[DES] Boletin de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el parámetro urll signIn.do en el panel de inicio de sesión en Redwood Report2Web (CVE-2021-26710)
Severidad: MEDIA
Fecha de publicación: 05/02/2021
Fecha de última actualización: 04/02/2022
Un problema de tipo cross-site scripting (XSS) en el panel de inicio de sesión en Redwood Report2Web versión 4.3.4.5, y 4.5.3, permite a atacantes remotos inyectar JavaScript por medio del parámetro urll signIn.do
Vulnerabilidad en una página HTML en Freetype en Google Chrome (CVE-2020-15999)
Severidad: MEDIA
Fecha de publicación: 03/11/2020
Fecha de última actualización: 28/01/2022
Un desbordamiento del búfer de la pila en Freetype en Google Chrome anterior a versión 86.0.4240.111, permitía a un atacante remoto explotar potencialmente una corrupción de pila por medio de una página HTML diseñada
Vulnerabilidad en el tráfico de red Telnet en PowerLogic ION7400, ION7650, ION7700/73xx, ION83xx/84xx/85xx/8600, ION8650, ION8800, ION9000 y PM800 (CVE-2021-22702)
Severidad: MEDIA
Fecha de publicación: 19/02/2021
Fecha de última actualización: 03/02/2022
A CWE-319: Se presenta una vulnerabilidad de transmisión de información confidencial en texto sin cifrar en PowerLogic ION7400, ION7650, ION7700/73xx, ION83xx/84xx/85xx/8600, ION8650, ION8800, ION9000 y PM800 (consulte la notificación para las versiones afectadas), que podría causar una divulgación de credenciales de usuario cuando un actor malicioso intercepta el tráfico de red Telnet entre un usuario y el dispositivo
Vulnerabilidad en el tráfico de red HTTP en PowerLogic ION7400, ION7650, ION83xx/84xx/85xx/8600, ION8650, ION8800, ION9000 y PM800 (CVE-2021-22703)
Severidad: MEDIA
Fecha de publicación: 19/02/2021
Fecha de última actualización: 03/02/2022
Una CWE-319: Se presenta una vulnerabilidad de transmisión de información confidencial en texto sin cifrar en PowerLogic ION7400, ION7650, ION83xx/84xx/85xx/8600, ION8650, ION8800, ION9000 y PM800 (consulte la notificación para las versiones afectadas), que podría causar una divulgación de las credenciales del usuario cuando un actor malicioso intercepta el tráfico de red HTTP entre un usuario y el dispositivo
Vulnerabilidad en la interfaz web HTTP en PowerLogic ION7400, ION7650, ION83xx/84xx/85xx/8600, ION8650, ION8800, ION9000 y PM800 (CVE-2021-22701)
Severidad: BAJA
Fecha de publicación: 19/02/2021
Fecha de última actualización: 03/02/2022
Una CWE-352: Se presenta una vulnerabilidad de tipo Cross-Site Request Forgery en PowerLogic ION7400, ION7650, ION83xx/84xx/85xx/8600, ION8650, ION8800, ION9000 y PM800 (consulte la notificación para las versiones afectadas), que podría causar que un usuario lleve a cabo una acción no deseada en el dispositivo de destino cuando se usa la interfaz web HTTP
Vulnerabilidad en el componente Realm Server de TIBCO Software Inc.'s TIBCO FTL - Community Edition, TIBCO FTL - Developer Edition, y TIBCO FTL - Enterprise Edition (CVE-2021-43052)
Severidad: MEDIA
Fecha de publicación: 11/01/2022
Fecha de última actualización: 19/01/2022
El componente Realm Server de TIBCO Software Inc.'s TIBCO FTL - Community Edition, TIBCO FTL - Developer Edition, y TIBCO FTL - Enterprise Edition contiene una vulnerabilidad fácilmente explotable que permite omitir la autenticación debido a un secreto embebido duro usado en el servidor de reino por defecto del sistema afectado. Las versiones afectadas son TIBCO FTL - Community Edition de TIBCO Software Inc.: versiones 6.7.2 y anteriores, TIBCO FTL - Developer Edition: versiones 6.7.2 y anteriores, y TIBCO FTL - Enterprise Edition: versiones 6.7.2 y anteriores
Vulnerabilidad en el componente Realm Server de TIBCO Software Inc.'s TIBCO FTL - Community Edition, TIBCO FTL - Developer Edition, y TIBCO FTL - Enterprise Edition (CVE-2021-43053)
Severidad: MEDIA
Fecha de publicación: 11/01/2022
Fecha de última actualización: 19/01/2022
El componente Realm Server de TIBCO Software Inc.'s TIBCO FTL - Community Edition, TIBCO FTL - Developer Edition, y TIBCO FTL - Enterprise Edition contiene una vulnerabilidad difícil de explotar que permite a un atacante no autenticado con acceso a la red obtener el secreto del cluster de otra aplicación conectada al servidor de reino. Las versiones afectadas son TIBCO FTL - Community Edition de TIBCO Software Inc.: versiones 6.7.2 y anteriores, TIBCO FTL - Developer Edition: versiones 6.7.2 y anteriores, y TIBCO FTL - Enterprise Edition: versiones 6.7.2 y anteriores
Vulnerabilidad en AEM Forms Cloud Service offering (CVE-2021-40722)
Severidad: ALTA
Fecha de publicación: 13/01/2022
Fecha de última actualización: 19/01/2022
AEM Forms Cloud Service offering, así como la versión 6.5.10.0 (y anteriores) están afectadas por una vulnerabilidad de inyección de tipo XML External Entity (XXE) que podría ser abusada por un atacante para lograr RCE
Vulnerabilidad en AEM's Cloud Service offering (CVE-2021-43761)
Severidad: BAJA
Fecha de publicación: 13/01/2022
Fecha de última actualización: 19/01/2022
AEM's Cloud Service offering, así como las versiones 6.5.7.0 (y anteriores), 6.4.8.3 (y anteriores) y 6.3.3.8 (y anteriores) están afectadas por una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenada de la que podría abusar un atacante para inyectar scripts maliciosos en campos de formularios vulnerables. El JavaScript malicioso podría ejecutarse en el navegador de la víctima cuando ésta navega a la página que contiene el campo vulnerable
Vulnerabilidad en el envío de una petición HTTPS en la interfaz de servicios web del software Cisco Adaptive Security Appliance (ASA) y del software Cisco Firepower Threat Defense (FTD) (CVE-2021-1573)
Severidad: ALTA
Fecha de publicación: 11/01/2022
Fecha de última actualización: 19/01/2022
