Vulnerabilidades

Una vulnerabilidad de lectura fuera de los límites en las versiones 10.97.1 y anteriores de ICONICS GENESIS64 y en las versiones 4.04E (10.95.210.01) y anteriores de Mitsubishi Electric MC Works64 permite a un atacante remoto no autenticado divulgar información en la memoria o causar una condición de denegación de servicio (DoS) mediante el envío de paquetes especialmente diseñados al servidor GENESIS64

Una vulnerabilidad de Deserialización de Datos No Confiables en ICONICS GENESIS64 versiones 10.97.1 y anteriores y Mitsubishi Electric MC Works64 versiones 4.04E (10.95.210.01) y anteriores permite a un atacante no autenticado ejecutar un código malicioso arbitrario al conllevar a un usuario a cargar un archivo de configuración de proyecto que incluye códigos XML maliciosos

El servidor web principal del rastreador GPS MiCODUS versión MV720 presenta una vulnerabilidad de referencias directas a objetos inseguros autenticados en el endpoint y en el parámetro "device ID", que acepta ID de dispositivos arbitrarios sin más verificación

El servidor web principal del rastreador GPS MiCODUS versión MV720 presenta una vulnerabilidad de referencias directas a objetos inseguros autenticados en el endpoint y en el parámetro POST "Device ID", que acepta ID de dispositivos arbitrarios

El servidor web principal del rastreador GPS MiCODUS versión MV720, presenta una vulnerabilidad de tipo cross-site scripting reflejado que podría permitir a un atacante obtener el control al engañar a un usuario para que realice una petición

El encabezado X-Frame-Options en Rockwell Automation MicroLogix 1100/1400 Versiones 21.007 y anteriores, no está configurado en la respuesta HTTP, lo que podría permitir ataques de clickjacking

El servidor API del rastreador GPS MiCODUS versión MV720, presenta un mecanismo de autenticación que permite a dispositivos usar una contraseña maestra embebida. Esto puede permitir a un atacante enviar comandos SMS directamente al rastreador GPS como si vinieran del número de móvil del propietario del GPS

Anchorectl versión 0.1.4, almacena inapropiadamente las credenciales cuando genera una lista de materiales de software. anchorectl añadirá las credenciales usadas para acceder a la API de Anchore Enterprise en la lista de materiales de software (SBOM) generada por anchorectl. Los usuarios de anchorectl versión 0.1.4, deben actualizar a anchorectl versión 0.1.5 para resolver este problema

El producto afectado puede permitir a un atacante con acceso a la configuración web de Ignition ejecutar código arbitrario

Los comandos GPS basados en SMS pueden ser ejecutados por el rastreador GPS MiCODUS versión MV720 sin autenticación

Una vulnerabilidad de Comprobación Inapropiada de Condiciones Inusuales o Excepcionales en el Motor de Reenvío de Paquetes (PFE) del Sistema Operativo Junos de Juniper Networks permite a un atacante adyacente no autenticado causar una Denegación de Servicio (DoS). El problema es causado por los paquetes MLD malformados que entran en bucle en un identificador de segmento Ethernet (ESI) con varios hogares cuando es configurado VXLAN. Estos paquetes MLD recibidos en un ESI multi-homed son enviados al peer, y luego son reenviados incorrectamente fuera del mismo ESI, violando la regla de horizonte dividido. Este problema sólo afecta a switches de la serie QFX10K, incluidos los QFX10002, QFX10008 y QFX10016. Otros productos y plataformas no están afectados por esta vulnerabilidad. Este problema afecta al Sistema Operativo Junos de Juniper Networks en la serie QFX10K: Todas las versiones anteriores a 19.1R3-S9; las versiones 19.2 anteriores a 19.2R1-S9, 19.2R3-S5; las versiones 19.3 anteriores a 19.3R3-S6; las versiones 19.4 anteriores a 19.4R2-S, 19.4R3-S8; las versiones 20.1 anteriores a 20.1R3-S4; las versiones 20. 2 versiones anteriores a 20.2R3-S4; 20.3 versiones anteriores a 20.3R3-S2; 20.4 versiones anteriores a 20.4R3-S2; 21.1 versiones anteriores a 21.1R3; 21.2 versiones anteriores a 21.2R2-S1, 21.2R3; 21.3 versiones anteriores a 21.3R2

Una vulnerabilidad de Exposición de Información Confidencial a un Actor no Autorizado en el PFE del Sistema Operativo Junos de Juniper Networks en las series PTX y QFX10k permite a un atacante adyacente no autenticado acceder a información confidencial. Los dispositivos de las series PTX1000 y PTX10000, y de las series QFX10000 y PTX5000 a veces no acolchan de forma fiable los paquetes Ethernet, por lo que algunos paquetes pueden contener fragmentos de memoria del sistema o datos de paquetes anteriores. Este problema también es conocido como "Etherleak" y suele detectarse como CVE-2003-0001. Este problema afecta a: Juniper Networks Junos OS en las series PTX1000 y PTX10000: Todas las versiones anteriores a 18.4R3-S11; las versiones 19.1 anteriores a 19.1R2-S3, 19.1R3-S7; las versiones 19.2 anteriores a 19.2R1-S8, 19.2R3-S4; las versiones 19.3 anteriores a 19.3R3-S4; las versiones 19.4 anteriores a 19.4R2-S5, 19.4R3-S6; las versiones 20. 1 versiones anteriores a 20.1R3-S2; 20.2 versiones anteriores a 20.2R3-S3; 20.3 versiones anteriores a 20.3R3-S2; 20.4 versiones anteriores a 20.4R3-S4; 21.1 versiones anteriores a 21.1R2-S1, 21.1R3; 21.2 versiones anteriores a 21.2R1-S1, 21.2R2. Juniper Networks Junos OS en las series QFX10000 y PTX5000: Todas las versiones anteriores a 18.3R3-S6; 18.4 versiones anteriores a 18.4R2-S9, 18.4R3-S10; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S4; 19.3 versiones anteriores a 19.3R3-S4; 19.4 versiones anteriores a 19. 4R2-S6, 19.4R3-S6; 20.1 versiones anteriores a 20.1R3-S2; 20.2 versiones anteriores a 20.2R3-S3; 20.3 versiones anteriores a 20.3R3-S1; 20.4 versiones anteriores a 20.4R3-S1; 21.1 versiones anteriores a 21.1R2-S1, 21.1R3; 21.2 versiones anteriores a 21.2R2