Vulnerabilidades

Varias compilaciones de software para los siguientes dispositivos TCL 30Z y TCL A3X filtran el ICCID a una propiedad del sistema a la que puede acceder cualquier aplicación local en el dispositivo sin permisos ni privilegios especiales. Google restringió que las aplicaciones de terceros obtengan directamente identificadores de dispositivos no reiniciables en Android 10 y versiones posteriores, pero en estos casos se filtran mediante un proceso de alto privilegio y se pueden obtener indirectamente. Las huellas digitales de compilación de software para cada dispositivo vulnerable confirmado son las siguientes: TCL 30Z (TCL/4188R/Jetta_ATT:12/SP1A.210812.016/LV8E:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU5P:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU61:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU66:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU68:user/release-keys, TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU6P:user/release-keys, and TCL/T602DL/Jetta_TF:12/SP1A.210812.016/vU6X:user/release-keys) and TCL A3X (TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vAAZ:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vAB3:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vAB7:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABA:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABM:user/release-keys, TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABP:user/release-keys, and TCL/A600DL/Delhi_TF:11/RKQ1.201202.002/vABS:user/release-keys). Esta aplicación maliciosa lee la propiedad del sistema "persist.sys.tctPowerIccid" para obtener indirectamente el ICCID.

Vulnerabilidad de Server-Side Request Forgery (SSRF) en Apache HugeGraph-Hubble. Este problema afecta a Apache HugeGraph-Hubble: desde 1.0.0 antes de 1.3.0. Se recomienda a los usuarios actualizar a la versión 1.3.0, que soluciona el problema.

Vulnerabilidad de ejecución remota de comandos RCE en Apache HugeGraph-Server. Este problema afecta a Apache HugeGraph-Server: desde 1.0.0 antes de 1.3.0 en Java8 y Java11. Se recomienda a los usuarios actualizar a la versión 1.3.0 con Java11 y habilitar el sistema de autenticación lo que soluciona el problema.

Vulnerabilidad de omisión de autenticación mediante suplantación de identidad en Apache HugeGraph-Server. Este problema afecta a Apache HugeGraph-Server: desde 1.0.0 antes de 1.3.0. Se recomienda a los usuarios actualizar a la versión 1.3.0, que soluciona el problema.

El complemento Essential Addons for Elementor Pro para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget Contador del complemento en todas las versiones hasta la 5.8.11 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en atributos proporcionados por el usuario como 'title_html_tag '. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Vulnerabilidad de permiso inseguro en Agasta Sanketlife 2.0 Pocket 12-Lead ECG Monitor FW Version 3.0 permite a un atacante local provocar una denegación de servicio a través del componente Bluetooth Low Energy (BLE).

Un problema en Tormach xsTECH CNC Router, PathPilot Controller v2.9.6 permite a los atacantes borrar un sector crítico de la memoria flash, lo que hace que la máquina pierda conectividad de red y sufra daños en el firmware.

Un problema en Tormach xsTECH CNC Router, PathPilot Controller v2.9.6 permite a los atacantes provocar una denegación de servicio (DoS) al interrumpir la comunicación entre el controlador PathPilot y el enrutador CNC sobrescribiendo el nombre de la tarjeta en la memoria del dispositivo.

Control de acceso incorrecto en Tormach xsTECH CNC Router, PathPilot Controller v2.9.6 permite a los atacantes acceder a la carpeta compartida del código G y ver información confidencial.

Un problema en Tormach xsTECH CNC Router, PathPilot Controller v2.9.6 permite a los atacantes provocar una denegación de servicio (DoS) al interrumpir la comunicación entre el controlador PathPilot y el enrutador CNC sobrescribiendo la cookie de configuración Hostmot2 en la memoria del dispositivo.

Un problema en Tormach xsTECH CNC Router, PathPilot Controller v2.9.6 permite a los atacantes sobrescribir la dirección IP codificada en la memoria del dispositivo, interrumpiendo la conectividad de red entre el enrutador y el controlador.

Un problema en el protocolo de comunicación de Tormach xsTECH CNC Router, PathPilot Controller v2.9.6, permite a los atacantes provocar una denegación de servicio (DoS) mediante comandos manipulados.