Una vulnerabilidad en la interfaz de servicios web del software Cisco Adaptive Security Appliance (ASA) y del software Cisco Firepower Threat Defense (FTD) podría permitir a un atacante remoto no autenticado desencadenar una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido a una comprobación inapropiada de entradas cuando son analizadas las peticiones HTTPS. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTPS maliciosa a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el dispositivo se recargue, resultando en una condición de DoS
Vulnerabilidad en AEM's Cloud Service offering (CVE-2021-43762)
Severidad: MEDIA
Fecha de publicación: 13/01/2022
Fecha de última actualización: 19/01/2022
AEM's Cloud Service offering, así como la versión 6.5.10.0 (y anteriores) están afectadas por una vulnerabilidad de omisión del despachador que podría ser abusada para evadir los controles de seguridad. Las áreas confidenciales de la aplicación web pueden quedar expuestas mediante la explotación de la vulnerabilidad
Vulnerabilidad en el envío de una petición HTTPS en la interfaz de servicios web del software Cisco Adaptive Security Appliance (ASA) y del software Cisco Firepower Threat Defense (FTD) (CVE-2021-34704)
Severidad: ALTA
Fecha de publicación: 11/01/2022
Fecha de última actualización: 19/01/2022
Una vulnerabilidad en la interfaz de servicios web del software Cisco Adaptive Security Appliance (ASA) y del software Cisco Firepower Threat Defense (FTD) podría permitir a un atacante remoto no autenticado desencadenar una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido a una comprobación inapropiada de entradas cuando son analizadas las peticiones HTTPS. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTPS maliciosa a un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar la recarga del dispositivo, resultando en una condición de DoS
Vulnerabilidad en ../ en una petición HTTP PUT en CoreFTP Server (CVE-2022-22836)
Severidad: MEDIA
Fecha de publicación: 10/01/2022
Fecha de última actualización: 19/01/2022
CoreFTP Server versiones anteriores a 727 ,permite un salto de directorio (para la creación de archivos) por un atacante autenticado por medio de ../ en una petición HTTP PUT
Vulnerabilidad en Windows Extensible Firmware Interface de Microsoft (CVE-2022-21899)
Severidad: MEDIA
Fecha de publicación: 11/01/2022
Fecha de última actualización: 19/01/2022
Vulnerabilidad de Omisión de la Funcionalidad de Seguridad de Windows Extensible Firmware Interface
Vulnerabilidad en la máquina del usuario durante el inicio de sesión en Docker Desktop (CVE-2021-45449)
Severidad: BAJA
Fecha de publicación: 12/01/2022
Fecha de última actualización: 19/01/2022
Docker Desktop versiones 4.3.0 y 4.3.1, presenta un bug que puede registrar información confidencial (token de acceso o contraseña) en la máquina del usuario durante el inicio de sesión. Esto sólo afecta a usuarios si están en Docker Desktop versiones 4.3.0, 4.3.1 y el usuario ha iniciado la sesión mientras está en versiones 4.3.0, 4.3.1. Para acceder a estos datos sería necesario tener acceso a los archivos locales del usuario
Vulnerabilidad en el módulo showReports de Zoho ManageEngine Applications Manager (CVE-2020-28679)
Severidad: MEDIA
Fecha de publicación: 10/01/2022
Fecha de última actualización: 19/01/2022
Una vulnerabilidad en el módulo showReports de Zoho ManageEngine Applications Manager versiones anteriores a 14550, permite a atacantes autenticados ejecutar una inyección SQL por medio de una petición diseñada
Vulnerabilidad en el componente Data Virtualization Server de múltiples dispositivos TIBCO (CVE-2021-35500)
Severidad: BAJA
Fecha de publicación: 12/01/2022
Fecha de última actualización: 19/01/2022
El componente Data Virtualization Server de TIBCO Software Inc.'s TIBCO Data Virtualization, TIBCO Data Virtualization, TIBCO Data Virtualization, y TIBCO Data Virtualization for AWS Marketplace contiene una vulnerabilidad difícil de explotar que permite a un atacante con pocos privilegios y acceso local descargar archivos arbitrarios fuera del alcance de los permisos del usuario en el sistema afectado. Las versiones afectadas son TIBCO Data Virtualization de TIBCO Software Inc.: versiones 8.3.0 y anteriores, TIBCO Data Virtualization: versión 8.4.0, TIBCO Data Virtualization: versión 8.5.0, y TIBCO Data Virtualization para AWS Marketplace: versiones 8.5.0 y anteriores
Vulnerabilidad en en Jenkins Bitbucket Branch Source Plugin (CVE-2022-20619)
Severidad: MEDIA
Fecha de publicación: 12/01/2022
Fecha de última actualización: 20/01/2022
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Bitbucket Branch Source Plugin 737.vdf9dc06105be y anteriores permite a atacantes conectarse a una URL especificada por el atacante usando IDs de credenciales especificados por el atacante obtenidos a través de otro método, capturando credenciales almacenadas en Jenkins
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access) (CVE-2022-21242)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 20/01/2022
Una vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que están afectadas son 18.0.0.0-18.0.3.0, 19.0.0.0-19.0.1.2, 20.0.0.0 y 20.0.0.1. Una vulnerabilidad explotable fácilmente permite a un atacante con bajos privilegios y con acceso a la red por medio de HTTP comprometer a Primavera Portfolio Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Primavera Portfolio Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de Primavera Portfolio Management, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Primavera Portfolio Management. CVSS 3.1, Puntuación base 5.4 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en la función de descarga wpie_process_file_download en el archivo ~/includes/classes/class-wpie-general.php en el plugin WP Import Export de WordPress (CVE-2022-0236)
