Vulnerabilidades

Una vulnerabilidad de tipo Cross-site Scripting (XSS) - Reflejado en Pypi calibreweb versiones anteriores a 0.6.16

Se presenta un bug de propagación carry en el procedimiento de cuadratura de MIPS32 y MIPS64. Muchos algoritmos de la CE están afectados, incluyendo algunas de las curvas por defecto de TLS versión 1.3. El impacto no es analizado en detalle, porque los requisitos previos para el ataque son considerados poco probables e incluyen el reuso de claves privadas. El análisis sugiere que los ataques contra RSA y DSA como resultado de este defecto serían muy difíciles de llevar a cabo y no se consideran probables. Los ataques contra DH se consideran apenas factibles (aunque muy difíciles) porque la mayor parte del trabajo necesario para deducir información sobre una clave privada puede llevarse a cabo fuera de línea. La cantidad de recursos necesarios para un ataque de este tipo sería significativa. Sin embargo, para que un ataque a TLS tenga sentido, el servidor tendría que compartir la clave privada DH entre múltiples clientes, lo que ya no es una opción desde CVE-2016-0701. Este problema afecta a OpenSSL versiones 1.0.2, 1.1.1 y 3.0.0. Se ha abordado en versiones 1.1.1m y 3.0.1 el 15 de diciembre de 2021. En el caso de la versión 1.0.2, ha sido abordada en el commit 6fc1aaaf3 de git, que sólo está disponible para los clientes de soporte premium. Estará disponible en la versión 1.0.2zc cuando sea publicada. El problema sólo afecta a OpenSSL en plataformas MIPS. Corregido en OpenSSL versión 3.0.1 (Afectado versión 3.0.0). Corregido en OpenSSL versión 1.1.1m (Afectado versión 1.1.1-1.1.1l). Corregido en OpenSSL versión 1.0.2zc-dev (Afectado versión 1.0.2-1.0.2zb)

Una Lectura Fuera de Límites en Conda vim versiones anteriores a 8.2

Desbordamiento de búfer basado en Heap en el repositorio de GitHub vim anterior a 8.2

Se ha detectado que H.H.G Multistore versiones v5.1.0 y anteriores, contienen una vulnerabilidad de inyección SQL por medio de /admin/customers.php?page=1&cID

Se ha detectado que H.H.G Multistore versiones v5.1.0 y anteriores, contiene una vulnerabilidad de inyección SQL por medio de /admin/admin.php?module=admin_access_group_edit&aagID

Se ha detectado que H.H.G Multistore versiones v5.1.0 y anteriores, contiene una vulnerabilidad de inyección SQL por medio de /admin/categories.php?box_group_id

Se ha detectado que H.H.G Multistore versiones v5.1.0 y anteriores, contiene una vulnerabilidad de inyección SQL por medio de /admin/admin.php?module=admin_group_edit&agID

Una vulnerabilidad de tipo Cross-site scripting (XSS) en H.H.G Multistore versiones v5.1.0 y anteriores, permite a atacantes ejecutar scripts web o HTML arbitrarios por medio de una carga útil diseñada insertada en el parámetro State bajo el módulo Address Book

Se presenta una vulnerabilidad de denegación de servicio en la funcionalidad JSON command parser del archivo cgiserver.cgi de reolink RLC-410W versión v3.0.0.136_20121102. Una petición HTTP especialmente diseñada puede conllevar un reinicio. El parámetro GetMdAlarm no es un objeto. Un atacante puede enviar una petición HTTP para desencadenar esta vulnerabilidad

Se presenta una vulnerabilidad de denegación de servicio en la funcionalidad JSON command parser del archivo cgiserver.cgi de reolink RLC-410W versión v3.0.0.136_20121102. Una petición HTTP especialmente diseñada puede conllevar un reinicio. El parámetro GetAlarm no es un objeto. Un atacante puede enviar una petición HTTP para desencadenar esta vulnerabilidad

Se presenta una vulnerabilidad de denegación de servicio en la funcionalidad JSON command parser del archivo cgiserver.cgi de reolink RLC-410W versión v3.0.0.136_20121102. Una petición HTTP especialmente diseñada puede conllevar un reinicio. El parámetro Disconnect no es un objeto. Un atacante puede enviar una petición HTTP para desencadenar esta vulnerabilidad