabilidad en un mensaje de error técnico detallado en el navegador en IBM Security Verify (CVE-2021-38894)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
IBM Security Verify versiones 10.0.0, 10.0.1.0 y 10.0.2.0, podría permitir a un atacante remoto conseguir información confidencial cuando es devuelto un mensaje de error técnico detallado en el navegador. Esta información podría ser usada en posteriores ataques contra el sistema. IBM X-Force ID: 209515
Vulnerabilidad en los controladores de la serie R-30iA y R-30iB de FANUC (CVE-2021-32998)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
21/03/2022
Descripción:
Los controladores de la serie R-30iA y R-30iB de FANUC son vulnerables a una escritura fuera de límites, que puede permitir a un atacante ejecutar código arbitrario de forma remota. Es requerido INIT START/restauración desde una copia de seguridad
Vulnerabilidad en los controladores de la serie R-30iA y R-30iB de FANUC (CVE-2021-32996)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Los controladores de la serie R-30iA y R-30iB de FANUC son vulnerables a errores de coerción de enteros, que causan un bloqueo del dispositivo. Es requerido un reinicio
Vulnerabilidad en un vector de ataque en el paquete realms-shim (CVE-2021-23594)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Todas las versiones del paquete realms-shim son vulnerables a la Omisión del Sandbox por medio de un vector de ataque de Contaminación de Prototipos
Vulnerabilidad en Sourcecodester Online Thesis Archiving System (CVE-2021-45334)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
28/01/2022
Descripción:
Sourcecodester Online Thesis Archiving System versión 1.0, es vulnerable a una inyección SQL. Un atacante puede omitir la autenticación del administrador y conseguir acceso al panel de administración usando la inyección SQL
Vulnerabilidad en las secuencias de escape, meta o de control en kubectl (CVE-2021-25743)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
28/02/2022
Descripción:
kubectl no neutraliza las secuencias de escape, meta o de control contenidas en los datos brutos que envía a un terminal. Esto incluye, pero no se limita, a los campos de cadena no estructurados en objetos como los Eventos
Vulnerabilidad en bookstack (CVE-2021-4194)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
25/07/2022
Descripción:
bookstack es vulnerable a un Control de Acceso Inapropiado
Vulnerabilidad en Vehicle Service Management System (CVE-2021-46067)
Gravedad:
AltaAlta
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
En Vehicle Service Management System versión 1.0, un atacante puede robar las cookies, conllevando a una toma de control total de la cuenta.
Vulnerabilidad en Sourcecodester Vehicle Service Management System (CVE-2021-46078)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de Carga de Archivos sin Restricciones en Sourcecodester Vehicle Service Management System versión 1.0. Un atacante remoto puede cargar archivos maliciosos que conllevan una vulnerabilidad de tipo Cross-Site Scripting Almacenado.
Vulnerabilidad en Vehicle Service Management System (CVE-2021-46080)
Gravedad:
BajaBaja
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en Vehicle Service Management System versión 1.0. Un ataque de tipo CSRF con éxito conlleva a una vulnerabilidad de tipo Cross Site Scripting Almacenado.
Vulnerabilidad en un archivo SWF en el archivo util/parser.c en la función parseSWF_DEFINELOSSLESS2 en libming (CVE-2021-44591)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
En libming versión 0.4.8, la función parseSWF_DEFINELOSSLESS2 en el archivo util/parser.c carece de una comprobación de límites que podría conllevar a ataques de denegación de servicio por medio de un archivo SWF diseñado.
Vulnerabilidad en los mapeos de peticiones en "StreamingCoordinatorController.java" que manejan los endpoints de la API REST "/kylin/api/streaming_coordinator/*" en Apache Kylin (CVE-2021-27738)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
Todos los mapeos de peticiones en "StreamingCoordinatorController.java" que manejan los endpoints de la API REST "/kylin/api/streaming_coordinator/*" no incluían ninguna comprobación de seguridad, lo que permitía a un usuario no autenticado emitir peticiones arbitrarias, como la asignación/desasignación de cubos de streaming, la creación/modificación y la eliminación de conjuntos de réplicas, al Coordinador de Kylin. Para los endpoints que aceptan detalles de nodos en el cuerpo del mensaje HTTP, puede lograrse un ataque de tipo server-side request forgery (SSRF) no autenticado (pero limitado). Este problema afecta a Apache Kylin versiones 3 anteriores a la 3.1.2.
Vulnerabilidad en el controlador JDBC de MySQL en Apache Kylin (CVE-2021-36774)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
Apache Kylin permite a usuarios leer datos de otros sistemas de bases de datos usando JDBC. El controlador JDBC de MySQL soporta determinadas propiedades que, si no son mitigadas, pueden permitir a un atacante ejecutar código arbitrario desde un servidor MySQL malicioso controlado por un hacker dentro de los procesos del servidor Kylin. Este problema afecta a Apache Kylin 2 versiones 2.6.6 y anteriores; Apache Kylin 3 versiones 3.1.2 y anteriores.