Severidad: MEDIA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 24/01/2022
El plugin WP Import Export de WordPress (tanto en su versión gratuita como en la premium) es vulnerable a una divulgación de datos confidenciales sin autenticación debido a la falta de comprobación de capacidad en la función de descarga wpie_process_file_download que es encontrada en el archivo ~/includes/classes/class-wpie-general.php. Esto hacía posible que atacantes no autenticados pudieran descargar cualquier información importada o exportada de un sitio vulnerable que pudiera contener información confidencial como datos de usuarios. Esto afecta a las versiones hasta la 3.9.15 incluyéndola
Vulnerabilidad en el archivo ~/includes/xoo-framework/admin/class-xoo-admin-settings.php en la función save_settings en los plugins Login/Signup Popup, Waitlist Woocommerce (Back in stock notifier), y Side Cart Woocommerce (Ajax) de WordPress (CVE-2022-0215)
Severidad: MEDIA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 24/01/2022
Los plugins Login/Signup Popup, Waitlist Woocommerce ( Back in stock notifier ), y Side Cart Woocommerce (Ajax) de WordPress son vulnerables a un ataque de tipo Cross-Site Request Forgery por medio de la función save_settings que es encontrada en el archivo ~/includes/xoo-framework/admin/class-xoo-admin-settings.php, lo que hace posible que atacantes actualicen opciones arbitrarias en un sitio que pueden ser usadas para crear una cuenta de usuario administrativo y conceder acceso privilegiado completo a un sitio comprometido. Esto afecta a versiones anteriores a 2.2 incluyéndola, en Login/Signup Popup, versiones anteriores a 2.5.1 incluyéndola, en Waitlist Woocommerce ( Back in stock notifier ), y versiones anteriores a 2.0 incluyéndola, en Side Cart Woocommerce (Ajax)
Vulnerabilidad en GitLab CE/EE (CVE-2022-0244)
Severidad: MEDIA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 25/01/2022
Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 14.5. Una lectura arbitraria de archivos era posible al importar un grupo debido a un manejo incorrecto del archivo
Vulnerabilidad en un mantenedor de un proyect en GitLab (CVE-2022-0125)
Severidad: MEDIA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 25/01/2022
Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 12.0 anteriores a 14.4.5, todas las versiones a partir de la 14.5.0 anteriores a 14.5.3, todas las versiones a partir de la 14.6.0 anteriores a 14.6.2. GitLab no verificaba que un mantenedor de un proyecto tuviera el acceso correcto para importar miembros de un proyecto de destino
Vulnerabilidad en la generación del código HTML relacionado con los emojis en GitLab CE/EE (CVE-2021-39946)
Severidad: BAJA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 25/01/2022
Una neutralización inapropiada de la entrada del usuario en GitLab CE/EE versiones 14.3 a 14.3.6, 14.4 a 14.4.4 y 14.5 a 14.5.2, permitía a un atacante explotar una vulnerabilidad de tipo XSS al abusar de la generación del código HTML relacionado con los emojis
Vulnerabilidad en los archivos en el repositorio de paquetes NPM en GitLab CE/EE (CVE-2021-39942)
Severidad: MEDIA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 25/01/2022
Una vulnerabilidad de denegación de servicio en GitLab CE/EE que afecta a todas las versiones a partir de la 12.0 anteriores a 14.3.6, a todas las versiones a partir de la 14.4 anteriores a 14.4.4, a todas las versiones a partir de la 14.5 anteriores a 14.5.2, permite a usuarios poco privilegiados omitir los límites de tamaño de los archivos en el repositorio de paquetes NPM para causar potencialmente una denegación de servicio
Vulnerabilidad en GitLab CE/EE (CVE-2021-39892)
Severidad: MEDIA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 25/01/2022
En todas las versiones de GitLab CE/EE desde la versión 12.0, un usuario con bajos privilegios puede importar usuarios de proyectos en los que no presenta rol de mantenedor y revelar las direcciones de correo electrónico de esos usuarios
Vulnerabilidad en el envío de una petición HTTP en IBM Cloud Pak for Automation (CVE-2021-29872)
Severidad: BAJA
Fecha de publicación: 18/01/2022
Fecha de última actualización: 25/01/2022
IBM Cloud Pak for Automation versiones 21.0.1 y 21.0.2 - Business Automation Studio Component es vulnerable a una inyección de encabezados HTTP, causada por una comprobación inapropiada de la entrada de los encabezados HOST. Mediante el envío de una petición HTTP especialmente diseñada, un atacante remoto podría explotar esta vulnerabilidad para inyectar el encabezado HTTP HOST, lo que permitiría al atacante llevar a cabo varios ataques contra el sistema vulnerable, incluyendo de tipo cross-site scripting, envenenamiento de caché o secuestro de sesión. IBM X-Force ID: 206228
Vulnerabilidad en el producto PeopleSoft Enterprise CS SA Integration Pack de Oracle PeopleSoft (componente: Snapshot Integration) (CVE-2022-21300)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto PeopleSoft Enterprise CS SA Integration Pack de Oracle PeopleSoft (componente: Snapshot Integration). Las versiones compatibles que están afectadas son 9.0 y la 9.2. Una vulnerabilidad explotable fácilmente, permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer PeopleSoft Enterprise CS SA Integration Pack. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de PeopleSoft Enterprise CS SA Integration Pack. CVSS 3.1, Puntuación base 7.5 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2022-21297)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21290)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21289)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21288)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21287)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21286)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21285)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21284)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access) (CVE-2022-21281)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 21/01/2022
