Vulnerabilidades

Se ha identificado una vulnerabilidad en las aplicaciones de Mendix usadas en Mendix 7 (Todas las versiones anteriores a V7.23.29). Cuando es devuelto el resultado de una llamada de ejecución de Microflow completada, el framework afectado no verifica correctamente, si la petición fue realizada inicialmente por el usuario que solicita el resultado. Junto con los identificadores predecibles para las llamadas de ejecución de Microflow, esto podría permitir a un atacante malicioso recuperar información sobre llamadas de ejecución de Microflow arbitrarias realizadas por usuarios dentro del sistema afectado

Se ha identificado una vulnerabilidad en las aplicaciones de Mendix que utilizan Mendix 7 (todas las versiones anteriores a V7.23.29), las aplicaciones de Mendix que utilizan Mendix 8 (todas las versiones anteriores a V8.18.16) y las aplicaciones de Mendix que utilizan Mendix 9 (todas las implementaciones con la configuración personalizada del tiempo de ejecución *DataStorage.UseNewQueryHandler* establecida en False). Si una entidad tiene una asociación legible por el usuario, en algunos casos, Mendix Runtime puede no aplicar las comprobaciones de las restricciones XPath que analizan dichas asociaciones, dentro de las aplicaciones que se ejecutan en las versiones afectadas. Un usuario malintencionado podría utilizar esto para volcar y manipular datos sensibles

Se ha identificado una vulnerabilidad en SINEC NMS (Todas las versiones anteriores a la versión V1.0.3), SINEC NMS (Todas las versiones posteriores o iguales a la versión V1.0.3). El software afectado no comprueba adecuadamente los privilegios entre usuarios durante la misma sesión del navegador web, creando una esfera de control no intencionada. Esto podría permitir a un usuario autentificado con pocos privilegios conseguir una escalada de privilegios

Se ha identificado una vulnerabilidad en SINEC NMS (Todas las versiones anteriores a la versión V1.0.3). Un atacante autentificado con privilegios podría ejecutar comandos arbitrarios en la base de datos local enviando peticiones especialmente diseñadas al servidor web de la aplicación afectada

Se ha identificado una vulnerabilidad en SINEC NMS (Todas las versiones anteriores a la versión V1.0.3), SINEC NMS (Todas las versiones posteriores o iguales a la versión V1.0.3). El sistema afectado permite cargar objetos JSON que son deserializados a objetos Java. Debido a la deserialización insegura del contenido suministrado por el usuario por el software afectado, un atacante privilegiado podría explotar esta vulnerabilidad mediante el envío de un objeto Java serializado maliciosamente diseñado. Esto podría permitir al atacante ejecutar código arbitrario en el dispositivo con privilegios de root

Se ha identificado una vulnerabilidad en Polarion ALM (Todas las versiones anteriores a V21 R2 P2), Polarion WebClient para SVN (Todas las versiones). Existe un cross-site scripting debido a una incorrecta neutralización de los datos enviados a la página web a través del SVN WebClient en el producto afectado. Un atacante podría explotar esto para ejecutar código arbitrario y extraer información sensible enviando un enlace especialmente diseñado a usuarios con privilegios de administrador

