Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en las firmas de archivos en Microsoft Windows (CVE-2020-1464)
  Severidad: BAJA
  Fecha de publicación: 17/08/2020
  Fecha de última actualización: 26/07/2024
  Se presenta una vulnerabilidad de suplantación de identidad cuando Windows, comprueba inapropiadamente las firmas de archivos, también se conoce como "Windows Spoofing Vulnerability".
  
• Vulnerabilidad en los navegadores de Microsoft (CVE-2020-0878)
  Severidad: MEDIA
  Fecha de publicación: 11/09/2020
  Fecha de última actualización: 26/07/2024
  Se presenta una vulnerabilidad de ejecución de código remota en la manera en que los navegadores de Microsoft acceden a objetos en memoria, también se conoce como "Microsoft Browser Memory Corruption Vulnerability"
  
• Vulnerabilidad en el motor de scripting en Microsoft Internet Explorer (CVE-2020-1380)
  Severidad: ALTA
  Fecha de publicación: 17/08/2020
  Fecha de última actualización: 26/07/2024
  Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting maneja objetos en memoria en Internet Explorer, también se conoce como "Scripting Engine Memory Corruption Vulnerability". Este ID de CVE es diferente de CVE-2020-1555, CVE-2020-1570.
  
• Vulnerabilidad en el envío de peticiones web en la Salt API en SaltStack Salt (CVE-2020-16846)
  Severidad: ALTA
  Fecha de publicación: 06/11/2020
  Fecha de última actualización: 26/07/2024
  Se detectó un problema en SaltStack Salt versiones hasta 3002. El envío de peticiones web diseñadas a la Salt API, con el cliente SSH habilitado, puede resultar en una inyección shell
  
• Vulnerabilidad en la contraseña de una cuenta no documentada (zyfwp) en los dispositivos Zyxel USG (CVE-2020-29583)
  Severidad: ALTA
  Fecha de publicación: 22/12/2020
  Fecha de última actualización: 26/07/2024
  La versión de firmware 4.60 de los dispositivos Zyxel USG contiene una cuenta no documentada (zyfwp) con una contraseña que no puede ser cambiada. La contraseña para esta cuenta se puede encontrar en texto sin cifrar en el firmware. Esta cuenta puede ser usada por alguien para iniciar sesión en el servidor ssh o en la interfaz web con privilegios de administrador
  
• Vulnerabilidad en Windows Kernel de Microsoft (CVE-2021-33771)
  Severidad: ALTA
  Fecha de publicación: 14/07/2021
  Fecha de última actualización: 26/07/2024
  Una vulnerabilidad de Elevación de Privilegios en Windows Kernel. Este ID de CVE es diferente de CVE-2021-31979, CVE-2021-34514
  
• Vulnerabilidad en Windows Kernel de Microsoft (CVE-2021-31979)
  Severidad: ALTA
  Fecha de publicación: 14/07/2021
  Fecha de última actualización: 26/07/2024
  Una vulnerabilidad de Elevación de Privilegios en Windows Kernel. Este ID de CVE es diferente de CVE-2021-33771, CVE-2021-34514
  
• Vulnerabilidad en Windows LSA de Microsoft (CVE-2021-36942)
  Severidad: MEDIA
  Fecha de publicación: 12/08/2021
  Fecha de última actualización: 26/07/2024
  Una Vulnerabilidad de suplantación de identidad en Windows LSA
  
• Vulnerabilidad en Windows Update Medic Service de Microsoft (CVE-2021-36948)
  Severidad: MEDIA
  Fecha de publicación: 12/08/2021
  Fecha de última actualización: 26/07/2024
  Una Vulnerabilidad de Elevación de Privilegios en Windows Update Medic Service
  
• Vulnerabilidad en Scripting Engine de Microsoft Windows (CVE-2021-34448)
  Severidad: ALTA
  Fecha de publicación: 16/07/2021
  Fecha de última actualización: 26/07/2024
  Una vulnerabilidad de Corrupción de Memoria de Scripting Engine
  
