Vulnerabilidades

En voloko twitter-stream versión 0.1.10, una falta de comprobación del nombre de host TLS, permite a un atacante llevar a cabo un ataque de tipo man-in-the-middle contra los usuarios de la biblioteca (porque eventmachine es usada inapropiadamente)

Se detectó un problema en Alfresco Enterprise Content Management (ECM) versiones anteriores a 6.2.1. Un usuario con privilegios para editar una plantilla FreeMarker (por ejemplo, un webscript) puede ejecutar código Java arbitrario o ejecutar comandos del sistema arbitrarios con los mismos privilegios que la cuenta que ejecuta Alfresco

Mailtrain versiones hasta 1.24.1, permite una inyección SQL en statsClickedSubscribersByColumn en la biblioteca lib/models/campaign.js por medio de /campaigns/clicked/ajax porque los nombres de las columnas de variables no son escapadas apropiadamente

TweetStream versión 2.6.1, utiliza la biblioteca eventmachine de una manera no segura que no contiene comprobación del nombre de host TLS. Esto permite a un atacante llevar a cabo un ataque man-in-the-middle

En Visualware MyConnection Server versiones anteriores a 11.0b build 5382, cada reporte publicado no está asociado con su propio código de acceso

Jinjava versiones anteriores a 2.5.4, permite un acceso a clases arbitrarias al llamar a métodos Java en objetos pasados ??a un contexto de Jinjava. Esto podría permitir el abuso del cargador de clase de aplicación, incluyendo una Divulgación de Archivos Arbitrarios

Se detectó un problema en SmartStoreNET versiones anteriores a 4.1.0. Una falta de protección de un ataque de tipo Cross Site Request Forgery (CSRF) puede conllevar a una elevación de privilegios (por ejemplo, /admin/customer/create para crear una cuenta de administrador)

El paquete slashify versión 1.0.0 para Node.js, permite ataques de redireccionamiento abierto, como es demostrado por una subcadena localhost:3000///example.com/

*** Pendiente de traducción *** Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2020-29074. Reason: This candidate is a reservation duplicate of CVE-2020-29074. Notes: All CVE users should reference CVE-2020-29074 instead of this candidate. All references and descriptions in this candidate have been removed to prevent accidental usage

Un desbordamiento del búfer en la región stack de la memoria en el archivo res_rtp_asterisk.c en Sangoma Asterisk versiones anteriores a 16.16.1, versiones 17.x anteriores a 17.9.2 y versiones 18.x anteriores a 18.2.1 y Certified Asterisk versiones anteriores a 16.8-cert6, permite a un cliente WebRTC autenticado causar un bloqueo de Asterisk mediante el envío de múltiples peticiones de hold/unhold en una sucesión rápida. Esto es causado por una discrepancia en la comparación de firmas

Manejo inadecuado de la vulnerabilidad de inconsistencia de parámetros de longitud en el software de ingeniería FA de Mitsubishi Electric (Herramienta de configuración de registro del módulo de la CPU versiones 1.112R y anteriores, Configurador CW versiones 1.011M y anteriores, Transferencia de datos versiones 3.44W y anteriores, EZSocket versiones 5.4 y anteriores, Configurador FR todas las versiones, Configurador FR SW3 todas las versiones, Configurador FR2 versiones 1. 24A y anteriores, GT Designer3 Versión1(GOT1000) versiones 1.250L y anteriores, GT Designer3 Versión1(GOT2000) versiones 1.250L y anteriores, GT SoftGOT1000 Versión3 versiones 3.245F y anteriores, GT SoftGOT2000 Versión1 versiones 1.250L y anteriores, GX Configurator-DP versiones 7.14Q y anteriores, GX Configurator-QP todas las versiones, GX Developer versiones 8.506C y anteriores, GX Explorer todas las versiones, GX IEC Developer todas las versiones, GX LogViewer versiones 1. 115U y anteriores, GX RemoteService-I todas las versiones, GX Works2 versiones 1.597X y anteriores, GX Works3 versiones 1.070Y y anteriores, iQ Monozukuri ANDON (Data Transfer) todas las versiones, iQ Monozukuri Process Remote Monitoring (Data Transfer) todas las versiones, M_CommDTM-HART todas las versiones, M_CommDTM-IO-Link versiones 1. 03D y anteriores, MELFA-Works versiones 4.4 y anteriores, MELSEC WinCPU Setting Utility todas las versiones, MELSOFT EM Software Development Kit (EM Configurator) versiones 1. 015R y anteriores, MELSOFT Navigator versiones 2.74C y anteriores, MH11 SettingTool Version2 versiones 2.004E y anteriores, MI Configurator versiones 1.004E y anteriores, MT Works2 versiones 1.167Z y anteriores, MX Component versiones 5.001B y anteriores, Network Interface Board CC IE Control utility versiones 1.29F y anteriores, Network Interface Board CC IE Field Utility versiones 1.16S y anteriores, Network Interface Board CC-Link Ver.2 1.23Z y anteriores, Network Interface Board MNETH utility versions 34L y anteriores, PX Developer versions 1.53F y anteriores, RT ToolBox2 versions 3.73B y anteriores, RT ToolBox3 versions 1.82L y anteriores, Setting/monitoring tools for the C Controller module (SW4PVC-CCPU) versions 4.12N y anteriores y SLMP Data Collector versions 1. 04E y anteriores) permite que un atacante remoto no autenticado provoque una condición de denegación de servicio de los productos de software, y posiblemente ejecute un programa malicioso en el ordenador personal que ejecuta los productos de software, aunque no se ha reproducido, mediante la suplantación de MELSEC, GOT o FREQROL y el retorno de paquetes de respuesta manipulados