Vulnerabilidad en Apache kylin (CVE-2021-45456)
Gravedad:
AltaAlta
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
Apache kylin comprueba la legitimidad del proyecto antes de ejecutar algunos comandos con el nombre del proyecto pasado por el usuario. Se presenta un desajuste entre lo que es comprobado y lo que es usado como argumento del comando del shell en DiagnosisService. Esto puede causar que un nombre de proyecto ilegal pase la comprobación y lleve a cabo los siguientes pasos, resultando en una vulnerabilidad de inyección de comandos. Este problema afecta a Apache Kylin 4.0.0.
Vulnerabilidad en Apache Kylin (CVE-2021-45458)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
Apache Kylin proporciona clases de cifrado PasswordPlaceholderConfigurer para ayudar a usuarios a cifrar sus contraseñas. En el algoritmo de cifrado usado por esta clase de cifrado, el cifrado es inicializado con una clave y un IV embebidos. Si los usuarios usan la clase PasswordPlaceholderConfigurer para cifrar su contraseña y la configuran en el archivo de configuración de kylin, se presenta el riesgo de que la contraseña pueda ser descifrada. Este problema afecta a Apache Kylin 2 versiones 2.6.6 y anteriores; Apache Kylin 3 versiones 3.1.2 y anteriores; Apache Kylin 4 versiones 4.0.0 y anteriores.
Vulnerabilidad en la función mod_extforward_Forwarded del plugin mod_extforward en lighttpd (CVE-2022-22707)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
13/01/2022
Descripción:
En lighttpd versiones 1.4.46 hasta 1.4.63, la función mod_extforward_Forwarded del plugin mod_extforward tiene un desbordamiento de búfer basado en la pila (4 bytes que representan -1), como lo demuestra la denegación de servicio remota (caída del demonio) en una configuración no predeterminada. La configuración no predeterminada requiere el manejo de la cabecera Forwarded de una manera algo inusual. Además, es mucho más probable que un sistema de 32 bits se vea afectado que un sistema de 64 bits
Vulnerabilidad en el manejador SMI en AtaLegacySmm en InsydeH2O (CVE-2021-41842)
Gravedad:
AltaAlta
Publication date: 05/01/2022
Last modified:
01/03/2022
Descripción:
Se ha detectado un problema en AtaLegacySmm en el kernel 5.0 anteriores a 05.08.46, 5.1 anteriores a 05.16.46, 5.2 anteriores a 05.26.46, 5.3 anteriores a 05.35.46, 5.4 anteriores a 05.43.46 y 5.5 anteriores a 05.51.45 en InsydeH2O. Puede producirse una ejecución de código porque el manejador SMI carece de una comprobación de CommBuffer.
Vulnerabilidad en un manejador SWSMI en SdHostDriver en Insyde InsydeH2O (CVE-2021-45971)
Gravedad:
AltaAlta
Publication date: 05/01/2022
Last modified:
29/03/2022
Descripción:
Se ha detectado un problema en SdHostDriver en Insyde InsydeH2O con el kernel 5.1 anteriores a 05.16.25, 5.2 anteriores a 05.26.25, 5.3 anteriores a 05.35.25, 5.4 anteriores a 05.43.25 y 5.5 anteriores a 05.51.25. Se presenta una vulnerabilidad en la rama SMM (System Management Mode) que registra un manejador SWSMI que no comprueba ni valida suficientemente el puntero del búfer asignado (CommBufferData).
Vulnerabilidad en un manejador SWSMI en IdeBusDxe en InsydeH2O (CVE-2021-45970)
Gravedad:
AltaAlta
Publication date: 05/01/2022
Last modified:
29/03/2022
Descripción:
Se ha detectado un problema en IdeBusDxe en InsydeH2O con el kernel 5.1 anteriores a 05.16.25, 5.2 anteriores a 05.26.25, 5.3 anteriores a 05.35.25, 5.4 anteriores a 05.43.25 y 5.5 anteriores a 05.51.25. Se presenta una vulnerabilidad en la rama SMM (System Management Mode) que registra un manejador SWSMI que no comprueba ni valida suficientemente el puntero del buffer asignado (el código de estado guardado en la ubicación CommBuffer+4).
Vulnerabilidad en el manejador SMI de software en SdLegacySmm en InsydeH2O (CVE-2020-5956)
Gravedad:
MediaMedia
Publication date: 05/01/2022
Last modified:
12/07/2022
Descripción:
Se ha detectado un problema en SdLegacySmm en InsydeH2O con el kernel 5.1 anteriores a 05.15.11, 5.2 anteriores a 05.25.11, 5.3 anteriores a 05.34.11 y 5.4 anteriores a 05.42.11. El manejador SMI de software permite una entrada externa no confiable porque no verifica el CommBuffer.
