Vulnerabilidades

Shopware es una plataforma de comercio electrónico de código abierto. Un potencial secuestro de la sesión de los clientes de la tienda en versiones inferiores a 6.3.5.2. Recomendamos actualizar a versión actual 6.3.5.2. Puede obtener la actualización a 6.3.5.2 regularmente por medio del Auto-Updater o directamente por medio del resumen de descargas. Para las versiones anteriores de 6.1 y 6.2, también están disponibles las medidas de seguridad correspondientes por medio de un plugin. Para disfrutar de todas las funciones, recomendamos actualizar a la última versión de Shopware

Shopware es una plataforma de comercio electrónico de código abierto. Las versiones anteriores a 6.3.5.1 pueden filtrar información por medio de Store-API. La vulnerabilidad sólo ha podido ser corregido al cambiar el sistema de la API, lo que implica un cambio no compatible con la versión anterior. Sólo los consumidores de la Store-API deberían verse afectados por este cambio. Recomendamos actualizar a versión actual 6.3.5.1. Puede obtener la actualización a versión 6.3.5.1 de forma regular por medio del Auto-Updater o directamente por medio de la visualización general de descargas. https://www.shopware.com/en/download/#shopware-6 La vulnerabilidad sólo podría ser corregida al cambiar el sistema de la API, lo que implica un cambio no compatible con versiones anteriores. Sólo los consumidores de la Store-API deberían verse afectados por este cambio. Por favor, compruebe sus plugins si los demas presentan los casos de uso. Encontrará información técnica detallada en la información sobre la actualización. https://github.com/shopware/platform/blob/v6.3.5.1/UPGRADE-6.3.md#6351 ### Soluciones Para las versiones anteriores de 6.1 y 6.2, las medidas de seguridad correspondientes también están disponibles por medio de un plugin. Para disfrutar de todas las funciones, recomendamos actualizar a la última versión de Shopware. https://store.shopware.com/en/detail/index/sArticle/518463/number/Swag136939272659 ### Para más información https://docs.shopware.com/en/shopware-6-en/security-updates/security-update-02-2021

Se detectó un problema en la función addMeByRC en la implementación de smart contract para RC, un token de Ethereum, que permite a atacantes transferir una cantidad arbitraria de tokens a una dirección arbitraria

Se encontró un problema en el cliente de Evernote para Windows versiones 10, 7 y 2008 en el manejador de protocolo. Esto permite a atacantes una ejecución de comandos arbitrarios si el usuario hace clic en una URL especialmente diseñada. También se conoce como: WINNOTE-19941

Una vulnerabilidad de desbordamiento de enteros en la función payable de una implementación de contrato inteligente para un token de Ethereum, como es demostrado por el contrato inteligente implementado en la dirección 0xB49E984A83d7A638E7F2889fc8328952BA951Abe, una implementación para MillionCoin (MON)

Se encontró un fallo en djvulibre versiones 3.5.28 y anteriores. Un desbordamiento de pila en la función DJVU::DjVuDocument::get_djvu_file() por medio de un archivo djvu diseñado puede conllevar al bloqueo de la aplicación y otras consecuencias

Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Roundcube Mail versiones anteriores a 1.4.4 incluyéndola, por medio del parámetro smtp config en el archivo /installer/test.php

Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Roundcube mail versión .4.4 por medio de la base de datos del host y del usuario en el archivo /installer/test.php

Se encontró un fallo en djvulibre versiones 3.5.28 y reducciones anteriores. Una lectura fuera de límites en la función DJVU::DataPool::has_data() por medio de un archivo djvu diseñado puede conllevar al bloqueo de la aplicación y otras consecuencias

IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) versión 11.5, podría permitir a un usuario local acceder y cambiar la configuración de Db2 debido a una condición de carrera de un enlace simbólico,. IBM X-Force ID: 190909

IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 11.5, podría permitir a un usuario autentificado sobrescribir archivos arbitrarios debido a permisos de grupo inapropiados. IBM X-Force ID: 191945

IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) versiones 9.7, 10.1, 10.5, 11.1 y 11.5, en circunstancias específicas de caída de una tabla mientras se accede a ella en otra sesión, podría permitir a un usuario autenticado causar una denegación de servicio. IBM X-Force ID: 203031