Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Virtual Machine IDE Drive de Microsoft (CVE-2022-21833)
Gravedad:
AltaAlta
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios de Virtual Machine IDE Drive
Vulnerabilidad en Windows User-mode Driver de Microsoft (CVE-2022-21834)
Gravedad:
AltaAlta
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows User-mode Driver
Vulnerabilidad en Microsoft Cryptographic Services (CVE-2022-21835)
Gravedad:
AltaAlta
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Microsoft Cryptographic Services
Vulnerabilidad en Windows Certificate de Microsoft (CVE-2022-21836)
Gravedad:
AltaAlta
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de Suplantación de Windows Certificate
Vulnerabilidad en Microsoft SharePoint Server (CVE-2022-21837)
Gravedad:
AltaAlta
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Microsoft SharePoint Server
Vulnerabilidad en Windows Cleanup Manager de Microsoft (CVE-2022-21838)
Gravedad:
AltaAlta
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Cleanup Manager
Vulnerabilidad en Windows Event Tracing de Microsoft (CVE-2022-21839)
Gravedad:
BajaBaja
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Una vulnerabilidad de Denegación de Servicio en la Lista de Control de Acceso Discrecional de Windows Event Tracing
Vulnerabilidad en el componente web de COMOS (CVE-2021-37198)
Gravedad:
MediaMedia
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Se ha identificado una vulnerabilidad en COMOS (Todas las versiones anteriores a V10.4.1). El componente web de COMOS usa una implementación defectuosa de la prevención de CSRF. Un atacante podría aprovechar esta vulnerabilidad para llevar a cabo ataques de tipo Cross-Site-Request-Forgery
Vulnerabilidad en el componente COMOS Web de COMOS (CVE-2021-37195)
Gravedad:
MediaMedia
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Se ha identificado una vulnerabilidad en COMOS (Todas las versiones anteriores a V10.4.1). El componente COMOS Web de COMOS acepta código arbitrario como adjunto a las tareas. Esto podría permitir a un atacante inyectar código malicioso que es ejecutado cuando es cargado el archivo adjunto
Vulnerabilidad en el componente COMOS Web de COMOS (CVE-2021-37196)
Gravedad:
MediaMedia
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Se ha identificado una vulnerabilidad en COMOS (Todas las versiones anteriores a V10.4.1). El componente COMOS Web de COMOS desempaqueta archivos comprimidos especialmente diseñados en rutas relativas. Esta vulnerabilidad podría permitir a un atacante almacenar archivos en cualquier carpeta accesible por el servicio web de COMOS
Vulnerabilidad en el componente COMOS Web de COMOS (CVE-2021-37197)
Gravedad:
MediaMedia
Publication date: 11/01/2022
Last modified:
13/01/2022
Descripción:
Se ha identificado una vulnerabilidad en COMOS (Todas las versiones anteriores a V10.4.1). El componente COMOS Web de COMOS es vulnerable a las inyecciones SQL. Esto podría permitir a un atacante ejecutar sentencias SQL arbitrarias
Vulnerabilidad en vim (CVE-2022-0156)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
23/01/2022
Descripción:
vim es vulnerable a un Uso de Memoria Previamente Liberada
Vulnerabilidad en vim (CVE-2022-0158)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
23/01/2022
Descripción:
vim es vulnerable a un Desbordamiento del Búfer en la región Heap de la Memoria
Vulnerabilidad en el archivo regexp.c en la función vim_regexec_multi en Vim (CVE-2021-46059)
Gravedad:
Sin asignarSin asignar
Publication date: 10/01/2022
Last modified:
15/01/2022
Descripción:
Se presenta una vulnerabilidad de Desreferencia de Puntero en Vim 8.2.3883 a través de la función vim_regexec_multi en el archivo regexp.c, que causa una denegación de servicio
Vulnerabilidad en el archivo commands.c en la función setcmd en GNU inetutils (CVE-2021-46060)
Gravedad:
Sin asignarSin asignar
Publication date: 10/01/2022
Last modified:
15/01/2022
Descripción:
Se presenta una vulnerabilidad de Desreferencia de Puntero NULL en GNU inetutils versión 2.2, por medio de la función setcmd en el archivo commands.c, que causa una denegación de servicio
Vulnerabilidad en el módulo de Informes en Zoho ManageEngine Desktop Central (CVE-2021-46164)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Zoho ManageEngine Desktop Central versiones anteriores a 10.0.662, permite una ejecución de código remota por parte de un usuario autenticado que tenga acceso completo al módulo de Informes
