Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en IBM Cloud Pak for Automation (CVE-2021-38966)
Gravedad:
LowLow
Fecha publicación : 12/21/2021
Última modificación:
12/23/2021
Descripción:
IBM Cloud Pak for Automation versión 21.0.2, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 212357
Vulnerabilidad en Microsoft BizTalk ESB Toolkit (CVE-2021-43892)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Microsoft BizTalk ESB Toolkit
Vulnerabilidad en Microsoft Office Trust Center (CVE-2021-43255)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Microsoft Office Trust Center
Vulnerabilidad en Microsoft Excel (CVE-2021-43256)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Microsoft Excel
Vulnerabilidad en Windows Mobile Device Management de Microsoft (CVE-2021-43880)
Gravedad:
LowLow
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Mobile Device Management
Vulnerabilidad en Microsoft Office Graphics (CVE-2021-43875)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Microsoft Office Graphics
Vulnerabilidad en ASP.NET Core y Visual Studio de Microsoft (CVE-2021-43877)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios en ASP.NET Core y Visual Studio
Vulnerabilidad en Microsoft PowerShell (CVE-2021-43896)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Microsoft PowerShell
Vulnerabilidad en Microsoft 4K Wireless Display Adapter (CVE-2021-43899)
Gravedad:
HighHigh
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Microsoft 4K Wireless Display Adapter
Vulnerabilidad en Microsoft Office app (CVE-2021-43905)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Microsoft Office app
Vulnerabilidad en Microsoft Defender for IoT (CVE-2021-43889)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Defender de IoT. Este ID de CVE es diferente de CVE-2021-41365, CVE-2021-42310, CVE-2021-42311, CVE-2021-42313, CVE-2021-42314, CVE-2021-42315, CVE-2021-43882
Vulnerabilidad en Microsoft Defender for IoT (CVE-2021-43888)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Divulgación de Información de Microsoft Defender for IoT
Vulnerabilidad en Visual Studio de Microsoft (CVE-2021-43891)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota en Visual Studio
Vulnerabilidad en Windows AppX Installer de Microsoft (CVE-2021-43890)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
01/01/2022
Descripción:
Una vulnerabilidad de Suplantación de Identidad de Windows AppX Installer
Vulnerabilidad en Microsoft Defender for IoT (CVE-2021-43882)
Gravedad:
HighHigh
Fecha publicación : 12/15/2021
Última modificación:
04/04/2022
Descripción:
Una vulnerabilidad de Ejecución de Código Remota de Microsoft Defender for IoT. Este ID de CVE es diferente de CVE-2021-41365, CVE-2021-42310, CVE-2021-42311, CVE-2021-42313, CVE-2021-42314, CVE-2021-42315, CVE-2021-43889

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Windows TCP/IP Driver de Microsoft (CVE-2021-43247)
Gravedad:
HighHigh
Fecha publicación : 12/15/2021
Última modificación:
05/23/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios de Windows TCP/IP Driver
Vulnerabilidad en Windows Encrypting File System (EFS) de Microsoft (CVE-2021-43893)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
05/23/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Encrypting File System (EFS)
Vulnerabilidad en Windows Digital Media Receiver de Microsoft (CVE-2021-43248)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
05/23/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios en Windows Digital Media Receiver
Vulnerabilidad en Windows Installer de Microsoft (CVE-2021-43883)
Gravedad:
Medium Medium
Fecha publicación : 12/15/2021
Última modificación:
05/23/2022
Descripción:
Una vulnerabilidad de Elevación de Privilegios de Windows Installer
Vulnerabilidad en X509_verify_cert() en libssl en OpenSSL (CVE-2021-4044)
Gravedad:
Medium Medium
Fecha publicación : 12/14/2021
Última modificación:
02/10/2022
Descripción:
Internamente libssl en OpenSSL llama a X509_verify_cert() en el lado del cliente para verificar un certificado suministrado por un servidor. Esta función puede devolver un valor negativo para indicar un error interno (por ejemplo, falta de memoria). Tal valor de retorno negativo es mal manejado por OpenSSL y causará que una función IO (como SSL_connect() o SSL_do_handshake()) no indique el éxito y una llamada posterior a SSL_get_error() devuelva el valor SSL_ERROR_WANT_RETRY_VERIFY. Este valor de retorno sólo debe ser devuelto por OpenSSL si la aplicación ha llamado previamente a SSL_CTX_set_cert_verify_callback(). Como la mayoría de las aplicaciones no hacen esto, el valor de retorno SSL_ERROR_WANT_RETRY_VERIFY de SSL_get_error() será totalmente inesperado y las aplicaciones pueden no comportarse correctamente como resultado. El comportamiento exacto dependerá de la aplicación, pero podría resultar en bloqueos, bucles infinitos u otras respuestas incorrectas similares. Este problema se agrava en combinación con otro fallo en OpenSSL versión 3.0 que hará que X509_verify_cert() indique un error interno cuando procesa una cadena de certificados. Esto ocurrirá cuando un certificado no incluya la extensión de nombre alternativo del sujeto pero cuando una autoridad de certificación haya aplicado restricciones de nombre. Este problema puede producirse incluso con cadenas válidas. Combinando los dos problemas, un atacante podría inducir un comportamiento incorrecto y dependiente de la aplicación. Corregido en OpenSSL versión 3.0.1 (Afectado 3.0.0)