Se ha identificado una vulnerabilidad en RUGGEDCOM ROS M2100 (Todas las versiones), RUGGEDCOM ROS M2200 (Todas las versiones), RUGGEDCOM ROS M969 (Todas las versiones), RUGGEDCOM ROS RMC (Todas las versiones), RUGGEDCOM ROS RMC20 (Todas las versiones), RUGGEDCOM ROS RMC30 (Todas las versiones), RUGGEDCOM ROS RMC40 (Todas las versiones), RUGGEDCOM ROS RMC41 (Todas las versiones), RUGGEDCOM ROS RMC8388 (Todas las versiones anteriores a V5. 6. 0), RUGGEDCOM ROS RP110 (Todas las versiones), RUGGEDCOM ROS RS400 (Todas las versiones), RUGGEDCOM ROS RS401 (Todas las versiones), RUGGEDCOM ROS RS416 (Todas las versiones), RUGGEDCOM ROS RS416v2 (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RS8000 (Todas las versiones), RUGGEDCOM ROS RS8000A (Todas las versiones), RUGGEDCOM ROS RS8000H (Todas las versiones), RUGGEDCOM ROS RS8000T (Todas las versiones), RUGGEDCOM ROS RS900 (32M) (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RS900G (Todas las versiones), RUGGEDCOM ROS RS900G (32M) (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RS900GP (Todas las versiones), RUGGEDCOM ROS RS900L (Todas las versiones), RUGGEDCOM ROS RS900W (Todas las versiones), RUGGEDCOM ROS RS910 (Todas las versiones), RUGGEDCOM ROS RS910L (Todas las versiones), RUGGEDCOM ROS RS910W (Todas las versiones), RUGGEDCOM ROS RS920L (Todas las versiones), RUGGEDCOM ROS RS920W (Todas las versiones), RUGGEDCOM ROS RS930L (Todas las versiones), RUGGEDCOM ROS RS930W (Todas las versiones), RUGGEDCOM ROS RS940G (Todas las versiones), RUGGEDCOM ROS RS969 (Todas las versiones), RUGGEDCOM ROS RSG2100 (Todas las versiones), RUGGEDCOM ROS RSG2100 (32M) (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RSG2100P (Todas las versiones), RUGGEDCOM ROS RSG2200 (Todas las versiones), RUGGEDCOM ROS RSG2288 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG2300 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG2300P (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RSG2488 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG907R (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG908C (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG909R (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG910C (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RSG920P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSL910 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST2228 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST2228P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST916C (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RST916P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS i800 (Todas las versiones), RUGGEDCOM ROS i801 (Todas las versiones), RUGGEDCOM ROS i802 (Todas las versiones), RUGGEDCOM ROS i803 (Todas las versiones). Dentro de un componente de terceros, el proceso para asignar el tamaño de la partición no comprueba los límites de la memoria. Por lo tanto, si un atacante solicita una gran cantidad, debido a una envoltura de enteros, podría resultar en la asignación de un tamaño pequeño en su lugar

Se ha identificado una vulnerabilidad en RUGGEDCOM ROS M2100 (Todas las versiones), RUGGEDCOM ROS M2200 (Todas las versiones), RUGGEDCOM ROS M969 (Todas las versiones), RUGGEDCOM ROS RMC (Todas las versiones), RUGGEDCOM ROS RMC20 (Todas las versiones), RUGGEDCOM ROS RMC30 (Todas las versiones), RUGGEDCOM ROS RMC40 (Todas las versiones), RUGGEDCOM ROS RMC41 (Todas las versiones), RUGGEDCOM ROS RMC8388 (Todas las versiones anteriores a V5. 6. 0), RUGGEDCOM ROS RP110 (Todas las versiones), RUGGEDCOM ROS RS400 (Todas las versiones), RUGGEDCOM ROS RS401 (Todas las versiones), RUGGEDCOM ROS RS416 (Todas las versiones), RUGGEDCOM ROS RS416v2 (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RS8000 (Todas las versiones), RUGGEDCOM ROS RS8000A (Todas las versiones), RUGGEDCOM ROS RS8000H (Todas las versiones), RUGGEDCOM ROS RS8000T (Todas las versiones), RUGGEDCOM ROS RS900 (32M) (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RS900G (Todas las versiones), RUGGEDCOM ROS RS900G (32M) (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RS900GP (Todas las versiones), RUGGEDCOM ROS RS900L (Todas las versiones), RUGGEDCOM ROS RS900W (Todas las versiones), RUGGEDCOM ROS RS910 (Todas las versiones), RUGGEDCOM ROS RS910L (Todas las versiones), RUGGEDCOM ROS RS910W (Todas las versiones), RUGGEDCOM ROS RS920L (Todas las versiones), RUGGEDCOM ROS RS920W (Todas las versiones), RUGGEDCOM ROS RS930L (Todas las versiones), RUGGEDCOM ROS RS930W (Todas las versiones), RUGGEDCOM ROS RS940G (Todas las versiones), RUGGEDCOM ROS RS969 (Todas las versiones), RUGGEDCOM ROS RSG2100 (Todas las versiones), RUGGEDCOM ROS RSG2100 (32M) (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RSG2100P (Todas las versiones), RUGGEDCOM ROS RSG2200 (Todas las versiones), RUGGEDCOM ROS RSG2288 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG2300 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG2300P (Todas las versiones anteriores a V5.6. 0), RUGGEDCOM ROS RSG2488 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG907R (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG908C (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG909R (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSG910C (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RSG920P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RSL910 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST2228 (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST2228P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS RST916C (Todas las versiones anteriores a V5. 6.0), RUGGEDCOM ROS RST916P (Todas las versiones anteriores a V5.6.0), RUGGEDCOM ROS i800 (Todas las versiones), RUGGEDCOM ROS i801 (Todas las versiones), RUGGEDCOM ROS i802 (Todas las versiones), RUGGEDCOM ROS i803 (Todas las versiones). El componente de terceros, en su funcionalidad TFTP falla al comprobar las terminaciones nulas en los nombres de los archivos. Si un atacante se aprovechara de esto, podría resultar en la corrupción de datos, y posiblemente un hard-fault de la aplicación