Una vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que están afectadas son 18.0.0.0-18.0.3.0, 19.0.0.0-19.0.1.2, 20.0.0.0 y 20.0.0.1. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Primavera Portfolio Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Primavera Portfolio Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de Primavera Portfolio Management, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Primavera Portfolio Management. CVSS 3.1, Puntuación base 4.8 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access) (CVE-2022-21269)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 22/01/2022
Una vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que están afectadas son 18.0.0.0-18.0.3.0, 19.0.0.0-19.0.1.2, 20.0.0.0 y 20.0.0.1. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Primavera Portfolio Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y mientras la vulnerabilidad está en Primavera Portfolio Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de Primavera Portfolio Management, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Primavera Portfolio Management. CVSS 3.1, Puntuación base 6.1 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access) (CVE-2022-21244)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 21/01/2022
Una vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que están afectadas son 18.0.0.0-18.0.3.0, 19.0.0.0-19.0.1.2, 20.0.0.0 y 20.0.0.1. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Primavera Portfolio Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Primavera Portfolio Management. CVSS 3.1, Puntuación base 4.3 (impactos en la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access) (CVE-2022-21243)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 21/01/2022
Una vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que están afectadas son 18.0.0.0-18.0.3.0, 19.0.0.0-19.0.1.2, 20.0.0.0 y 20.0.0.1. Una vulnerabilidad explotable fácilmente permite a un atacante con bajos privilegios y con acceso a la red por medio de HTTP comprometer a Primavera Portfolio Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de Primavera Portfolio Management. CVSS 3.1, Puntuación base 4.3 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto Oracle Commerce Platform de Oracle Commerce (componente: Dynamo Application Framework) (CVE-2022-21387)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 25/01/2022
Una vulnerabilidad en el producto Oracle Commerce Platform de Oracle Commerce (componente: Dynamo Application Framework). Las versiones compatibles que están afectadas son 11.3.0, 11.3.1 y 11.3.2. Una vulnerabilidad explotable fácilmente, permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer la Plataforma de Comercio de Oracle. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Commerce Platform. CVSS 3.1, Puntuación base 5.3 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21380)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Group Replication Plugin) (CVE-2022-21379)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 25/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Group Replication Plugin). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2022-21378)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a Servidor MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) del Servidor MySQL, así como la actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1, Puntuación base 5.5 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web API) (CVE-2022-21377)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web API). Las versiones compatibles que están afectadas son 18.0.0.0-18.0.3.0, la 19.0.0.0-19.0.1.2 y la 20.0.0.0. Una vulnerabilidad explotable fácilmente, permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Primavera Portfolio Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o la eliminación de algunos de los datos accesibles de Primavera Portfolio Management, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Primavera Portfolio Management. CVSS 3.1, Puntuación base 5.4 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N)
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access) (CVE-2022-21376)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 25/01/2022
Una vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que están afectadas son 18.0.0.0-18.0.3.0, la 19.0.0.0-19.0.1.2 y la 20.0.0.0. Una vulnerabilidad explotable fácilmente, permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Primavera Portfolio Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles de Primavera Portfolio Management, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Primavera Portfolio Management. CVSS 3.1, Puntuación base 5.4 (impactos en la Confidencialidad y la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Information Schema) (CVE-2022-21374)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Information Schema). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption) (CVE-2022-21372)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una negación parcial del servicio (DOS parcial) de MySQL Server. CVSS 3.1, Puntuación base 2.7 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2022-21370)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services) (CVE-2022-21368)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Server, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server y la capacidad no autorizada para causar una denegación parcial de servicio (DOS parcial) de MySQL Server. CVSS 3.1, Puntuación base 4.7 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Compiling) (CVE-2022-21367)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Compiling). Las versiones compatibles que están afectadas son 5.7.36 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) del Servidor MySQL, así como la actualización no autorizada, la inserción o el acceso a la eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1, Puntuación base 5.5 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Information Schema) (CVE-2022-21362)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Information Schema). