Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en tarjetas inteligentes OpenSC (CVE-2021-34193)
Severidad: Pendiente de análisis
Fecha de publicación: 22/08/2023
Fecha de última actualización: 23/02/2024
Vulnerabilidad de desbordamiento de pila en el middleware de tarjetas inteligentes OpenSC anterior a 0.23 a través de respuestas a APDUs manipuladas.
-
Vulnerabilidad en libuv (CVE-2024-24806)
Severidad: Pendiente de análisis
Fecha de publicación: 07/02/2024
Fecha de última actualización: 23/02/2024
libuv es una librería de soporte multiplataforma centrada en E/S asíncrona. La función `uv_getaddrinfo` en `src/unix/getaddrinfo.c` (y su contraparte de Windows `src/win/getaddrinfo.c`), trunca los nombres de host a 256 caracteres antes de llamar a `getaddrinfo`. Este comportamiento se puede aprovechar para crear direcciones como `0x00007f000001`, que `getaddrinfo` considera válidas y podrían permitir a un atacante crear payloads que se resuelvan en direcciones IP no deseadas, evitando las comprobaciones de los desarrolladores. La vulnerabilidad surge debido a cómo se maneja la variable `hostname_ascii` (con una longitud de 256 bytes) en `uv_getaddrinfo` y posteriormente en `uv__idna_toascii`. Cuando el nombre de host supera los 256 caracteres, se trunca sin un byte nulo final. Como resultado, los atacantes pueden acceder a API internas o a sitios web (similares a MySpace) que permiten a los usuarios tener páginas `nombre de usuario.ejemplo.com`. Los servicios internos que rastrean o almacenan en caché estas páginas de usuario pueden quedar expuestos a ataques SSRF si un usuario malintencionado elige un nombre de usuario largo y vulnerable. Este problema se solucionó en la versión 1.48.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21381)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de suplantación de identidad de Microsoft Azure Active Directory B2C
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21384)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de ejecución remota de código de Microsoft Office OneNote
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21389)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de Cross-Site Scripting en Microsoft Dynamics 365 (local)
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21393)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de Cross-Site Scripting en Microsoft Dynamics 365 (local)
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21394)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de suplantación de servicio de campo de Dynamics 365
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21395)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de Cross-Site Scripting en Microsoft Dynamics 365 (local)
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21396)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de suplantación de ventas en Dynamics 365
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21397)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 23/02/2024
Vulnerabilidad de elevación de privilegios de sincronización de archivos de Microsoft Azure