Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo conf/admin.password en Wowza Streaming Engine (CVE-2021-31539)
Gravedad:
LowLow
Fecha publicación : 04/23/2021
Última modificación:
05/05/2021
Descripción:
Wowza Streaming Engine versiones hasta 4.8.8.01 (en una instalación predeterminada) presenta contraseñas de texto sin cifrar almacenadas en el archivo conf/admin.password. Un usuario local habitual puede leer nombres de usuario y contraseñas
Vulnerabilidad en el flag X509_V_FLAG_X509_STRICT en OpenSSL (CVE-2021-3450)
Gravedad:
Medium Medium
Fecha publicación : 03/25/2021
Última modificación:
10/20/2021
Descripción:
El flag X509_V_FLAG_X509_STRICT permite llevar a cabo comprobaciones de seguridad adicionales de los certificados presentes en una cadena de certificados. No está establecido por defecto. A partir de la versión 1.1.1h de OpenSSL, se añadió como comprobación estricta adicional la de no permitir certificados en la cadena que tengan parámetros de curva elíptica codificados explícitamente. Un error en la implementación de esta comprobación significaba que el resultado de una comprobación previa para confirmar que los certificados de la cadena son certificados de CA válidos fueron sobrescritos. De este modo, se omite la comprobación de que los certificados que no son de CA no deben poder emitir otros certificados. Si se ha configurado un "purpose", se presenta la posibilidad de comprobar posteriormente que el certificado es una CA válida. Todos los valores de "purpose" implementados en libcrypto llevan a cabo esta comprobación. Por lo tanto, cuando se establece un propósito, la cadena de certificados seguirá siendo rechazada inclusive cuando se haya usado el flag strict. Se establece un propósito por defecto en las rutinas de verificación de certificados de cliente servidor de libssl, pero puede ser anulado o eliminado por una aplicación. Para que se vea afectada, una aplicación debe establecer explícitamente el flag de verificación X509_V_FLAG_X509_STRICT y no establecer un propósito para la verificación de certificados o, en el caso de las aplicaciones de cliente o servidor TLS, anular el propósito por defecto. Este problema afecta a las versiones 1.1.1h y posteriores de OpenSSL. Los usuarios de estas versiones deben actualizar a OpenSSL versión 1.1.1k. OpenSSL versión 1.0.2 no está afectado por este problema. Corregido en OpenSSL versión 1.1.1k (Afectadas versiones 1.1.1h-1.1.1j)
Vulnerabilidad en un archivo fuente de Standard ML (SML) en SMLLexer en Pygments (CVE-2021-20270)
Gravedad:
Medium Medium
Fecha publicación : 03/23/2021
Última modificación:
10/20/2021
Descripción:
Un bucle infinito en SMLLexer en Pygments versiones 1.5 hasta 2.7.3, puede conllevar a una denegación de servicio cuando se lleva a cabo el resaltado de sintaxis de un archivo fuente de Standard ML (SML), como es demostrado por la entrada que solo contiene la palabra clave "exception"
Vulnerabilidad en Microsoft Excel (CVE-2021-27054)
Gravedad:
Medium Medium
Fecha publicación : 03/11/2021
Última modificación:
05/05/2021
Descripción:
Una Vulnerabilidad de Ejecución de Código Remota de Microsoft Excel. Este ID de CVE es diferente de CVE-2021-27053
Vulnerabilidad en endpoints dentro de la red host del maestro en Kubernetes kube-controller-manager (CVE-2020-8555)
Gravedad:
LowLow
Fecha publicación : 06/05/2020
Última modificación:
05/04/2021
Descripción:
El Kubernetes kube-controller-manager en las versiones v1.0-1.14, versiones anteriores a v1.15.12, v1.16.9, v1.17.5 y v1.18.0, son vulnerables a un ataque de tipo Server Side Request Forgery (SSRF) que permite que determinados usuarios autorizados pierdan hasta 500 bytes de información arbitraria de endpoints desprotegidos dentro de la red host del maestro (tales como los servicios link-local o loopback)
Vulnerabilidad en el archivo logout.jsp en el parámetro timeOut en Fiserv Accurate Reconciliation (CVE-2020-8952)
Gravedad:
Medium Medium
Fecha publicación : 02/26/2020
Última modificación:
05/05/2021
Descripción:
Fiserv Accurate Reconciliation versión 2.19.0, corregido en 3.0.0 o superior, permite un ataque de tipo XSS mediante el parámetro timeOut del archivo logout.jsp
Vulnerabilidad en el campo Source o Destination de la página Configuration Manager en Fiserv Accurate Reconciliation (CVE-2020-8951)
Gravedad:
LowLow
Fecha publicación : 02/26/2020
Última modificación:
05/05/2021
Descripción:
Fiserv Accurate Reconciliation 2.19.0, corregido en 3.0.0 o superior, permite un ataque de tipo XSS por medio del campo Source o Destination de la página Configuration Manager (Configuration Parameter Translation)
Vulnerabilidad en el servlet OPMDeviceDetailsServlet en Zoho ManageEngine OpManager (CVE-2019-17602)
Gravedad:
HighHigh
Fecha publicación : 10/15/2019
Última modificación:
05/04/2021
Descripción:
Se detectó un problema en Zoho ManageEngine OpManager versiones anteriores a 12.4 build 124089. El servlet OPMDeviceDetailsServlet es propenso a la inyección SQL. Dependiendo de la configuración, esta vulnerabilidad podría ser explotada no autenticado o autenticado.
