Vulnerabilidades

El cifrado DES, que tiene una potencia de cifrado inadecuada, se utiliza Hitachi Energy FOXMAN-UN para cifrar las credenciales de usuario utilizadas para acceder a los elementos de red. La explotación exitosa permite descifrar fácilmente la información confidencial. Este problema afecta a: <br /> * Productos FOXMAN-UN: FOXMAN-UN R16A, FOXMAN-UN R15B, FOXMAN-UN R15A, FOXMAN-UN R14B, FOXMAN-UN R14A, FOXMAN-UN R11B, FOXMAN-UN R11A, FOXMAN-UN R10C, FOXMAN -ONU R9C; <br /> * Productos UNEM: UNEM R16A, UNEM R15B, UNEM R15A, UNEM R14B, UNEM R14A, UNEM R11B, UNEM R11A, UNEM R10C, UNEM R9C.<br /> <br /> Lista de CPE: <br /> * cpe:2.3:a:hitachienergy:foxman-un:R16A:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:foxman-un:R15B:*:* :*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:foxman-un:R15A:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:foxman-un :R14B:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:foxman-un:R14A:*:*:*:*:*:*:* <br /> * cpe:2.3:a :hitachienergy:foxman-un:R11B:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:foxman-un:R11A:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:foxman-un:R10C:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:foxman-un:R9C:*:*:*:* :*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R16A:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R15B:*:*:* :*:*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R15A:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R14B:*:* :*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R14A:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R11B:* :*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R11A:*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R10C :*:*:*:*:*:*:* <br /> * cpe:2.3:a:hitachienergy:unem:R9C:*:*:*:*:*:*:*

En la implementación de DES, las versiones de producto afectadas utilizan una clave predeterminada para el cifrado. La explotación exitosa permite a un atacante obtener información confidencial y acceso a los elementos de red administrados por las versiones de los productos afectados. Este problema afecta a: <br /> * FOXMAN-UN: FOXMAN-UN R16A, FOXMAN-UN R15B, FOXMAN-UN R15A, FOXMAN-UN R14B, FOXMAN-UN R14A, FOXMAN-UN R11B, FOXMAN-UN R11A, FOXMAN-UN R10C, FOXMAN -ONU R9C;<br /> * UNEM: UNEM R16A, UNEM R15B, UNEM R15A, UNEM R14B, UNEM R14A, UNEM R11B, UNEM R11A, UNEM R10C, UNEM R9C.<br /> <br /> Lista de CPE:<br /> * cpe:2.3:a:hitachienergy:foxman-un:R16A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R15B:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R15A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R14B:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R14A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R11B:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R11A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R10C:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:foxman-un:R9C:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R16A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R15B:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R15A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R14B:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R14A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R11B:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R11A:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R10C:*:*:*:*:*:*:*<br /> * cpe:2.3:a:hitachienergy:unem:R9C:*:*:*:*:*:*:*

Se descubrió un problema en Siren Investigate antes de la versión 12.1.7. Hay una omisión de ACL en objetos globales.

Se descubrió un problema en Siren Investigate antes de la versión 12.1.7. La lista blanca de variables de script no está suficientemente protegida.

Discourse es una plataforma de discusión de fuentes de opciones. Antes de la versión 2.8.14 en la rama `stable` y la versión 3.0.0.beta16 en las ramas `beta` y `tests-passed`, las descripciones de etiquetas, que pueden ser actualizadas por los moderadores, se pueden usar ataques de cross-site scripting. Esta vulnerabilidad puede provocar un XSS completo en sitios que han modificado o deshabilitado la Política de seguridad de contenido predeterminada de Discourse. Las versiones 2.8.14 y 3.0.0.beta16 contienen un parche.

Se ha encontrado una vulnerabilidad en soshtolsus wing-tight y se ha clasificado como crítica. Una parte desconocida del archivo index.php afecta a esta vulnerabilidad. La manipulación del argumento p conduce a la inclusión del archivo. Es posible iniciar el ataque de forma remota. La actualización a la versión 1.0.0 puede solucionar este problema. El parche se llama 567bc33e6ed82b0d0179c9add707ac2b257aeaf2. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-217515.

Se ha encontrado una vulnerabilidad en Red Snapper NView y ha sido clasificada como crítica. Esta vulnerabilidad afecta a la función mutate del archivo src/Session.php. La manipulación de la sesión de argumentos conduce a la inyección de SQL. El nombre del parche es cbd255f55d476b29e5680f66f48c73ddb3d416a8. Se recomienda aplicar un parche para solucionar este problema. El identificador de esta vulnerabilidad es VDB-217516.

Discourse es una plataforma de discusión de fuentes de opciones. Antes de la versión 2.8.14 en la rama `stable` y la versión 3.0.0.beta16 en las ramas `beta` y `tests-passed`, cuando un usuario solicita un correo electrónico con un enlace para restablecer su contraseña y luego cambia su correo electrónico principal, el antiguo correo electrónico de restablecimiento sigue siendo válido. Cuando se utiliza el correo electrónico de restablecimiento anterior para restablecer la contraseña, el correo electrónico principal de la cuenta de Discourse se volverá a vincular al correo electrónico anterior. Si la antigua dirección de correo electrónico está comprometida o ha transferido la propiedad, esto conduce a una apropiación de la cuenta. Sin embargo, esto se mitiga con SiteSetting `email_token_valid_hours`, que actualmente es de 48 horas. Los usuarios deben actualizar a las versiones 2.8.14 o 3.0.0.beta15 para recibir un parche. Como workaround, reduzca `email_token_valid_hours ` según sea necesario.

Discourse es una plataforma de discusión de fuentes de opciones. Antes de la versión 2.8.14 en la rama "estable" y la versión 3.0.0.beta16 en las ramas "beta" y "pruebas aprobadas", la cantidad de veces que un usuario publicaba en un tema arbitrario estaba expuesto a usuarios no autorizados a través de la Punto final `/u/nombredeusuario.json`. El problema se solucionó en las versiones 2.8.14 y 3.0.0.beta16. No se conoce ningún workaround.

Discourse es una plataforma de discusión de fuentes de opciones. Antes de la versión 2.8.14 en la rama `stable` y la versión 3.0.0.beta16 en las ramas `beta` y `tests-passed`, los títulos de las publicaciones pendientes se podían usar para ataques de cross-site scripting. Los usuarios sin privilegios pueden crear publicaciones pendientes cuando una categoría tiene configurada la configuración "requerir la aprobación del moderador para todos los temas nuevos". Esta vulnerabilidad puede provocar un XSS completo en sitios que han modificado o deshabilitado la Política de seguridad de contenido predeterminada de Discourse. Hay un parche disponible en las versiones 2.8.14 y 3.0.0.beta16.

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.