Vulnerabilidad en un manejador SWSMI en AhciBusDxe en InsydeH2O (CVE-2021-45969)
Gravedad:
AltaAlta
Publication date: 05/01/2022
Last modified:
29/03/2022
Descripción:
Se ha detectado un problema en AhciBusDxe en InsydeH2O con el kernel 5.1 anteriores a 05.16.25, 5.2 anteriores a 05.26.25, 5.3 anteriores a 05.35.25, 5.4 anteriores a 05.43.25 y 5.5 anteriores a 05.51.25. Se presenta una vulnerabilidad en la rama SMM (System Management Mode) que registra un manejador SWSMI que no comprueba o valida suficientemente el puntero del buffer asignado (la ubicación CommBuffer+8).
Vulnerabilidad en la implementación de XPC del proceso nsAuxiliarySvc en el cliente de Netskope en macOS (CVE-2021-41388)
Gravedad:
AltaAlta
Publication date: 04/01/2022
Last modified:
13/01/2022
Descripción:
El cliente de Netskope versiones anteriores a 89.x en macOS, está afectado por una vulnerabilidad de escalada de privilegios local. La implementación de XPC del proceso nsAuxiliarySvc no lleva a cabo la comprobación de las nuevas conexiones antes de aceptar la conexión. Así, cualquier usuario con pocos privilegios puede conectarse y llamar a los métodos externos definidos en el servicio XPC como root, elevando su privilegio al nivel más alto
Vulnerabilidad en la función "old()" en CodeIgniter (CVE-2022-21647)
Gravedad:
AltaAlta
Publication date: 04/01/2022
Last modified:
20/01/2022
Descripción:
CodeIgniter es un framework web full-stack de PHP de código abierto. Se encontró una deserialización de datos no confiables en la función "old()" en CodeIgniter4. Los atacantes remotos pueden inyectar objetos arbitrarios autocargables con esta vulnerabilidad, y posiblemente ejecutar código PHP existente en el servidor. Tenemos conocimiento de una explotación que funciona, que puede conllevar a una inyección SQL. Se aconseja a usuarios que actualicen a la versión 4.1.6 o posterior. A los usuarios que no puedan actualizarse se les aconseja no usar la función "old()" y form_helper ni "RedirectResponse::withInput()" y "redirect()->withInput()"
Vulnerabilidad en Latte (CVE-2022-21648)
Gravedad:
MediaMedia
Publication date: 04/01/2022
Last modified:
13/01/2022
Descripción:
Latte es un motor de plantillas de código abierto para PHP. Desde la versión 2.8.0, Latte ha incluido un sandbox de plantillas y en las versiones afectadas se ha encontrado que se presenta un escape del sandbox que permite una inyección en páginas web generadas desde Latte. Esto puede conllevar ataques de tipo XSS. El problema se ha corregido en las versiones 2.8.8, 2.9.6 y 2.10.8. Los usuarios que no puedan actualizar no deben aceptar entradas de plantillas de fuentes no confiables
Vulnerabilidad en un canal WCF en el agente en tiempo real de ControlUp (cuAgent.exe) (CVE-2021-45913)
Gravedad:
AltaAlta
Publication date: 04/01/2022
Last modified:
13/01/2022
Descripción:
Una clave embebida en el agente en tiempo real de ControlUp (cuAgent.exe) versiones anteriores a 8.2.5, puede permitir a un atacante potencial ejecutar comandos del sistema operativo por medio de un canal WCF
Vulnerabilidad en la transmisión de datos en la serie bizhub de KONICA MINOLTA (CVE-2021-20870)
Gravedad:
BajaBaja
Publication date: 04/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de manejo inapropiado de condiciones excepcionales en la serie bizhub de KONICA MINOLTA (bizhub versiones C750i G00-35 y anteriores, bizhub versiones C650i/C550i/C450i G00-B6 y anteriores, bizhub versiones C360i/C300i/C250i G00-B6 y anteriores, bizhub versiones 750i/650i/550i/450i G00-37 y anteriores, bizhub versiones 360i/300i G00-33 y anteriores, bizhub versiones C287i/C257i/C227i G00-19 y anteriores, bizhub versiones 306i/266i/246i/226i G00-B6 y anteriores, bizhub versiones C759/C659 GC7-X8 y anteriores, bizhub versiones C658/C558/C458 GC7-X8 y anteriores, bizhub versiones 958/808/758 GC7-X8 y anteriores, bizhub versiones 658e/558e/458e GC7-X8 y anteriores, bizhub versiones C287/C227 GC7-X8 y anteriores, bizhub versiones 287/227 GC7-X8 y anteriores, bizhub versiones 368e/308e GC7-X8 y anteriores, bizhub versiones C368/C308/C258 GC9-X4 y anteriores, bizhub versiones 558/458/368/308 GC9-X4 y anteriores, bizhub versiones C754e/C654e GDQ-M0 y anteriores, bizhub versiones 754e/654e GDQ-M0 y anteriores, bizhub versiones C554e/C454e GDQ-M1 y anteriores, bizhub versiones C364e/C284e/C224e GDQ-M1 y anteriores, bizhub versiones 554e/454e/364e/284e/224e GDQ-M1 y anteriores, bizhub versiones C754/C654 C554/C454 GR1-M0 y anteriores, bizhub versiones C364/C284/C224 GR1-M0 y anteriores, bizhub versiones 754/654 GR1-M0 y anteriores, bizhub versiones C4050i/C3350i/C4000i/C3300i G00-B6 y anteriores, bizhub versiones C3320i G00-B6 y anteriores, bizhub versiones 4750i/4050i G00-22 y anteriores, bizhub versiones 4700i G00-22 y anteriores, bizhub versiones C3851FS/C3851/C3351 GC9-X4 y anteriores, bizhub versiones 4752/4052 GC9-X4 y anteriores, bizhub versiones C3850/C3350/3850FS, bizhub versiones 4750/4050, bizhub versiones C3110, bizhub versiones C3100P) permite a un atacante físico obtener datos de imágenes escaneadas no enviadas cuando la transmisión de datos escaneados se detiene debido a un error de red al expulsar un disco duro antes de que el trabajo de escaneo termine