Vulnerabilidad en Zoho ManageEngine Desktop Central (CVE-2021-46165)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
13/01/2022
Descripción:
Zoho ManageEngine Desktop Central versiones anteriores a 10.0.662, durante el inicio, lanza un archivo ejecutable desde los archivos por lotes, pero la ruta de este archivo podría no estar correctamente definida

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la pantalla de inicio de sesión de la web de Serv-U (CVE-2021-35247)
Gravedad:
MediaMedia
Publication date: 10/01/2022
Last modified:
19/01/2022
Descripción:
La pantalla de inicio de sesión web de Serv-U para la autenticación LDAP permitía caracteres que no estaban suficientemente desinfectados. SolarWinds ha actualizado el mecanismo de entrada para realizar una validación y sanitización adicionales. Nota: No se ha detectado ninguna afectación posterior ya que los servidores LDAP ignoraban los caracteres inadecuados
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2021-45608)
Gravedad:
AltaAlta
Publication date: 25/12/2021
Last modified:
12/01/2022
Descripción:
Algunos dispositivos de D-Link, Edimax, NETGEAR, TP-Link, Tenda y Western Digital están afectados por un desbordamiento de enteros por parte de un atacante no autenticado. No se puede descartar la ejecución remota de código desde la interfaz WAN (puerto TCP 20005); sin embargo, se ha considerado que la posibilidad de aprovechamiento es "bastante compleja" pero no "imposible". El desbordamiento se encuentra en SoftwareBus_dispatchNormalEPMsgOut en el módulo del kernel KCodes NetUSB. Los dispositivos NETGEAR afectados son el D7800 antes de la versión 1.0.1.68, el R6400v2 antes de la versión 1.0.4.122 y el R6700v3 antes de la versión 1.0.4.122
Vulnerabilidad en las funcionalidades JNDI en la configuración, los mensajes de registro y los parámetros de Apache Log4j2 (CVE-2021-44228)
Gravedad:
AltaAlta
Publication date: 10/12/2021
Last modified:
24/01/2022
Descripción:
Las características JNDI de Apache Log4j2 2.0-beta9 hasta 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1) utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por un atacante y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está habilitada. A partir de la versión 2.15.0 de log4j, este comportamiento ha sido deshabilitado por defecto. A partir de la versión 2.16.0 (junto con las versiones 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se ha eliminado por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services
Vulnerabilidad en los paquetes TCP con una opción SACK en diversos dispositivos APOGEE, Capital, Nucleus y TALON (CVE-2021-31889)
Gravedad:
MediaMedia
Publication date: 09/11/2021
Last modified:
11/01/2022
Descripción:
Se ha identificado una vulnerabilidad en APOGEE MBC (PPC) (BACnet) (Todas las versiones), APOGEE MBC (PPC) (P2 Ethernet) (Todas las versiones), APOGEE MEC (PPC) (BACnet) (Todas las versiones), APOGEE MEC (PPC) (P2 Ethernet) (Todas las versiones), APOGEE PXC Compact (BACnet) (Todas las versiones), APOGEE PXC Compact (P2 Ethernet) (Todas las versiones), APOGEE PXC Modular (BACnet) (Todas las versiones), APOGEE PXC Modular (P2 Ethernet) (Todas las versiones), Capital VSTAR (Todas las versiones con opciones Ethernet habilitadas), Desigo PXC00-E. D (Todas las versiones posteriores o iguales a V2.3), Desigo PXC00-U (Todas las versiones posteriores o iguales a V2.3), Desigo PXC001-E.D (Todas las versiones posteriores o iguales a V2.3), Desigo PXC100-E.D (Todas las versiones posteriores o iguales a V2.3), Desigo PXC12-E.D (Todas las versiones posteriores o iguales a V2. 3), Desigo PXC128-U (Todas las versiones posteriores o iguales a la V2.3), Desigo PXC200-E.D (Todas las versiones posteriores o iguales a la V2.3), Desigo PXC22-E.D (Todas las versiones posteriores o iguales a la V2. 3), Desigo PXC22.1-E.D (Todas las versiones posteriores o iguales a la V2. 3), Desigo PXC36.1-E.D (Todas las versiones hasta o igual a V2.3), Desigo PXC50-E.D (Todas las versiones hasta o igual a V2. 3), Desigo PXC64-U (Todas las versiones mayores o iguales a V2.3), Desigo PXM20-E (Todas las versiones mayores o iguales a V2. 3), Nucleus NET (Todas las versiones), Nucleus ReadyStart V3 (Todas las versiones anteriores a V2017.02.4), Nucleus Source Code (Todas las versiones), PLUSCONTROL 1st Gen (Todas las versiones), TALON TC Compact (BACnet) (Todas las versiones), TALON TC Modular (BACnet) (Todas las versiones). Los paquetes TCP malformados con una opción SACK corrupta provocan fugas de información y condiciones de denegación de servicio. (FSMD-2021-0015)