Vulnerabilidades

Adobe After Effects versión 18.4.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido al manejo no seguro de un archivo SGI malicioso en la función DoReadContinue, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para explotar esta vulnerabilidad.

Adobe Animate versión 21.0.9 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido al manejo no seguro de un archivo .psd malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para explotar esta vulnerabilidad.

Adobe After Effects versión 18.4 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido al manejo no seguro de un archivo .m4a malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad.

Adobe After Effects versión 18.4 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido al manejo no seguro de un archivo .m4a malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad.

Adobe After Effects versión 18.4.1 (y anteriores), está afectada por una vulnerabilidad de corrupción de memoria debido al manejo no seguro de un archivo SVG malicioso, resultando potencialmente en una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario, ya que la víctima debe abrir un archivo especialmente diseñado para explotar esta vulnerabilidad.

Una vulnerabilidad de control de seguridad insuficiente en el mecanismo de acceso a la base de datos interna de Hitachi Energy Relion 670/650/SAM600-IO, Relion 650, GMS600, PWC600, permite que un atacante que explote con éxito esta vulnerabilidad, de la que el producto no restringe suficientemente el acceso a las tablas de una base de datos interna, pueda permitir a cualquier persona con credenciales de usuario omitir los controles de seguridad que impone el producto. En consecuencia, una explotación puede conllevar a modificaciones no autorizadas en los datos/firmware, y/o inhabilitar permanentemente el producto. Este problema afecta a: Hitachi Energy Relion 670 Series versiones 2.0 todas las revisiones; versiones 2.2.2 todas las revisiones; versiones 2.2.3 versiones anteriores a la 2.2.3.5. Hitachi Energy Relion 670/650 Series versiones 2.1 todas las revisiones. versiones 2.2.0 todas las revisiones; versiones 2.2.4 todas las revisiones; Hitachi Energy Relion 670/650/SAM600-IO versiones 2.2.1 todas las revisiones; versiones 2.2.5 versiones anteriores a la 2.2.5.2. Hitachi Energy Relion 650 versiones 1.0 todas las revisiones. versiones 1.1 todas las revisiones; versiones 1.2 todas las revisiones; versiones 1.3 versiones anteriores a la 1.3.0.8; Hitachi Energy GMS600 versiones 1.3.0; 1.3.0.1; 1.2.0. Hitachi Energy PWC600 versión 1.0.1 versión 1.0.1.4 y versiones anteriores; versión 1.1.0 versión 1.1.0.1 y versiones anteriores.

Se ha detectado una vulnerabilidad en HyperLedger Fabric versiones v1.4.0, v2.0.0, v2.1.0. Este bug puede ser aprovechado al construir un mensaje cuya carga útil es nula y enviando este mensaje con el método "forwardToLeader". Este error ha sido admitido y corregido por los desarrolladores de Fabric. Si es aprovechado, cualquier nodo líder será bloqueado.

Los nodos de Go-Ethereum 1.10.9 son bloqueados (denegación de servicio) después de recibir una serie de mensajes y no pueden recuperarse. Serán bloqueados con "runtime error: invalid memory address or nil pointer dereference" y surgirá una señal SEGV.

Se ha detectado una vulnerabilidad en HyperLedger Fabric versiones v1.4.0, v2.0.0, v2.0.1, v2.3.0. Puede romper fácilmente tantos ordenadores como el atacante quiera. Este bug puede ser aprovechado al construir un mensaje cuyo encabezado no sea válida para la interfaz Orden. Este bug ha sido admitido y corregido por los desarrolladores de Fabric.

Se ha detectado que el conector JIRA de Kibana y el conector Resilient de IBM pueden ser usados para devolver datos de respuesta HTTP en hosts internos, que pueden estar intencionadamente ocultos a la vista del público. Usando esta vulnerabilidad, un usuario malicioso con la capacidad de crear conectores, podría usar estos conectores para ver datos de respuesta HTTP limitados en hosts accesibles al cluster.

Se ha detectado que en los sistemas operativos Windows específicamente, Kibana no estaba comprendiendo una ruta suministrada por el usuario, que cargaría archivos .pbf. Debido a esto, un usuario malicioso podría atravesar arbitrariamente el host de Kibana para cargar archivos internos que terminaran en la extensión .pbf. Gracias a Dominic Couture por encontrar esta vulnerabilidad.

Una vulnerabilidad Insecure Boot Image en Hitachi Energy Relion Relion 670/650/SAM600-IO series permite que un atacante que consiga acceder al puerto de red frontal y causar una secuencia de reinicio del dispositivo pueda explotar la vulnerabilidad, donde se presenta un pequeño espacio de tiempo durante el proceso de arranque en el que se carga una versión antigua de VxWorks antes del arranque del firmware de la aplicación, podría explotar la vulnerabilidad de la versión antigua de VxWorks y causar una denegación de servicio en el producto. Este problema afecta a: Hitachi Energy Relion 670 Series versiones 2.2.2 todas las revisiones; versiones 2.2.3 versiones anteriores a 2.2.3.3. Hitachi Energy Relion 670/650 Series versiones 2.2.0 todas las revisiones; versiones 2.2.4 todas las revisiones. Hitachi Energy Relion 670/650/SAM600-IO versiones 2.2.1 todas las revisiones.