Vulnerabilidad en la serie bizhub de KONICA MINOLTA (CVE-2021-20872)
Gravedad:
MediaMedia
Publication date: 04/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad del mecanismo de protección en la serie bizhub de KONICA MINOLTA (bizhub versiones C750i G00-35 y anteriores, bizhub versiones C650i/C550i/C450i G00-B6 y anteriores, bizhub versiones C360i/C300i/C250i G00-B6 y anteriores, bizhub versiones 750i/650i/550i/450i G00-37 y anteriores, bizhub versiones 360i/300i G00-33 y anteriores, bizhub versiones C287i/C257i/C227i G00-19 y anteriores, bizhub versiones 306i/266i/246i/226i G00-B6 y anteriores, bizhub versiones C759/C659 GC7-X8 y anteriores, bizhub versiones C658/C558/C458 GC7-X8 y anteriores, bizhub versiones 958/808/758 GC7-X8 y anteriores, bizhub versiones 658e/558e/458e GC7-X8 y anteriores, bizhub versiones C287/C227 GC7-X8 y anteriores, bizhub versiones 287/227 GC7-X8 y anteriores, bizhub versiones 368e/308e GC7-X8 y anteriores, bizhub versiones C368/C308/C258 GC9-X4 y anteriores, bizhub versiones 558/458/368/308 GC9-X4 y anteriores, bizhub versiones C754e/C654e GDQ-M0 y anteriores, bizhub versiones 754e/654e GDQ-M0 y anteriores, bizhub versiones C554e/C454e GDQ-M1 y anteriores, bizhub versiones C364e/C284e/C224e GDQ-M1 y anteriores, bizhub versiones 554e/454e/364e/284e/224e GDQ-M1 y anteriores, bizhub versiones C754/C654 C554/C454 GR1-M0 y anteriores, bizhub versiones C364/C284/C224 GR1-M0 y anteriores, bizhub versiones 754/654 GR1-M0 y anteriores, bizhub versiones C3851FS/C3851/C3351 GC9-X4 y anteriores, bizhub versiones 4752/4052 GC9-X4 y anteriores) permite a un atacante físico omitir la verificación de integridad del firmware e instalar un firmware malicioso
Vulnerabilidad en un mensaje SOAP en la serie bizhub de KONICA MINOLTA (CVE-2021-20871)
Gravedad:
BajaBaja
Publication date: 04/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de exposición de información confidencial a un actor no autorizado en la serie bizhub de KONICA MINOLTA (bizhub versiones C750i G00-35 y anteriores, bizhub versiones C650i/C550i/C450i G00-B6 y anteriores, bizhub versiones C360i/C300i/C250i G00-B6 y anteriores, bizhub versiones 750i/650i/550i/450i G00-37 y anteriores, bizhub versiones 360i/300i G00-33 y anteriores, bizhub versiones C287i/C257i/C227i G00-19 y anteriores, bizhub versiones 306i/266i/246i/226i G00-B6 y anteriores, bizhub versiones C759/C659 GC7-X8 y anteriores, bizhub versiones C658/C558/C458 GC7-X8 y anteriores, bizhub versiones 958/808/758 GC7-X8 y anteriores, bizhub versiones 658e/558e/458e GC7-X8 y anteriores, bizhub versiones C287/C227 GC7-X8 y anteriores, bizhub versiones 287/227 GC7-X8 y anteriores, bizhub versiones 368e/308e GC7-X8 y anteriores, bizhub versiones C368/C308/C258 GC9-X4 y anteriores, bizhub versiones 558/458/368/308 GC9-X4 y anteriores, bizhub versiones C754e/C654e GDQ-M0 y anteriores, bizhub versiones 754e/654e GDQ-M0 y anteriores, bizhub versiones C554e/C454e GDQ-M1 y anteriores, bizhub versiones C364e/C284e/C224e GDQ-M1 y anteriores, bizhub versiones 554e/454e/364e/284e/224e GDQ-M1 y anteriores, bizhub versiones C754/C654 C554/C454 GR1-M0 y anteriores, bizhub versiones C364/C284/C224 GR1-M0 y anteriores, bizhub versiones 754/654 GR1-M0 y anteriores, bizhub versiones C4050i/C3350i/C4000i/C3300i G00-B6 y anteriores, bizhub versiones C3320i G00-B6 y anteriores, bizhub versiones 4750i/4050i G00-22 y anteriores, bizhub versiones 4700i G00-22 y anteriores, bizhub versiones C3851FS/C3851/C3351 GC9-X4 y anteriores, y bizhub versiones 4752/4052 GC9-X4 y anteriores) permite a un atacante en la red adyacente obtener las credenciales si la información de destino, incluyendo las credenciales, se registra en la libreta de direcciones por medio de un mensaje SOAP específico
Vulnerabilidad en un mensaje SOAP en la serie bizhub de KONICA MINOLTA (CVE-2021-20869)
Gravedad:
BajaBaja
Publication date: 04/01/2022
Last modified:
12/01/2022
Descripción:
Una vulnerabilidad de exposición de información confidencial a un actor no autorizado en la serie bizhub de KONICA MINOLTA (bizhub versiones C750i G00-35 y anteriores, bizhub versiones C650i/C550i/C450i G00-B6 y anteriores, bizhub versiones C360i/C300i/C250i G00-B6 y anteriores, bizhub versiones 750i/650i/550i/450i G00-37 y anteriores, bizhub versiones 360i/300i G00-33 y anteriores, bizhub versiones C287i/C257i/C227i G00-19 y anteriores, bizhub versiones 306i/266i/246i/226i G00-B6 y anteriores, bizhub versiones C759/C659 GC7-X8 y anteriores, bizhub versiones C658/C558/C458 GC7-X8 y anteriores, bizhub versiones 958/808/758 GC7-X8 y anteriores, bizhub versiones 658e/558e/458e GC7-X8 y anteriores, bizhub versiones C287/C227 GC7-X8 y anteriores, bizhub versiones 287/227 GC7-X8 y anteriores, bizhub versiones 368e/308e GC7-X8 y anteriores, bizhub versiones C368/C308/C258 GC9-X4 y anteriores, bizhub versiones 558/458/368/308 GC9-X4 y anteriores, bizhub versiones C754e/C654e GDQ-M0 y anteriores, bizhub versiones 754e/654e GDQ-M0 y anteriores, bizhub versiones C554e/C454e GDQ-M1 y anteriores, bizhub versiones C364e/C284e/C224e GDQ-M1 y anteriores, bizhub versiones 554e/454e/364e/284e/224e GDQ-M1 y anteriores, bizhub versiones C754/C654 C554/C454 GR1-M0 y anteriores, bizhub versiones C364/C284/C224 GR1-M0 y anteriores, bizhub versiones 754/654 GR1-M0 y anteriores, bizhub versiones C4050i/C3350i/C4000i/C3300i G00-B6 y anteriores, bizhub versiones C3320i G00-B6 y anteriores, bizhub versiones 4750i/4050i G00-22 y anteriores, bizhub versiones 4700i G00-22 y anteriores, bizhub versiones C3851FS/C3851/C3351 GC9-X4 y anteriores, y bizhub versiones 4752/4052 GC9-X4 y anteriores) permite a un atacante en la red adyacente obtener algunas de las credenciales de usuario si la autenticación del servidor LDAP está habilitada por medio de un mensaje SOAP específico
Vulnerabilidad en Password vault (CVE-2021-39971)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Password vault presenta una vulnerabilidad de Control Externo del Sistema o de los Ajustes de Configuración. Una explotación con éxito de esta vulnerabilidad podría comprometer la confidencialidad
Vulnerabilidad en una estructura de controlador AOD no inicializada en los Smartphones (CVE-2021-39966)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una estructura de controlador AOD no inicializada en los Smartphones. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad del servicio
Vulnerabilidad en MyHuawei-App (CVE-2021-39972)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
12/07/2022
Descripción:
MyHuawei-App presenta una vulnerabilidad de Exposición de Información Confidencial a un Actor No Autorizado. Una explotación con éxito de esta vulnerabilidad podría comprometer la confidencialidad
Vulnerabilidad en los Smartphones (CVE-2021-39973)
Gravedad:
AltaAlta
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Se presnta una desreferencia de puntero Null en los Smartphones. Una explotación con éxito de esta vulnerabilidad puede causar la ruptura del kernel
Vulnerabilidad en los Smartphones (CVE-2021-39974)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una lectura fuera de límites en los Smartphones. Una explotación con éxito de esta vulnerabilidad puede afectar a la confidencialidad del servicio
Vulnerabilidad en Hilinksvc (CVE-2021-39975)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Hilinksvc presenta una vulnerabilidad de Errores de Procesamiento de Datos. Una explotación con éxito de esta vulnerabilidad puede causar ataques de denegación de servicio
Vulnerabilidad en el módulo HwNearbyMain (CVE-2021-39977)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
El módulo HwNearbyMain presenta una vulnerabilidad de Desreferencia de Puntero Null. Una explotación con éxito de esta vulnerabilidad puede causar el reinicio de un proceso
Vulnerabilidad en Telephony application (CVE-2021-39978)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Telephony application presenta una vulnerabilidad de Inyección de SQL. Una explotación con éxito de esta vulnerabilidad puede causar problemas de privacidad y seguridad
Vulnerabilidad en el sistema HHEE (CVE-2021-39979)
Gravedad:
AltaAlta
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
El sistema HHEE presenta una vulnerabilidad de Inyección de Código. Una explotación con éxito de esta vulnerabilidad puede afectar la integridad del sistema HHEE
Vulnerabilidad en Telephony application (CVE-2021-39980)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
12/07/2022
Descripción:
Telephony application presenta una vulnerabilidad de Exposición de Información Confidencial a un Actor No Autorizado. Una explotación con éxito de esta vulnerabilidad podría conllevar a una divulgación de información confidencial
Vulnerabilidad en la aplicación Chang Lian (CVE-2021-39981)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
La aplicación Chang Lian presenta una vulnerabilidad que puede ser explotada maliciosamente para ocultar el número de llamada. Una explotación con éxito de esta vulnerabilidad permite realizar una llamada anónima
Vulnerabilidad en la aplicación Phone Manager (CVE-2021-39982)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
La aplicación Phone Manager presenta una vulnerabilidad de Administración de Privilegios Inapropiada. Una explotación con éxito de esta vulnerabilidad puede leer y escribir archivos arbitrarios al manipular las notificaciones de Phone Manager
Vulnerabilidad en el módulo HwNearbyMain (CVE-2021-39983)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
El módulo HwNearbyMain presenta una vulnerabilidad de Errores de Procesamiento de Datos. Una explotación con éxito de esta vulnerabilidad puede causar el reinicio de un proceso
Vulnerabilidad en el módulo idap de Huawei (CVE-2021-39984)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
El módulo idap de Huawei presenta una vulnerabilidad de lectura fuera de límites. Una explotación con éxito de esta vulnerabilidad puede causar una Denegación de Servicio
Vulnerabilidad en HwPCAssistant (CVE-2021-39970)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
HwPCAssistant presenta una vulnerabilidad de Comprobación de entrada inapropiada. Una explotación con éxito de esta vulnerabilidad podría crear cualquier archivo con el permiso de la aplicación del sistema
Vulnerabilidad en los Smartphones (CVE-2021-39969)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de acceso No Autorizado a archivos en los Smartphones. Una explotación con éxito de esta vulnerabilidad puede afectar la confidencialidad del servicio
Vulnerabilidad en Changlian Blocklist (CVE-2021-39968)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Changlian Blocklist presenta una vulnerabilidad de Errores de Lógica de Negocio. Una explotación con éxito de esta vulnerabilidad puede ampliar la superficie de ataque de la clase de mensajes
Vulnerabilidad en los permisos de difusión en los Smartphones (CVE-2021-39967)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de obtención de información de difusión inapropiada debido a una configuración inapropiada de los permisos de difusión en los Smartphones.El aprovechamiento de esta vulnerabilidad puede afectar a la confidencialidad del servicio
Vulnerabilidad en el firmware de un determinado modelo de PC (CVE-2021-38576)
Gravedad:
AltaAlta
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Un error de la BIOS en el firmware de un determinado modelo de PC deja vacío el valor de autorización de la plataforma. Esto puede ser usado para brickear permanentemente el TPM de múltiples maneras, así como para DoS no permanente del sistema
Vulnerabilidad en en las APIs relacionadas con la localización (CVE-2021-37134)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
En las APIs relacionadas con la localización se presenta una vulnerabilidad de Condición de Carrera. Una explotación con éxito de esta vulnerabilidad puede usar Permisos Elevados para invocar la interfaz de los componentes relacionados con la localización
Vulnerabilidad en los Smartphones (CVE-2021-37133)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de acceso no autorizado a archivos en los Smartphones. Una explotación con éxito de esta vulnerabilidad puede afectar la confidencialidad del servicio
Vulnerabilidad en un archivo arbitrario (CVE-2021-37125)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Un archivo arbitrario presenta una vulnerabilidad de Exposición de Información Confidencial a un Actor No Autorizado. Una explotación con éxito de esta vulnerabilidad puede causar que la confidencialidad esté afectada
Vulnerabilidad en el Smartphone (CVE-2021-37120)
Gravedad:
AltaAlta
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Se presenta una vulnerabilidad de Doble liberación en el Smartphone. Una explotación con éxito de esta vulnerabilidad puede causar un bloqueo del kernel o una escalada de privilegios
Vulnerabilidad en el archivo de política de contraseñas bajo la raíz html/ web en ManageEngine ADSelfService Plus (CVE-2021-20148)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