Se ha identificado una vulnerabilidad en Climatix POL909 (módulo AWB) (Todas las versiones anteriores a V11.44), Climatix POL909 (módulo AWM) (Todas las versiones anteriores a V11.36). La página de administración de grupos de los dispositivos afectados es vulnerable a un ataque de tipo cross-site scripting (XSS). La vulnerabilidad permite a un atacante enviar código JavaScript malicioso que podría resultar en el secuestro de los tokens de cookies/sesión del usuario, redirigiendo al usuario a una página web maliciosa y llevando a cabo una acción no deseada en el navegador

Se ha identificado una vulnerabilidad en Climatix POL909 (módulo AWB) (Todas las versiones anteriores a V11.44), Climatix POL909 (módulo AWM) (Todas las versiones anteriores a V11.36). La página de administración de usuarios de los dispositivos afectados es vulnerable a un ataque de tipo cross-site scripting (XSS). La vulnerabilidad permite a un atacante enviar código JavaScript malicioso que podría resultar en el secuestro de los tokens de cookies/sesión del usuario, redirigiendo al usuario a una página web maliciosa y llevando a cabo una acción no deseada en el navegador

Se ha identificado una vulnerabilidad en Climatix POL909 (módulo AWB) (Todas las versiones anteriores a V11.44), Climatix POL909 (módulo AWM) (Todas las versiones anteriores a V11.36). El manejo de los archivos de registro en la aplicación web de los dispositivos afectados contiene una vulnerabilidad de divulgación de información que podría permitir a usuarios registrados acceder a archivos confidenciales