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption) (CVE-2022-21358)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante con bajos privilegios y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 6.5 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21357)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21356)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21355)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2022-21352)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación no autorizada, la eliminación o el acceso a la modificación de los datos críticos o todos los datos accesibles de MySQL Server y la capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 5.9 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2022-21351)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante con bajos privilegios y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) del Servidor MySQL, así como el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1, Puntuación base 7.1 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2022-21348)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security) (CVE-2022-21346)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security). Las versiones compatibles que están afectadas son 5.5.0.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente, permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle BI Publisher. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Oracle BI Publisher. CVSS 3.1, Puntuación base 7.5 (impactos en la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication) (CVE-2022-21344)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles que están afectadas son 5.7.36 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2022-21342)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante muy privilegiado y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1, Puntuación base 4.9 (impactos en la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21337)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21336)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21335)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21334)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster, comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21333)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21332)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21331)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21330)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el Cluster MySQL, comprometer a Cluster MySQL. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21329)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21328)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21327)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General (CVE-2022-21326)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21325)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21324)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21323)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 25/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el Cluster MySQL, comprometer a Cluster MySQL. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21321)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 25/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21320)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21319)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21318)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.6.20 y anteriores y 8.0.27 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado y con acceso a la infraestructura donde es ejecutado MySQL Cluster, comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21317)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21316)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado y con acceso a la infraestructura donde es ejecutado MySQL Cluster, comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21315)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21314)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21313)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.6.20 y anteriores y 8.0.27 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster, comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21312)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21311)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una negación parcial de servicio (DOS parcial) de MySQL Cluster. CVSS 3.1, Puntuación base 2.9 (impactos en la Confidencialidad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:L)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21310)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21309)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21308)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. La vulnerabilidad, difícil de explotar, permite a un atacante muy privilegiado que tenga acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster, comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21307)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación físico conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21280)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21279)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 7.4.34 y anteriores, 7.5.24 y anteriores, 7.6.20 y anteriores y 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2022-21278)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.26 y anteriores. Una vulnerabilidad explotable fácilmente, permite a un atacante con bajos privilegios y con acceso a la red por medio de múltiples protocolos, comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completo) del Servidor MySQL, así como el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles del Servidor MySQL. CVSS 3.1, Puntuación base 7.1 (impactos en la Integridad y la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H)