ManageEngine ADSelfService Plus versiones anteriores a la compilación 6116, almacena el archivo de política de contraseñas para cada dominio bajo la raíz html/ web con un nombre de archivo predecible basado en el nombre del dominio. Cuando ADSSP está configurado con múltiples dominios de Windows, un usuario de un dominio puede obtener la política de contraseñas de otro dominio al autenticarse en el servicio y enviando una petición especificando el archivo de política de contraseñas del otro dominio
Vulnerabilidad en la operación UMCP de la ChangePasswordAPI en ManageEngine ADSelfService Plus (CVE-2021-20147)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
ManageEngine ADSelfService Plus versiones anteriores a la compilación 6116, contiene una discrepancia de respuesta observable en la operación UMCP de la ChangePasswordAPI. Esto permite a un atacante remoto no autenticado determinar si se presenta un usuario de dominio de Windows
Vulnerabilidad en el controlador BT en BlueCore (CVE-2021-35093)
Gravedad:
BajaBaja
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
Una posible corrupción de memoria en el controlador BT cuando recibe un paquete LMP sobredimensionado a través de un enlace 2-DH1 y conlleva a una denegación de servicio en BlueCore
Vulnerabilidad en la funcionalidad "forgot password" en Userfrosting (CVE-2021-25994)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
13/01/2022
Descripción:
En Userfrosting, versiones v0.3.1 hasta v4.6.2, son vulnerables a una Inyección de Encabezado de Host. Al atraer a un usuario de la aplicación víctima para que haga clic en un enlace, un atacante no autenticado puede usar la funcionalidad "forgot password" para restablecer la contraseña de la víctima y hacerse con su cuenta
Vulnerabilidad en ENC DataVault (CVE-2021-36751)
Gravedad:
MediaMedia
Publication date: 02/01/2022
Last modified:
13/01/2022
Descripción:
ENC DataVault versión 7.1.1W, usa un algoritmo de encriptación inapropiado, de manera que un atacante (que no conoce la clave secreta) puede hacer modificaciones en el texto cifrado que son reflejadas en el texto plano modificado. No se presenta ningún mecanismo de integridad de los datos. (Este comportamiento es dado en las unidades USB que son vendidas bajo múltiples marcas).

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo xmlparse.c en la función storeAtts en Expat (CVE-2022-22827)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
14/06/2022
Descripción:
la función storeAtts en el archivo xmlparse.c en Expat (también se conoce como libexpat) versiones anteriores a 2.4.3, presenta un desbordamiento de enteros
Vulnerabilidad en el archivo xmlparse.c en la función nextScaffoldPart en Expat (CVE-2022-22826)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
14/06/2022
Descripción:
la función nextScaffoldPart en el archivo xmlparse.c en Expat (también se conoce como libexpat) versiones anteriores a 2.4.3, presenta un desbordamiento de enteros
Vulnerabilidad en el archivo xmlparse.c en la función lookup en Expat (CVE-2022-22825)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
14/06/2022
Descripción:
la función lookup en el archivo xmlparse.c en Expat (también se conoce como libexpat) versiones anteriores a 2.4.3, presenta un desbordamiento de enteros
Vulnerabilidad en el archivo xmlparse.c en la función defineAttribute en Expat (CVE-2022-22824)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
14/06/2022
Descripción:
la función defineAttribute en el archivo xmlparse.c en Expat (también se conoce como libexpat) versiones anteriores a 2.4.3, presenta un desbordamiento de enteros
Vulnerabilidad en el archivo xmlparse.c en la función build_model en Expat (CVE-2022-22823)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
14/06/2022
Descripción:
la función build_model en el archivo xmlparse.c en Expat (también se conoce como libexpat) versiones anteriores a 2.4.3, presenta un desbordamiento de enteros
Vulnerabilidad en el archivo xmlparse.c en la función addBinding en Expat (CVE-2022-22822)
Gravedad:
AltaAlta
Publication date: 10/01/2022
Last modified:
14/06/2022
Descripción:
la función addBinding en el archivo xmlparse.c en Expat (también se conoce como libexpat) antes de 2.4.3 presenta un desbordamiento de enteros
Vulnerabilidad en Apache Kylin (CVE-2021-45457)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
12/07/2022
Descripción:
En Apache Kylin, se permite el envío de peticiones de origen Cruzado con credenciales desde cualquier origen. Este problema afecta a Apache Kylin 2 versiones 2.6.6 y anteriores; Apache Kylin 3 versiones 3.1.2 y anteriores; Apache Kylin 4 versiones 4.0.0 y anteriores.
