Vulnerabilidades

Zoho ManageEngine ADSelfService Plus versiones hasta 6101, es vulnerable a una Ejecución de Código Remota no autenticada mientras se cambia la contraseña

Los enlaces de banda base de Bluetooth Low Energy sin cifrar en Bluetooth Core Specifications versiones 4.0 hasta 5.2, pueden permitir a un dispositivo adyacente inyectar un paquete diseñado durante la ventana de recepción del dispositivo de escucha antes de que el dispositivo transmisor inicie su transmisión de paquetes para lograr un estado de tipo MITM completo sin terminar el enlace. Cuando se aplica contra dispositivos que establecen o usan enlaces cifrados, los paquetes diseñados pueden ser usados para terminar un enlace existente, pero no comprometerán la confidencialidad o la integridad del enlace

Unas credenciales de usuarios almacenadas en un formato recuperable dentro de Fidelis Network and Deception CommandPost. En el evento que un atacante consigue acceso al CommandPost, estos valores podrían ser decodificados y usados para iniciar sesión en la aplicación. La vulnerabilidad está presente en Fidelis Network and Deception versiones anteriores a 9.3.3. Esta vulnerabilidad ha sido abordada en versión 9.3.3 y versiones subsecuentes

Una vulnerabilidad en Fidelis Network and Deception CommandPost permite una inyección de comandos autenticados mediante la interfaz web. La vulnerabilidad podría permitir a una petición HTTP especialmente diseñada ejecutar comandos del sistema en el CommandPost y devolver los resultados en una respuesta HTTP en una sesión autenticada. La vulnerabilidad está presente en Fidelis Network and Deception versiones anteriores a 9.3.7 y en versión 9.4. Parches y actualizaciones disponibles para solucionar esta vulnerabilidad

SAS Environment Manager versión 2.5, permite un ataque de tipo XSS mediante el campo Name cuando se crea y edita un servidor. El ataque de tipo XSS se producirá al editar las propiedades de configuración

Shopware es una plataforma de comercio electrónico de código abierto. En versiones anteriores a 6.4.1.1 la api de administración ha expuesto algunos campos internos ocultos cuando ha sido cargado una asociación con una referencia a muchos. Se recomienda a usuarios actualizar a versión 6.4.1.1. Puede obtener la actualización a 6.4.1.1 regularmente por medio del Auto-Updater o directamente por medio del resumen de descargas. Para las versiones anteriores de 6.1, 6.2 y 6.3, las medidas de seguridad correspondientes también están disponibles por medio de un plugin

Shopware es una plataforma de comercio electrónico de código abierto. En versiones anteriores a 6.4.1.1 los archivos privados son accesibles públicamente con los proveedores de almacenamiento en la nube cuando se conoce la URL con hash. Se recomienda a usuarios que primero cambien su configuración para ajustar la visibilidad correcta de acuerdo con la documentación. La visibilidad debe estar al mismo nivel que "type". Cuando el Almacenamiento es guardado en Amazon AWS recomendamos deshabilitar el acceso público al bucket que contiene los archivos privados: https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html. En caso contrario, actualice a Shopware versión 6.4.1.1 o instale o actualice el plugin de seguridad (https://store.shopware.com/en/detail/index/sArticle/518463/number/Swag136939272659) y ejecute el comando "./bin/console s3:set-visibility" para corregir la visibilidad de sus archivos en la nube

Shopware es una plataforma de comercio electrónico de código abierto. Unas versiones anteriores a 5.6.10 son vulnerables a la filtración de información del sistema en el manejo de errores. Se recomienda a usuarios actualizar a versión 5.6.10. Puede obtener la actualización a versión 5.6.10 regularmente por medio del Auto-Updater o directamente por medio del resumen de descargas

Shopware es una plataforma de comercio electrónico de código abierto. Unas versiones anteriores a 5.6.10 sufren una vulnerabilidad de tipo XSS almacenado autentificado en la administración. Se recomienda a usuarios actualizar a versión 5.6.10. Puede obtener la actualización a versión 5.6.10 regularmente por medio del Auto-Updater o directamente por medio del resumen de descargas

Emote Interactive Remote Mouse versión 3.008 en Windows, permite a atacantes ejecutar programas arbitrarios como Administrador al usar la funcionalidad Image Transfer Folder para navegar al ejecutable cmd.exe. Se vincula a los puertos locales para escuchar las conexiones entrantes

Shopware es una plataforma de comercio electrónico de código abierto. Un potencial secuestro de la sesión de los clientes de la tienda en versiones inferiores a 6.3.5.2. Recomendamos actualizar a versión actual 6.3.5.2. Puede obtener la actualización a 6.3.5.2 regularmente por medio del Auto-Updater o directamente por medio del resumen de descargas. Para las versiones anteriores de 6.1 y 6.2, también están disponibles las medidas de seguridad correspondientes por medio de un plugin. Para disfrutar de todas las funciones, recomendamos actualizar a la última versión de Shopware

Shopware es una plataforma de comercio electrónico de código abierto. Las versiones anteriores a 6.3.5.1 pueden filtrar información por medio de Store-API. La vulnerabilidad sólo ha podido ser corregido al cambiar el sistema de la API, lo que implica un cambio no compatible con la versión anterior. Sólo los consumidores de la Store-API deberían verse afectados por este cambio. Recomendamos actualizar a versión actual 6.3.5.1. Puede obtener la actualización a versión 6.3.5.1 de forma regular por medio del Auto-Updater o directamente por medio de la visualización general de descargas. https://www.shopware.com/en/download/#shopware-6 La vulnerabilidad sólo podría ser corregida al cambiar el sistema de la API, lo que implica un cambio no compatible con versiones anteriores. Sólo los consumidores de la Store-API deberían verse afectados por este cambio. Por favor, compruebe sus plugins si los demas presentan los casos de uso. Encontrará información técnica detallada en la información sobre la actualización. https://github.com/shopware/platform/blob/v6.3.5.1/UPGRADE-6.3.md#6351 ### Soluciones Para las versiones anteriores de 6.1 y 6.2, las medidas de seguridad correspondientes también están disponibles por medio de un plugin. Para disfrutar de todas las funciones, recomendamos actualizar a la última versión de Shopware. https://store.shopware.com/en/detail/index/sArticle/518463/number/Swag136939272659 ### Para más información https://docs.shopware.com/en/shopware-6-en/security-updates/security-update-02-2021