Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro filename de /netact/sct en Nokia NetAct 18A (CVE-2021-26596)
Gravedad:
LowLow
Fecha publicación : 03/25/2021
Última modificación:
04/01/2021
Descripción:
Se detectó un problema en Nokia NetAct 18A. Un usuario malicioso puede cambiar el nombre de un archivo cargado para incluir código JavaScript, que luego es almacenado y ejecutado en el navegador web de la víctima. El mecanismo más común para entregar contenido malicioso es incluirlo como parámetro en una URL que es publicado públicamente o es enviado por correo electrónico directamente a las víctimas. Aquí, es usado el parámetro filename de /netact/sct
Vulnerabilidad en el parámetro dir de /netact/sct en Nokia NetAct 18A (CVE-2021-26597)
Gravedad:
Medium Medium
Fecha publicación : 03/25/2021
Última modificación:
04/01/2021
Descripción:
Se detectó un problema en Nokia NetAct 18A. Un usuario remoto, autenticado en la página web de NOKIA NetAct, puede visitar la sección del sitio web de la Site Configuration Tool y cargar arbitrariamente archivos potencialmente peligrosos sin restricciones por medio del parámetro dir de /netact/sct junto con el valor operation=upload
Vulnerabilidad en un PendingIntent en Slow Motion Editor (CVE-2021-25349)
Gravedad:
Medium Medium
Fecha publicación : 03/25/2021
Última modificación:
04/01/2021
Descripción:
Usar un PendingIntent no seguro en Slow Motion Editor versiones anteriores a 3.5.18.5, permite a atacantes locales llevar a cabo acciones no autorizadas sin permiso por medio del secuestro de PendingIntent
Vulnerabilidad en un PendingIntent vacío en Galaxy Themes (CVE-2021-25353)
Gravedad:
LowLow
Fecha publicación : 03/25/2021
Última modificación:
04/01/2021
Descripción:
Usar un PendingIntent vacío en Galaxy Themes versiones anteriores a 5.2.00.1215, permite a atacantes locales leer y escribir directorios de archivos privados de la aplicación Galaxy Themes sin permiso por medio del secuestro de PendingIntent
Vulnerabilidad en el envío de un comando en diversos modelos de dispositivos multifunción e impresoras Fuji Xerox (CVE-2021-20679)
Gravedad:
HighHigh
Fecha publicación : 03/25/2021
Última modificación:
04/01/2021
Descripción:
Dispositivos multifunción e impresoras Fuji Xerox (DocuCentre-VII C7773/C6673/C5573/C4473/C3373/C3372/C2273, DocuCentre-VII C7788/C6688/C5588, ApeosPort-VII C7773/C6673/C5573/C4473/C3373/C3372 C2273, ApeosPort-VII C7788/C6688/C5588, ApeosPort C7070/C6570/C5570/C4570/C3570/C3070/C7070G/C6570G/C5570G/C4570G/C3570G/C3070G, ApeosPort-VII C4421/C3321, ApeosPort C3060/C2560/C2060/C3060G/C2560G/C2060G, ApeosPort-VII CP4421, ApeosPort Print C5570, ApeosPort 5570/4570/5570G/4570G, ApeosPort 3560/3060/2560/3560G/3060G/2560G, ApeosPort-VII 5021/ 4021, ApeosPort-VII P5021, DocuPrint CP 555 d/505 d, DocuPrint P505 d, PrimeLink C9065/C9070, DocuPrint CP475AP, and DocuPrint P475AP), permiten a un atacante causar una condición de denegación de servicio (DoS) y una finalización anormal (ABEND) de los productos afectados por medio del envío de un comando especialmente diseñado
Vulnerabilidad en los componentes Rendezvous Routing Daemon (rvrd), Rendezvous Secure Routing Daemon (rvrsd), Rendezvous Secure Daemon (rvsd), Rendezvous Cache (rvcache), Rendezvous Secure C API, Rendezvous Java API y Rendezvous .Net API de TIBCO Software Inc (CVE-2021-28818)
Gravedad:
Medium Medium
Fecha publicación : 03/23/2021
Última modificación:
04/01/2021
Descripción:
Los componentes Rendezvous Routing Daemon (rvrd), Rendezvous Secure Routing Daemon (rvrsd), Rendezvous Secure Daemon (rvsd), Rendezvous Cache (rvcache), Rendezvous Secure C API, Rendezvous Java API y Rendezvous .Net API de TIBCO Software Inc. TIBCO Rendezvous y TIBCO Rendezvous Developer Edition contienen una vulnerabilidad que teóricamente permite que un atacante poco privilegiado y con acceso local en el sistema operativo Windows inserte software malicioso. Se puede abusar del componente afectado para ejecutar el software malicioso insertado por el atacante con los privilegios elevados del componente. Esta vulnerabilidad es debido a que el componente afectado busca artefactos en tiempo de ejecución fuera de la jerarquía de instalación. Las versiones afectadas son TIBCO Rendezvous de TIBCO Software Inc.: versiones 8.5.1 y por debajo