Vulnerabilidad en el paquete zabbix-agent2 para Alpine Linux (CVE-2022-22704)
Gravedad:
AltaAlta
Publication date: 06/01/2022
Last modified:
31/01/2022
Descripción:
El paquete zabbix-agent2 versiones anteriores a 5.4.9-r1 para Alpine Linux, permite a veces la escalada de privilegios a root porque el diseño esperaba incorrectamente que systemd determinara (en efecto) parte de la configuración.
Vulnerabilidad en el archivo xmlparse.c en la función doProlog en Expat (CVE-2021-46143)
Gravedad:
MediaMedia
Publication date: 06/01/2022
Last modified:
14/06/2022
Descripción:
En la función doProlog en el archivo xmlparse.c en Expat (también se conoce como libexpat) versiones anteriores a 2.4.3, se presenta un desbordamiento de enteros para m_groupSize.
Vulnerabilidad en PJSIP (CVE-2021-41141)
Gravedad:
AltaAlta
Publication date: 04/01/2022
Last modified:
04/06/2022
Descripción:
PJSIP es una biblioteca de comunicación multimedia gratuita y de código abierto escrita en lenguaje C que implementa protocolos basados en estándares como SIP, SDP, RTP, STUN, TURN e ICE. En varias partes de PJSIP, cuando es producido un error/fallo, es encontrado que la función retorna sin liberar los bloqueos que se presentan actualmente. Esto podría resultar en un bloqueo del sistema, que causaría una denegación de servicio para los usuarios. Todavía no ha sido realizado ninguna publicación que contenga el commit de corrección vinculado. Todas las versiones hasta la 2.11.1 incluyéndola están afectadas. Es posible que los usuarios tengan que aplicar el parche manualmente
Vulnerabilidad en un mensaje SOAP en la serie bizhub de KONICA MINOLTA (CVE-2021-20868)
Gravedad:
BajaBaja
Publication date: 04/01/2022
Last modified:
21/01/2022
Descripción:
Una vulnerabilidad de autorización incorrecta en la serie bizhub de KONICA MINOLTA (bizhub versiones C750i G00-35 y anteriores, bizhub versiones C650i/C550i/C450i G00-B6 y anteriores, bizhub versiones C360i/C300i/C250i G00-B6 y anteriores, bizhub versiones 750i/650i/550i/450i G00-37 y anteriores, bizhub versiones 360i/300i G00-33 y anteriores, bizhub versiones C287i/C257i/C227i G00-19 y anteriores, bizhub versiones 306i/266i/246i/226i G00-B6 y anteriores, bizhub versiones C759/C659 GC7-X8 y anteriores, bizhub versiones C658/C558/C458 GC7-X8 y anteriores, bizhub versiones 958/808/758 GC7-X8 y anteriores, bizhub versiones 658e/558e/458e GC7-X8 y anteriores, bizhub versiones C287/C227 GC7-X8 y anteriores, bizhub versiones 287/227 GC7-X8 y anteriores, bizhub versiones 368e/308e GC7-X8 y anteriores, bizhub versiones C368/C308/C258 GC9-X4 y anteriores, bizhub versiones 558/458/368/308 GC9-X4 y anteriores, bizhub versiones C754e/C654e GDQ-M0 y anteriores, bizhub versiones 754e/654e GDQ-M0 y anteriores, bizhub versiones C554e/C454e GDQ-M1 y anteriores, bizhub versiones C364e/C284e/C224e GDQ-M1 y anteriores, bizhub versiones 554e/454e/364e/284e/224e GDQ-M1 y anteriores, bizhub versiones C754/C654 C554/C454 GR1-M0 y anteriores, bizhub versiones C364/C284/C224 GR1-M0 y anteriores, bizhub versiones 754/654 GR1-M0 y anteriores, bizhub versiones C4050i/C3350i/C4000i/C3300i G00-B6 y anteriores, bizhub versiones C3320i G00-B6 y anteriores, bizhub versiones 4750i/4050i G00-22 y anteriores, bizhub versiones 4700i G00-22 y anteriores, bizhub versiones C3851FS/C3851/C3351 GC9-X4 y anteriores, y bizhub versiones 4752/4052 GC9-X4 y anteriores) permite a un atacante en la red adyacente obtener credenciales de usuario si la autenticación del servidor externo está habilitada por medio de un mensaje SOAP específico enviado por un usuario administrativo
Vulnerabilidad en el Smartphone (CVE-2021-37121)
Gravedad:
AltaAlta
Publication date: 03/01/2022
Last modified:
12/07/2022
Descripción:
Se presenta un defecto de Configuración en el Smartphone. Una explotación con éxito de esta vulnerabilidad puede elevar el permiso MEID (IMEI)
Vulnerabilidad en el componente del sistema de archivos en el Smartphone (CVE-2021-37113)
Gravedad:
MediaMedia
Publication date: 03/01/2022
Last modified:
12/07/2022
Descripción:
Se presenta una vulnerabilidad de escalada de Privilegios con el componente del sistema de archivos en el Smartphone. Una explotación con éxito de esta vulnerabilidad puede afectar la confidencialidad del servicio