Vulnerabilidades

Las versiones de RSA BSAFE Micro Edition Suite anteriores a la versión 4.1.6.3 (en 4.1.x) y anteriores a 4.4 (en 4.2.xy 4.3.x) son vulnerables a una vulnerabilidad de exposición de información a través de un mensaje de error, también conocida como "relleno" vulnerabilidad de ataque de oráculo ". Un usuario remoto malintencionado podría aprovechar esta vulnerabilidad para extraer información y dejar los datos en riesgo de exposición.

Cargo anterior a Rust versión 1.26.0, puede descargar la dependencia incorrecta si su archivo package.toml usa la clave de configuración "package". El uso de la clave "package" para cambiar el nombre de las dependencias en "Cargo.toml" se ignora en Rust versión 1.25.0 y anteriores. Cuando se usa Rust versión 1.25.0 y anteriores, Cargo puede descargar la dependencia incorrecta, que podría ser establecido en crates.io para ser un paquete malicioso. Esto no solo afecta a los manifiestos que escriben localmente, sino también a los manifiestos publicados en crates.io. Si usted publicó un paquete (create), por ejemplo, que depende de "serde1" en crates.io, los usuarios que dependen de usted también pueden ser vulnerables si usan Rust versión 1.25.0 y anteriores. Rust versiones 1.0.0 hasta Rust versiones 1.25.0, está afectado por este aviso porque Cargo ignorará la clave "package" en los manifiestos. Rust versión 1.26.0 hasta Rust versión 1.30.0, no están afectados y normalmente emitirán un error porque la clave "package" es inestable. Rust versión 1.31.0 y posteriores, no están afectados porque Cargo entiende la clave "package". Se recomienda encarecidamente a los usuarios de las versiones afectadas que actualicen su compilador a la última versión disponible. Para evitar que ocurra este problema, es necesario actualizar su compilador para que sea Rust versión 1.26.0 o más reciente. No se emitirá ningún parche para las versiones de Rust anteriores a 1.26.0. Los usuarios de Rust versión 1.19.0 hasta Rust versión 1.25.0, pueden aplicar parches vinculados para mitigar el problema.

RSA BSAFE Crypto-C Micro Edition versiones anteriores a 4.0.5.4 (en versiones 4.0.x) y 4.1.4 (en versiones 4.1.x) y RSA BSAFE Micro Edition Suite versiones anteriores a 4.0.13 (en versiones 4.0.x) y anteriores a 4.4 (en versiones 4.1.x, 4.2.x, 4.3.x), son susceptibles a una vulnerabilidad de Lectura Excesiva de Búfer al procesar la firma DSA. Un usuario remoto malicioso podría explotar esta vulnerabilidad para causar un bloqueo en la biblioteca del sistema afectado.

Evernote versiones anteriores a 7.13 GA en macOS, permite la ejecución de código porque el atributo com.apple.quarantine no se utiliza para archivos adjuntos, como es demostrado por un ataque de un clic que implica una operación de arrastrar y soltar en un archivo Terminal creado.

Foxit Reader versión 9.6.0.25114 y anteriores, presenta dos bugs únicos de RecursiveCall que involucran 3 funciones que agotan la memoria de pila disponible debido a la recursión no controlada en el motor de JavaScript V8 (problema 2 de 2).

Foxit Reader versión 9.6.0.25114 y versiones anteriores, presenta dos errores únicos de RecursiveCall que involucran 3 funciones que agotan la memoria de pila disponible debido a la recursión no controlada en el motor de JavaScript V8 (problema 1 de 2).

Go versiones anteriores a 1.12.10 y versiones 1.13.x anteriores a 1.13.1, permitir el Trafico No Autorizado de Peticiones HTTP.

Se detectó un problema en el paquete Voyager versiones hasta 1.2.7 para Laravel. Un atacante con privilegios de administrador y acceso a Compass puede leer o eliminar archivos arbitrarios, tal y como el archivo .env. NOTA: un mantenedor de software ha sugerido una solución en la cual Compass es apagado en un entorno de producción.

Los dispositivos NETGEAR SRX5308 versión 4.3.5-3, permiten la inyección SQL, como se explotó "in the wild" en septiembre de 2019 al agregar una nueva cuenta de usuario.

Descripción: Western Digital SSD Dashboard versiones anteriores a 2.5.1.0 y SanDisk SSD Dashboard versiones anteriores a 2.5.1.0, las aplicaciones son potencialmente vulnerables a los ataques de tipo man-in-the-middle cuando éstas descargan recursos del servicio web Dashboard. Esta vulnerabilidad puede permitir a un atacante sustituir los recursos descargados con archivos arbitrarios.

El panel de Western Digital SSD anterior a la versión 2.5.1.0 y el panel de SanDisk SSD anterior a la versión 2.5.1.0 tienen un control de acceso incorrecto. El archivo "generar informes" está protegido con una contraseña codificada. Se encuentra disponible una actualización de la aplicación que aborda la protección del cifrado de archivos

El saneamiento insuficiente durante la búsqueda de dispositivos en Netdisco versión 2.042010, permite un ataque de tipo XSS reflejado mediante la manipulación de un parámetro URL.