Vulnerabilidades

keep for python, distribuido en PyPI, incluía una puerta trasera de ejecución de código insertada por un tercero. La versión actual, sin este backdoor, es la versión 1.2

Se ha detectado un problema en determinadas unidades de Verbatim versiones hasta 31-03-2022. La característica de seguridad para el bloqueo (por ejemplo, que requiere un reformateo de la unidad después de 20 intentos fallidos de desbloqueo) no funciona como es especificado. Pueden realizarse más de 20 intentos. Esto afecta a la unidad Keypad Secure USB versión 3.2 Gen 1, número de pieza 49428, y al disco duro portátil Store "n" Go Secure GD25LK01-3637-C VER4.0

Dolibarr versión 12.0.5 es vulnerable a un ataque de tipo Cross Site Scripting (XSS) por medio de Sql Error Page

Se ha detectado un problema en determinadas unidades de Verbatim versiones hasta el 31-03-2022. Debido a la falta de comprobaciones de integridad, un atacante puede manipular el contenido de la unidad de CD-ROM emulada (que contiene el software cliente de Windows y macOS). El contenido de esta unidad de CD-ROM emulada es almacenada como una imagen ISO-9660 en los sectores ocultos de la unidad USB, a la que sólo puede accederse mediante comandos IOCTL especiales, o cuando es instalada la unidad en una caja de discos externa. Al manipular esta imagen ISO-9660 o sustituyéndola por otra, un atacante puede almacenar software malicioso en la unidad de CD-ROM emulada. Este software puede ser ejecutado por una víctima desprevenida cuando use el dispositivo. Por ejemplo, un atacante con acceso físico temporal durante la cadena de suministro podría programar una imagen ISO-9660 modificada en un dispositivo que siempre acepte una contraseña controlada por el atacante para desbloquear el dispositivo. Si el atacante consigue más tarde acceso a la unidad USB usada, puede simplemente descifrar todos los datos del usuario contenidos. También es posible almacenar otros programas maliciosos arbitrarios. Esto afecta a la unidad SSD Executive Fingerprint Secure GDMSFE01-INI3637-C VER1.1 y a la unidad de disco duro portátil Fingerprint Secure con el número de pieza #53650

Se ha detectado un problema en determinadas unidades de Verbatim versiones hasta el 31-03-2022. Debido a un diseño no seguro, pueden ser desbloqueados por un atacante que puede entonces conseguir acceso no autorizado a los datos almacenados. El atacante puede simplemente usar un comando IOCTL no documentado que recupera la contraseña correcta. Esto afecta a la unidad SSD Executive Fingerprint Secure GDMSFE01-INI3637-C VER1.1 y a la unidad de disco duro portátil Fingerprint Secure con el número de pieza #53650

Se presenta una vulnerabilidad de tipo Cross Site Scripting en PartKeepr versión 1.4.0, por medio del campo "name" en /api/part_categories

Como resultado de una discrepancia observable en los mensajes devueltos, OPSWAT MetaDefender Core (MDCore) versiones anteriores a 5.1.2, podría permitir a un usuario autenticado enumerar nombres de archivos en el servidor

Se ha detectado un problema en determinadas unidades de Verbatim versiones hasta el 31-03-2022. Debido a un diseño no seguro, permiten un ataque de fuerza bruta fuera de línea para determinar el código de acceso correcto, y así conseguir acceso no autorizado a los datos cifrados almacenados. Esto afecta a la unidad Keypad Secure USB versión 3.2 Gen 1, número de pieza 49428, y al disco duro portátil Store "n" Go Secure GD25LK01-3637-C VER4.0