Vulnerabilidad en la API REST de Juniper Networks Contrail Service Orchestration (CVE-2022-22152)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 24/01/2022
Una vulnerabilidad de Fallo del Mecanismo de Protección en la API REST de Juniper Networks Contrail Service Orchestration permite a un arrendatario del sistema visualizar detalles de configuración confidenciales de otro arrendatario del mismo sistema. Al usar la API REST, un inquilino puede obtener información sobre la configuración del firewall y las políticas de control de acceso de otro inquilino, así como otra información confidencial, exponiendo al inquilino a una defensa reducida contra ataques maliciosos o a la explotación por medio de vulnerabilidades adicionales no determinadas. Este problema afecta a versiones de Juniper Networks Contrail Service Orchestration anteriores a 6.1.0 Patch 3
Vulnerabilidad en Istio (CVE-2022-21701)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 27/01/2022
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En las versiones 1.12.0 y 1.12.1 Istio es vulnerable a un ataque de escalada de privilegios. Los usuarios que presentan permiso "CREATE" para los objetos "gateways.gateway.networking.k8s.io" pueden escalar este privilegio para crear otros recursos a los que no tienen acceso, como "Pod". Esta vulnerabilidad afecta sólo a una característica de nivel Alpha, la API de Kubernetes Gateway. No es lo mismo que el tipo de Gateway de Istio (gateways.networking.istio.io), que no es vulnerable. Se recomienda a los usuarios que actualicen para resolver este problema. Los usuarios que no puedan actualizar deberán implementar alguna de las siguientes medidas que evitarán esta vulnerabilidad: Eliminar el CustomResourceDefinition de gateways.gateway.networking.k8s.io, establecer la variable de entorno PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER=true en Istiod, o eliminar los permisos CREATE para los objetos de gateways.gateway.networking.k8s.io de los usuarios que no sean confiables
Vulnerabilidad en Istio (CVE-2022-21679)
Severidad: ALTA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 27/01/2022
Istio es una plataforma abierta para conectar, administrar y asegurar microservicios. En Istio versiones 1.12.0 y 1.12.1 la política de autorización con hosts y notHosts podría ser accidentalmente omitida para la acción ALLOW o rechazada inesperadamente para la acción DENY durante la actualización de 1.11 a 1.12.0/1.12.1. Istio 1.12 soporta los campos hosts y notHosts en la política de autorización con una nueva API Envoy enviada con el plano de datos 1.12. Un error en las versiones 1.12.0 y 1.12.1 usa incorrectamente la nueva API de Envoy con el plano de datos 1.11. Esto causará que los campos hosts y notHosts siempre coincidan independientemente del valor real del encabezado del host cuando sean mezclados el plano de control 1.12.0/1.12.1 y el plano de datos 1.11. Se aconseja a usuarios actualizar o no mezclar el plano de control 1.12.0/1.12.1 con el plano de datos 1.11 si son usados los campos hosts o notHosts en la política de autorización
Vulnerabilidad en el componente del servidor Web de múltiples aplicaciones TIBCO (CVE-2022-22769)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
El componente del servidor Web de TIBCO Software Inc. TIBCO EBX, TIBCO EBX, TIBCO EBX Add-ons, TIBCO EBX Add-ons, TIBCO EBX Add-ons, y TIBCO Product and Service Catalog powered by TIBCO EBX contiene una vulnerabilidad fácilmente explotable que permite a un atacante poco privilegiado y con acceso a la red ejecutar un ataque de tipo Cross Site Scripting (XSS) Almacenado en el sistema afectado. Un ataque con éxito usando esta vulnerabilidad requiere la interacción humana de una persona diferente del atacante. Las versiones afectadas son TIBCO Software Inc.'s TIBCO EBX: versiones 5.8.124 y anteriores, TIBCO EBX: versiones 5.9.3, 5.9.4, 5.9.5, 5.9.6, 5.9.7, 5.9.8, 5.9.9, 5.9.10, 5.9. 11, 5.9.12, 5.9.13, 5.9.14 y 5.9.15, TIBCO EBX: versiones 6.0.0, 6.0.1, 6.0.2 y 6.0.3, TIBCO EBX Add-ons: versiones 3.20.18 y anteriores, TIBCO EBX Add-ons: versiones 4. 1.0, 4.2.0, 4.2.1, 4.2.2, 4.3.0, 4.3.1, 4.3.2, 4.3.3, 4.3.4, 4.4.0, 4.4.1, 4.4.2, 4.4.3, 4.5.0, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5 y 4.5. 6, TIBCO EBX Add-ons: versiones 5.0.0, 5.0.1, 5.1.0, 5.1.1 y 5.2.0, y TIBCO Product and Service Catalog powered by TIBCO EBX: versiones 1.1.0 y anteriores
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General) (CVE-2022-21322)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 25/01/2022
Una vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: General). Las versiones compatibles que están afectadas son 8.0.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso al segmento de comunicación física conectado al hardware donde es ejecutado el MySQL Cluster comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MySQL Cluster. CVSS 3.1, Puntuación base 6.3 (impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en determinados dispositivos de la serie EX (CVE-2022-22180)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 01/02/2022