Vulnerabilidad de desbordamiento de búfer basada en Heap en el software de ingeniería de Mitsubishi Electric FA (CPU Module Logging Configuration Tool versiones 1.112R y anteriores, CW Configurator versiones 1.011M y anteriores, Data Transfer versiones 3.44W y anteriores, EZSocket versiones 5.4 y anteriores, FR Configurator todas las versiones, FR Configurator SW3 todas las versiones, FR Configurator2 versiones 1.24A y anteriores, GT Designer3 Version1(GOT1000) versiones 1. 250L y anteriores, GT Designer3 Version1(GOT2000) versiones 1.250L y anteriores, GT SoftGOT1000 Version3 versiones 3.245F y anteriores, GT SoftGOT2000 Version1 versiones 1.250L y anteriores, GX Configurator-DP versiones 7. 14Q y anteriores, GX Configurator-QP todas las versiones, GX Developer versiones 8.506C y anteriores, GX Explorer todas las versiones, GX IEC Developer todas las versiones, GX LogViewer versiones 1.115U y anteriores, GX RemoteService-I todas las versiones, GX Works2 versiones 1. 597X y anteriores, GX Works3 versiones 1.070Y y anteriores, iQ Monozukuri ANDON (Data Transfer) todas las versiones, iQ Monozukuri Process Remote Monitoring (Data Transfer) todas las versiones, M_CommDTM-HART todas las versiones, M_CommDTM-IO-Link versiones 1.03D y anteriores, MELFA-Works versiones 4.4 y anteriores, MELSEC WinCPU Setting Utility todas las versiones, MELSOFT EM Software Development Kit (EM Configurator) versiones 1. 015R y anteriores, MELSOFT Navigator versiones 2.74C y anteriores, MH11 SettingTool Version2 versiones 2.004E y anteriores, MI Configurator versiones 1.004E y anteriores, MT Works2 versiones 1.167Z y anteriores, MX Component versiones 5.001B y anteriores, Network Interface Board CC IE Control utility versiones 1.29F y anteriores, Network Interface Board CC IE Field Utility versiones 1.16S y anteriores, Network Interface Board CC-Link Ver.2 1.23Z y anteriores, Network Interface Board MNETH utility versions 34L y anteriores, PX Developer versions 1.53F y anteriores, RT ToolBox2 versions 3.73B y anteriores, RT ToolBox3 versions 1.82L y anteriores, Setting/monitoring tools for the C Controller module (SW4PVC-CCPU) versions 4.12N y anteriores y SLMP Data Collector versions 1. 04E y anteriores) permite que un atacante remoto no autenticado provoque una condición de denegación de servicio de los productos de software, y posiblemente ejecute un programa malicioso en el ordenador personal que ejecuta los productos de software, aunque no se ha reproducido, mediante la suplantación de MELSEC, GOT o FREQROL y el retorno de paquetes de respuesta manipulados