Se ha identificado una vulnerabilidad en RUGGEDCOM ROS M2100, RUGGEDCOM ROS M2200, RUGGEDCOM ROS M969, RUGGEDCOM ROS RMC, RUGGEDCOM ROS RMC20, RUGGEDCOM ROS RMC30, RUGGEDCOM ROS RMC30 V4. X, RUGGEDCOM ROS RMC40, RUGGEDCOM ROS RMC41, RUGGEDCOM ROS RMC8388, RUGGEDCOM ROS RMC8388 V4.X, RUGGEDCOM ROS RMC8388 V5.X, RUGGEDCOM ROS RP110, RUGGEDCOM ROS RP110 V4.X, RUGGEDCOM ROS RS1600 V4. X, RUGGEDCOM ROS RS1600F V4.X, RUGGEDCOM ROS RS1600T V4.X, RUGGEDCOM ROS RS400, RUGGEDCOM ROS RS400 V4.X, RUGGEDCOM ROS RS401, RUGGEDCOM ROS RS401 V4.X, RUGGEDCOM ROS RS416, RUGGEDCOM ROS RS416Pv2 V4. X, RUGGEDCOM ROS RS416Pv2 V5.X, RUGGEDCOM ROS RS416v2, RUGGEDCOM ROS RS416v2 V4.X, RUGGEDCOM ROS RS416v2 V5.X, RUGGEDCOM ROS RS8000, RUGGEDCOM ROS RS8000 V4. X, RUGGEDCOM ROS RS8000A, RUGGEDCOM ROS RS8000A V4.X, RUGGEDCOM ROS RS8000H, RUGGEDCOM ROS RS8000H V4.X, RUGGEDCOM ROS RS8000T, RUGGEDCOM ROS RS8000T V4.X, RUGGEDCOM ROS RS900 (32M), RUGGEDCOM ROS RS900 (32M) V4. X, RUGGEDCOM ROS RS900 (32M) V5.X, RUGGEDCOM ROS RS900 V4.X, RUGGEDCOM ROS RS900G, RUGGEDCOM ROS RS900G (32M), RUGGEDCOM ROS RS900G (32M) V4.X, RUGGEDCOM ROS RS900G (32M) V5. X, RUGGEDCOM ROS RS900G V4.X, RUGGEDCOM ROS RS900GP, RUGGEDCOM ROS RS900GP V4.X, RUGGEDCOM ROS RS900L, RUGGEDCOM ROS RS900L V4.X, RUGGEDCOM ROS RS900M V4.X, RUGGEDCOM ROS RS900W, RUGGEDCOM ROS RS900W V4. X, RUGGEDCOM ROS RS910, RUGGEDCOM ROS RS910 V4.X, RUGGEDCOM ROS RS910L, RUGGEDCOM ROS RS910L V4.X, RUGGEDCOM ROS RS910W, RUGGEDCOM ROS RS910W V4.X, RUGGEDCOM ROS RS920L, RUGGEDCOM ROS RS920L V4. X, RUGGEDCOM ROS RS920W, RUGGEDCOM ROS RS920W V4.X, RUGGEDCOM ROS RS930L, RUGGEDCOM ROS RS930L V4.X, RUGGEDCOM ROS RS930W, RUGGEDCOM ROS RS930W V4.X, RUGGEDCOM ROS RS940G, RUGGEDCOM ROS RS940G V4. X, RUGGEDCOM ROS RS969, RUGGEDCOM ROS RSG2100, RUGGEDCOM ROS RSG2100 (32M), RUGGEDCOM ROS RSG2100 (32M) V4.X, RUGGEDCOM ROS RSG2100 (32M) V5.X, RUGGEDCOM ROS RSG2100 V4. X, RUGGEDCOM ROS RSG2100P, RUGGEDCOM ROS RSG2100P V4.X, RUGGEDCOM ROS RSG2200, RUGGEDCOM ROS RSG2200 V4.X, RUGGEDCOM ROS RSG2288, RUGGEDCOM ROS RSG2288 V4.X, RUGGEDCOM ROS RSG2288 V5. X, RUGGEDCOM ROS RSG2300, RUGGEDCOM ROS RSG2300 V4.X, RUGGEDCOM ROS RSG2300 V5.X, RUGGEDCOM ROS RSG2300P, RUGGEDCOM ROS RSG2300P V4.X, RUGGEDCOM ROS RSG2300P V5.X, RUGGEDCOM ROS RSG2488, RUGGEDCOM ROS RSG2488 V4. X, RUGGEDCOM ROS RSG2488 V5.X, RUGGEDCOM ROS RSG907R, RUGGEDCOM ROS RSG907R V5.X, RUGGEDCOM ROS RSG908C, RUGGEDCOM ROS RSG908C V5.X, RUGGEDCOM ROS RSG909R, RUGGEDCOM ROS RSG909R V5. X, RUGGEDCOM ROS RSG910C, RUGGEDCOM ROS RSG910C V5.X, RUGGEDCOM ROS RSG920P, RUGGEDCOM ROS RSG920P V4.X, RUGGEDCOM ROS RSG920P V5.X, RUGGEDCOM ROS RSL910, RUGGEDCOM ROS RSL910 V5. X, RUGGEDCOM ROS RST2228, RUGGEDCOM ROS RST2228 V5.X, RUGGEDCOM ROS RST2228P, RUGGEDCOM ROS RST2228P V5.X, RUGGEDCOM ROS RST916C, RUGGEDCOM ROS RST916C V5.X, RUGGEDCOM ROS RST916P, RUGGEDCOM ROS RST916P V5. X, RUGGEDCOM ROS i800, RUGGEDCOM ROS i800 V4.X, RUGGEDCOM ROS i801, RUGGEDCOM ROS i801 V4.X, RUGGEDCOM ROS i802, RUGGEDCOM ROS i802 V4.X, RUGGEDCOM ROS i803, RUGGEDCOM ROS i803 V4.X. El servidor SSH de los dispositivos afectados está configurado para ofrecer cifrados débiles por defecto. Esto podría permitir a un atacante no autorizado en una posición de hombre en el medio leer y modificar cualquier dato que se pase por la conexión entre clientes legítimos y el dispositivo afectado