Una vulnerabilidad de Comprobación inapropiada de Condiciones Inusuales o Excepcionales en el procesamiento de paquetes IPv6 específicos en determinados dispositivos de la serie EX puede conllevar a un agotamiento de la memoria DMA causando una denegación de servicio (DoS). Con el tiempo, una explotación de esta vulnerabilidad puede causar que el tráfico deje de ser reenviado, o un bloqueo del proceso fxpc. Una indicación de que el problema está ocurriendo puede observarse mediante los siguientes mensajes de registro: Sep 13 17:14:59 hostname : %PFE-3: fpc0 (buf alloc) failed allocating packet buffer Sep 13 17:14:59 hostname : %PFE-7: fpc0 brcm_pkt_buf_alloc:393 (buf alloc) failed allocating packet buffer Cuando El uso de la Pila de Packet DMA alcanza el 99%, el sistema se vuelve inestable. El uso de la pila de Packet DMA puede ser monitoreado usando el comando user@junos# request pfe execute target fpc0 timeout 30 command "show heap" ID Base Total(b) Free(b) Used(b) % Name -- ---------- ----------- ----------- ----------- --- ----------- 0 213301a8 536870488 387228840 149641648 27 Kernel 1 91800000 8388608 3735120 4653488 55 DMA 2 92000000 75497472 74452192 1045280 1 PKT DMA DESC 3 d330000 335544320 257091400 78452920 23 Bcm_sdk 4 96800000 184549376 2408 184546968 99 Packet DMA <<<< 5 903fffe0 20971504 20971504 0 0 Blob. Este problema afecta: Juniper Networks Junos OS versiones 18.4 anteriores a 18.4R2-S10, 18.4R3-S10 en las series EX2300, EX2300-MP, EX3400; 19.1 versiones anteriores a 19.1R3-S7 en las series EX2300, EX2300-MP, EX3400; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S4 en las series EX2300, EX2300-MP, EX3400; 19. 3 versiones anteriores a 19.3R3-S5 en las series EX2300, EX2300-MP y EX3400; 19.4 versiones anteriores a 19.4R3-S7 en las series EX2300, EX2300-MP y EX3400; versiones 20.1 anteriores a 20.1R3-S3 en las series EX2300, EX2300-MP y EX3400; 20. 2 versiones anteriores a 20.2R3-S3 en las series EX2300, EX2300-MP y EX3400; versiones 20.3 anteriores a 20.3R3-S2 en las series EX2300, EX2300-MP y EX3400; versiones 20.4 anteriores a 20.4R3-S1 en las series EX2300, EX2300-MP y EX3400; 21. 1 versiones anteriores a 21.1R2-S2, 21.1R3 en las series EX2300, EX2300-MP, EX3400; 21.2 versiones anteriores a 21.2R1-S2, 21.2R2 en las series EX2300, EX2300-MP, EX3400; versiones 21.3 anteriores a 21.3R1-S1, 21.3R2 en las series EX2300, EX2300-MP, EX3400
Vulnerabilidad en el demonio DHCP de Juniper (jdhcpd) del Sistema Operativo Junos de Juniper Networks (CVE-2022-22179)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de comprobación inapropiada de Índice, Posición o Desplazamiento Especificado en la Entrada en el demonio DHCP de Juniper (jdhcpd) del Sistema Operativo Junos de Juniper Networks permite a un atacante adyacente no autenticado causar un bloqueo de jdhcpd y por lo tanto una Denegación de Servicio (DoS). En un escenario en el que el relé DHCP o el servidor local están configurados, el problema puede desencadenarse si es recibido un paquete DHCPv4 con opciones específicas, conllevando a una corrupción de las opciones leídas del paquete. Esta corrupción puede conllevar a un bloqueo y reinicio de jdhcpd. Este problema afecta: Juniper Networks Junos OS 17.4R1 y versiones posteriores anteriores a 18.4R3-S10; versiones 19.1 anteriores a 19.1R3-S7; versiones 19.2 anteriores a 19.2R1-S8, 19.2R3-S4; versiones 19.3 anteriores a 19.3R3-S4; versiones 19.4 anteriores a 19.4R3-S6; versiones 20.1 anteriores a 20. 1R3-S2; versiones 20.2 anteriores a 20.2R3-S3; versiones 20.3 anteriores a 20.3R3-S2; versiones 20.4 anteriores a 20.4R3-S1; versiones 21.1 anteriores a 21.1R2-S2, 21.1R3; 21.2 versiones anteriores a 21.2R1-S2, 21.2R2, 21.2R3; versiones 21.3 anteriores a 21.3R1-S1, 21.3R2
Vulnerabilidad en el demonio snmpd de Juniper Networks Junos OS, Junos OS Evolved (CVE-2022-22177)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de liberación de memoria ilegal en el demonio snmpd de Juniper Networks Junos OS, Junos OS Evolved permite a un atacante detener el demonio snmpd causando una denegación de servicio (DoS) sostenida al servicio hasta que sea reiniciada manualmente. Este problema afecta a cualquier versión de SNMP: v1, v2, v3: Juniper Networks Junos OS 12.3 versiones anteriores a 12.3R12-S20; 15.1 versiones anteriores a 15.1R7-S11; 18.3 versiones anteriores a 18.3R3-S6; 18.4 versiones anteriores a 18.4R2-S9, 18.4R3-S10; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S4; 19. 3 versiones anteriores a 19.3R3-S4; 19.4 versiones anteriores a 19.4R2-S5, 19.4R3-S6; 20.1 versiones anteriores a 20.1R3-S2; versiones 20.2 anteriores a 20.2R3-S3; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3; versiones 21.1 anteriores a 21.1R2-S2, 21.1R3; 21.2 versiones anteriores a 21.2R1-S2, 21.2R2. Juniper Networks Junos OS Evolved 21.2 versiones anteriores a 21.2R3-EVO; 21.3 versiones anteriores a 21.3R2-EVO
Vulnerabilidad en el demonio DHCP de Juniper (jdhcpd) del Sistema Operativo Junos de Juniper Networks (CVE-2022-22176)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de comprobación inapropiada de la corrección sintáctica de la entrada en el demonio DHCP de Juniper (jdhcpd) del Sistema Operativo Junos de Juniper Networks permite a un atacante adyacente no autenticado que envíe un paquete DHCP malformado causar un bloqueo de jdhcpd y, por tanto, una denegación de servicio (DoS). Si la opción-82 está configurada en un escenario DHCP snooping / -security, jdhcpd es bloqueado si es recibido un paquete de petición DHCP malformado específico. La funcionalidad de DHCP está afectada mientras jdhcpd es reiniciado, y la explotación continuada de la vulnerabilidad conllevará a una no disponibilidad del servicio DHCP y, por tanto, un DoS sostenido. Este problema afecta a Juniper Networks Junos OS versiones: 13.2 versión 13.2R1 y versiones posteriores anteriores a 15.1R7-S11; 18.3 versiones anteriores a 18.3R3-S6; 18.4 versiones anteriores a 18.4R2-S9, 18.4R3-S10; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S4; 19. 3 versiones anteriores a 19.3R2-S7, 19.3R3-S4; 19.4 versiones anteriores a 19.4R3-S6; versiones 20.1 anteriores a 20.1R3-S3; versiones 20.2 anteriores a 20.2R3-S3; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3; versiones 21.1 anteriores a 21.1R2-S1, 21.1R3; versiones 21.2 anteriores a 21.2R1-S1, 21.2R2. Este problema no afecta a versión 12.3R12 del Sistema Operativo Junos de Juniper Networks ni a versiones anteriores