Se ha detectado un problema en determinadas unidades de Verbatim versiones hasta el 31-03-2022. Debido a una comprobación insuficiente del firmware, un atacante puede almacenar código de firmware malicioso para el controlador de puente USB a SATA en la unidad USB (por ejemplo, al aprovechar el acceso físico durante la cadena de suministro). Este código es ejecutado a continuación. Esto afecta a la unidad Keypad Secure USB versión 3.2 Gen 1, número de pieza 49428, al disco duro portátil Store "n" Go Secure GD25LK01-3637-C VER4.0, a la unidad SSD Executive Fingerprint Secure GDMSFE01-INI3637-C VER1.1 y al disco duro portátil Fingerprint Secure, número de pieza 53650

Se presenta una vulnerabilidad de inyección SQL en ChurchCRM versión 4.4.5, por medio del campo "PersonID" en el archivo /churchcrm/WhyCameEditor.php

Se ha detectado un problema en determinadas unidades de Verbatim hasta el 31-03-2022. Debido al uso de un modo de encriptación AES no seguro (Electronic Codebook, también se conoce como ECB), un atacante puede ser capaz de extraer información incluso de datos encriptados, por ejemplo, al observar patrones de bytes repetidos. El firmware del controlador de puente USB a SATA INIC-3637EN usa AES-256 con el modo ECB. Este modo de funcionamiento de los cifradores de bloques (por ejemplo, AES) siempre cifra datos de texto plano idénticos, en este caso bloques de 16 bytes, en datos de texto cifrado idénticos. Para algunos datos, por ejemplo las imágenes de mapa de bits, la falta de la propiedad criptográfica llamada difusión, dentro del ECB, puede filtrar información confidencial incluso en los datos cifrados. Por lo tanto, el uso del modo de funcionamiento ECB puede poner en riesgo la confidencialidad de información específica, incluso de forma encriptada. Esto afecta a la unidad Keypad Secure USB versión 3.2 Gen 1, número de pieza 49428, al disco duro portátil Store "n" Go Secure GD25LK01-3637-C VER4.0, a la unidad SSD Executive Fingerprint Secure GDMSFE01-INI3637-C VER1.1 y al disco duro portátil Fingerprint Secure, número de pieza 53650

Uso de una vulnerabilidad de Algoritmo Criptográfico Roto o Arriesgado en el Sistema de aire Acondicionado G-150AD Versiones 3.21 y anteriores, el Sistema de aire Acondicionado AG-150A-A Versiones 3.21 y anteriores, el Sistema de aire Acondicionado AG-150A-J Versiones 3.21 y anteriores, el Sistema de aire Acondicionado GB-50AD Versiones 3.21 y anteriores, el Sistema de aire Acondicionado GB-50ADA-A Versiones 3. 21 y anteriores, Sistema de aire Acondicionado GB-50ADA-J Versiones 3.21 y anteriores, Sistema de aire Acondicionado EB-50GU-A Versiones 7.10 y anteriores, Sistema de aire Acondicionado EB-50GU-J Versiones 7.10 y anteriores, Sistema de aire Acondicionado AE-200J Versiones 7.97 y anteriores, Sistema de aire Acondicionado AE-200A Versiones 7.97 y anteriores, Sistema de aire Acondicionado AE-200E Versiones 7.97 y anteriores, Sistema de aire Acondicionado AE-50J Versiones 7.97 y anteriores, Sistema de aire Acondicionado AE-50A Versiones 7.97 y anteriores, Sistema de aire Acondicionado AE-50E Versiones 7.97 y anteriores, Sistema de aire Acondicionado EW-50J Versiones 7.97 y anteriores, Sistema de aire Acondicionado EW-50A Versiones 7.97 y anteriores, Sistema de aire Acondicionado EW-50E Versiones 7. 97 y anteriores, Sistema de aire Acondicionado TE-200A Versiones 7.97 y anteriores, Sistema de aire Acondicionado TE-50A Versiones 7.97 y anteriores y Sistema de aire Acondicionado TW-50A Versiones 7.97 y anteriores permite a un atacante remoto no autenticado causar una divulgación de mensajes encriptados de los sistemas de aire acondicionado al olfatear las comunicaciones encriptadas