• Vulnerabilidad en OpenText Vertica Management (CVE-2023-7248)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/03/2024
  Fecha de última actualización: 26/07/2024
  Ciertas funciones en la consola de OpenText Vertica Management pueden ser propensas a omitirse mediante solicitudes manipuladas. La vulnerabilidad afectaría una de las funcionalidades de autenticación de Vertica al permitir solicitudes y secuencias especialmente manipuladas. Este problema afecta las siguientes versiones de Vertica Management Console: 10.x 11.1.1-24 o anterior 12.0.4-18 o anterior Actualice a una de las siguientes versiones de Vertica Management Console: 10.x para actualizar a las últimas versiones desde abajo. 11.1.1-25 12.0.4-19 23.x 24.x
  
• Vulnerabilidad en Italtel Embrace 1.6.4 (CVE-2024-31840)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/05/2024
  Fecha de última actualización: 26/07/2024
  Se descubrió un problema en Italtel Embrace 1.6.4. La aplicación web inserta contraseñas de texto plano en el código fuente HTML. Un usuario autenticado puede editar la configuración del servidor de correo electrónico. Una vez que el usuario accede a la función de edición, la aplicación web completa el formulario de edición con las credenciales actuales de la cuenta de correo electrónico, incluida la contraseña en texto plano.
  
• Vulnerabilidad en Italtel Embrace 1.6.4 (CVE-2024-31844)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/05/2024
  Fecha de última actualización: 26/07/2024
  Se descubrió un problema en Italtel Embrace 1.6.4. El servidor no maneja adecuadamente los errores de la aplicación. En algunos casos, esto conduce a la divulgación de información sobre el servidor. Un usuario no autenticado puede crear solicitudes específicas para que la aplicación genere un error. Dentro de un mensaje de error se revela cierta información sobre el servidor, como la ruta absoluta del código fuente de la aplicación. Este tipo de información puede ayudar a un atacante a realizar otros ataques contra el sistema. Esto se puede explotar sin autenticación.
  
• Vulnerabilidad en Italtel Embrace 1.6.4 (CVE-2024-31847)
  Severidad: Pendiente de análisis
  Fecha de publicación: 21/05/2024
  Fecha de última actualización: 26/07/2024
  Se descubrió un problema en Italtel Embrace 1.6.4. Una vulnerabilidad de Cross Site Scripting (XSS) almacenado permite a atacantes remotos autenticados y no autenticados inyectar scripts web o HTML de su elección en un parámetro GET. Esto refleja/almacena la entrada del usuario sin sanitización.
  
• Vulnerabilidad en LIVEBOX Collaboration vDesk (CVE-2022-45171)
  Severidad: Pendiente de análisis
  Fecha de publicación: 28/05/2024
  Fecha de última actualización: 26/07/2024
  Se descubrió un problema en LIVEBOX Collaboration vDesk hasta v018. Se puede realizar una carga sin restricciones de un archivo con un tipo peligroso en la sección del sitio web de vShare. Un usuario remoto, autenticado en el producto, puede cargar arbitrariamente archivos potencialmente peligrosos sin restricciones.
  
• Vulnerabilidad en LIVEBOX Collaboration vDesk (CVE-2022-45168)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/06/2024
  Fecha de última actualización: 26/07/2024
  Se descubrió un problema en LIVEBOX Collaboration vDesk hasta v018. Se puede omitir la autenticación de dos factores en el endpoint /login/backup_code y en el endpoint /api/v1/vdeskintegration/createbackupcodes, porque la aplicación permite al usuario generar o regenerar los códigos de respaldo antes de verificar el TOTP.
  
• Vulnerabilidad en LIVEBOX Collaboration vDesk (CVE-2022-45176)
  Severidad: Pendiente de análisis
  Fecha de publicación: 10/06/2024
  Fecha de última actualización: 26/07/2024
  Se descubrió un problema en LIVEBOX Collaboration vDesk hasta v018. Cross-site Scripting (XSS) Almacenado puede ocurrir en el endpoint /api/v1/getbodyfile a través del parámetro uri. La aplicación web (a través de su sección de funcionalidad vShare) no verifica adecuadamente los parámetros, enviados en solicitudes HTTP como entrada, antes de guardarlos en el servidor. Además, el contenido JavaScript manipulado puede reflejarse en el usuario final y ejecutarse mediante el navegador web.