Vulnerabilidad en el archivo libdiscover/backends/KNSBackend/KNSResource.cpp en KDE Discover (CVE-2021-28117)
Gravedad:
Medium Medium
Fecha publicación : 03/20/2021
Última modificación:
04/01/2021
Descripción:
El archivo libdiscover/backends/KNSBackend/KNSResource.cpp en KDE Discover versiones anteriores a 5.21.3 crea automáticamente enlaces hacia URL potencialmente peligrosas (que no son ni https:// ni http://) basados ??en el contenido del sitio web store.kde.org . (5.18.7 también es una versión corregida)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en SAP UI5 (CVE-2021-21476)
Gravedad:
Medium Medium
Fecha publicación : 02/09/2021
Última modificación:
04/01/2021
Descripción:
SAP UI5, versiones anteriores a: 1.38.49, 1.52.49, 1.60.34, 1.71.31, 1.78.18, 1.84.5, 1.85.4, 1.86.1, permite a un atacante no autenticado redireccionar a usuarios a un sitio malicioso debido a vulnerabilidades de tipo Tabnabbing Inverso
Vulnerabilidad en el atributo filename en un encabezado "Content-Disposition" en Spring Framework (CVE-2020-5398)
Gravedad:
HighHigh
Fecha publicación : 01/16/2020
Última modificación:
10/20/2021
Descripción:
En Spring Framework, versiones 5.2.x anteriores a 5.2.3, versiones 5.1.x anteriores a 5.1.13 y versiones 5.0.x anteriores a 5.0.16, una aplicación es vulnerable a un ataque de tipo reflected file download (RFD) cuando se establece un encabezado "Content-Disposition" en la respuesta donde el atributo filename es derivado de la entrada suministrada por el usuario.
Vulnerabilidad en AutoTrace (CVE-2017-8927)
Gravedad:
Medium Medium
Fecha publicación : 05/15/2017
Última modificación:
04/01/2021
Descripción:
Un desbordamiento de búfer en Larson VizEx Reader 9.7.5 permite a los atacantes provocar una denegación de servicio (DoS) o posiblemente causar otro impacto mediante un archivo .tif manipulado.
Vulnerabilidad en Sushiro App, Sushiro App (CVE-2016-4830)
Gravedad:
Medium Medium
Fecha publicación : 04/21/2017
Última modificación:
04/01/2021
Descripción:
Sushiro App para iOS 2.1.16 y las versiones anteriores y Sushiro App para Android 2.1.16.1 y versiones anteriores no verifican certificados SSL.
Vulnerabilidad en public/rolechangeadmin en Faveo (CVE-2017-7571)
Gravedad:
Medium Medium
Fecha publicación : 04/06/2017
Última modificación:
04/01/2021
Descripción:
public/rolechangeadmin en Faveo 1.9.3 permite CSRF. El impacto es la obtención de privilegios del administrador.
Vulnerabilidad en listener collector.exe de Landesk Management Suite (CVE-2016-3147)
Gravedad:
HighHigh
Fecha publicación : 01/23/2017
Última modificación:
04/01/2021
Descripción:
Desbordamiento de búfer en el listener collector.exe de Landesk Management Suite 10.0.0.271 y versiones anteriores permite a atacantes remotos provocar una denegación de servicio y posiblemente ejecutar código arbitrario a través de un paquete grande.
CVE-2007-2768
Gravedad:
Medium Medium
Fecha publicación : 05/21/2007
Última modificación:
04/01/2021
Descripción:
OpenSSH, cuando utiliza OPIE(One-Time Passwords in Everything) para PAM, permiet a atacantes remotos determinar la existencia de ciertas cuentas de usuarios, lo cual muestra una respuesta diferente si la cuenta de usuario existe y si está configurada para utilizar one-time passwords (OTP), un asunto similar es el CVE-2007-2243.
CVE-2002-0184
Gravedad:
HighHigh
Fecha publicación : 05/16/2002
Última modificación:
04/01/2021
Descripción:
Desbordamiento del montón (heap) en sudo anteriores a 1.6.6 puede permitir a usuarios locales ganar privilegios de root mediante caractéres especiales en el argumento -p (prompt), que no son expandidos adecuadamente.