Vulnerabilidad en Zoho ManageEngine OpManager (CVE-2018-18716)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2018
Última modificación:
05/04/2021
Descripción:
Zoho ManageEngine OpManager 12.3 antes de la build 123219 tiene una vulnerabilidad Self Cross-Site Scripting (XSS).
Vulnerabilidad en Zoho ManageEngine OpManager (CVE-2018-18715)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2018
Última modificación:
05/04/2021
Descripción:
Zoho ManageEngine OpManager 12.3 antes de la build 123219 tiene Cross-Site Scripting (XSS) persistente.
Vulnerabilidad en Zoho ManageEngine OpManager (CVE-2018-18475)
Gravedad:
HighHigh
Fecha publicación : 10/23/2018
Última modificación:
05/04/2021
Descripción:
Zoho ManageEngine OpManager en versiones anteriores a la 12.3 build 123214 permite la subida de archivos arbitrarios sin restricción.
Vulnerabilidad en Zoho ManageEngine OpManager (CVE-2018-18262)
Gravedad:
Medium Medium
Fecha publicación : 10/17/2018
Última modificación:
05/04/2021
Descripción:
Zoho ManageEngine OpManager 12.3 antes de la build 123214 tiene Cross-Site Scripting (XSS).
Vulnerabilidad en la función receive_msg en Exim (CVE-2017-16944)
Gravedad:
Medium Medium
Fecha publicación : 11/25/2017
Última modificación:
05/04/2021
Descripción:
La función receive_msg en receive.c en el demonio SMTP en Exim 4.88 y 4.89 permite que atacantes remotos provoquen una denegación de servicio (bucle infinito y agotamiento de pila) mediante vectores relacionados con comandos BDAT y una comprobación infinita para un carácter "." que implique el fin del contexto. Esto se relaciona con la función bdat_getc.
Vulnerabilidad en la función receive_msg en Exim (CVE-2017-16943)
Gravedad:
HighHigh
Fecha publicación : 11/25/2017
Última modificación:
05/04/2021
Descripción:
La función receive_msg en receive.c en el demonio SMTP en Exim 4.88 y 4.89 permite que atacantes remotos ejecuten código arbitrario o provoquen una denegación de servicio (uso de memoria previamente liberada) mediante vectores relacionados con comandos BDAT.
Vulnerabilidad en la función __nss_hostname_digits_dots en glibc (CVE-2015-0235)
Gravedad:
HighHigh
Fecha publicación : 01/28/2015
Última modificación:
11/17/2021
Descripción:
Desbordamiento de buffer basado en memoria dinámica en la función __nss_hostname_digits_dots en glibc 2.2, y otras versiones 2.x anteriores a 2.18, permite a atacantes dependientes de contexto ejecutar código arbitrario a través de vectores relacionados con la funciín (1) gethostbyname o (2) gethostbyname2, también conocido como 'GHOST.'
Vulnerabilidad en la función dmarc_process en dmarc.c en Exim (CVE-2014-2957)
Gravedad:
Medium Medium
Fecha publicación : 09/04/2014
Última modificación:
05/04/2021
Descripción:
La función dmarc_process en dmarc.c en Exim anterior a 4.82.1, cuando EXPERIMENTAL_DMARC está habilitado, permite a atacantes remotos ejecutar código arbitrario a través de la cabecera Desde en un email, lo cual es pasado a la función expand_string.
Vulnerabilidad en string.c en Exim (CVE-2010-4344)
Gravedad:
HighHigh
Fecha publicación : 12/14/2010
Última modificación:
05/04/2021
Descripción:
Desbordamiento de búfer basado en montículo en la función string_vformat en string.c en Exim antes de v4.70 permite a atacantes remotos ejecutar código arbitrario a través de una sesión de SMTP que incluye dos comandos MAIL junto con un mensaje de gran tamaño que contiene cabeceras modificadas, lo que lleva a un registro impropio del rechazo.
Vulnerabilidad en Exim (CVE-2010-4345)
Gravedad:
Medium Medium
Fecha publicación : 12/14/2010
Última modificación:
05/04/2021
Descripción:
Exim v4.72 y anteriores permiten a usuarios locales ganar privilegios potenciando la habilidad especificar un archivo de cuenta de usuario con una configuración alternativa mediante una directiva que contenga comandos de su elección, como se demostró con la directiva spool_directory.