Vulnerabilidad en el procesamiento de paquetes IPv6 entrantes en el Sistema Operativo Junos de Juniper Networks en los conmutadores de la serie QFX5000 y EX4600 (CVE-2022-22174)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 01/02/2022
Una vulnerabilidad en el procesamiento de paquetes IPv6 entrantes en el Sistema Operativo Junos de Juniper Networks en los conmutadores de la serie QFX5000 y EX4600 puede causar que no sea liberada la memoria, conllevando a una pérdida de memoria DMA de paquetes y una eventual condición de denegación de servicio (DoS). Una vez que es producida la condición, el procesamiento posterior de paquetes estará afectado, creando una condición de denegación de servicio (DoS) sostenida. Los siguientes registros de error pueden ser observados usando el comando "show heap" y el dispositivo puede eventualmente quedarse sin memoria si tales paquetes son recibidos continuamente. Jan 12 12:00:00 device-name fpc0 (buf alloc) failed allocating packet buffer Jan 12 12:00: 01 device-name fpc0 (buf allocating) failed allocating packet buffer user@device-name) request pfe execute target fpc0 timeout 30 command "show heap" ID Base Total(b) Free(b) Used(b) % Name -- ---------- ----------- ----------- --- ----------- 0 246fc1a8 536870488 353653752 183216736 34 Kernel 1 91800000 16777216 12069680 4707536 28 DMA 2 92800000 75497472 69997640 5499832 7 PKT DMA DESC 3 106fc000 335544320 221425960 114118360 34 Bcm_sdk 4 97000000 176160768 200 176160568 99 Packet DMA (((((((((((((( 5 903fffe0 20971504 20971504 0 0 Blob Este problema afecta a Juniper Networks Junos OS en la serie QFX5000, EX4600 versiones: 18. 3R3 anteriores a 18.3R3-S6; 18.4 anteriores a 18.4R2-S9, 18.4R3-S9; 19.1 anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 anteriores a 19.2R1-S8, 19.2R3-S3; 19.3 anteriores a 19.3R2-S7, 19.3R3-S4; 19.4 anteriores a 19. 4R2-S5, 19.4R3-S6; 20.1 versiones anteriores a 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3; versiones 21.1 anteriores a 21.1R2-S1, 21.1R3; versiones 21.2 anteriores a 21.2R1-S1, 21.2R2. Este problema no afecta a Juniper Networks Junos OS: Cualquier versión anterior a la 17.4R3; 18.1 versiones anteriores a 18.1R3-S6; 18.2 versiones anteriores a 18.2R3; 18.3 versiones anteriores a 18.3R3; 18.4 versiones anteriores a 18.4R2; 19.1 versiones anteriores a 19.1R2
Vulnerabilidad en el demonio de infraestructura de clave pública (pkid) del Sistema Operativo Junos de Juniper Networks (CVE-2022-22173)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 01/02/2022
Una vulnerabilidad de Falta de Liberación de Memoria Después del Tiempo de Vida Efectivo en el demonio de infraestructura de clave pública (pkid) del Sistema Operativo Junos de Juniper Networks permite a un atacante no autenticado en red causar una denegación de servicio (DoS). En un escenario en el que es usada la infraestructura de clave pública (PKI) en combinación con la lista de revocación de certificados (CRL), si la CRL no es descargada, la memoria asignada para almacenar la CRL no es liberada. La repetición de este problema acabará consumiendo toda la memoria disponible y conllevará a un estado inoperativo del sistema afectado, causando un DoS. Este problema afecta al Sistema Operativo Junos de Juniper Networks: Todas las versiones anteriores a 18.3R3-S6; 18.4 versiones anteriores a 18.4R2-S9, 18.4R3-S10; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S4; 19.3 versiones anteriores a 19.3R3-S4; 19.4 versiones anteriores a 19. 4R2-S5, 19.4R3-S5; 20.1 versiones anteriores a 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3; 21.1 versiones anteriores a 21.1R2, 21.1R3; versiones 21.2 anteriores a 21.2R1-S1, 21.2R2. Este problema puede observarse al monitorear el uso de la memoria del proceso pkid por medio de: root@jtac-srx1500-r2003) show system processes extensive | match pki 20931 root 20 0 733M 14352K select 0:00 0.00% pkid que aumenta con el tiempo: root@jtac-srx1500-r2003) show system processes extensive | match pki 22587 root 20 0 901M 181M select 0:03 0.00% pkid
Vulnerabilidad en el demonio de protocolos de control de capa 2 (l2cpd) de Junos OS y Junos OS Evolved de Juniper Networks (CVE-2022-22172)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 01/02/2022
Una vulnerabilidad de Falta de Liberación de Memoria Después del Tiempo de Vida Efectivo en el demonio de protocolos de control de capa 2 (l2cpd) de Junos OS y Junos OS Evolved de Juniper Networks permite a un atacante adyacente no autenticado causar una pérdida de memoria. Una explotación continuada puede conllevar al agotamiento de la memoria y, por tanto, una denegación de servicio (DoS). Este problema es producido cuando son recibidos paquetes LLDP específicos. El impacto de los núcleos l2cpd es que si cualquiera de los protocolos stp (rstp, mstp o vstp) es usado entonces stp reconvierte y la pérdida de tráfico ocurrirá durante ese tiempo. Además, si algún servicio depende del estado de LLDP (como el reconocimiento de dispositivos PoE o VoIP) también estará afectado. El uso de la memoria del proceso L2CPd puede supervisarse con el siguiente comando: user@host) show system processes extensive | match l2cpd 1234 root 52 0 521M 43412K RUN 1 4:02 34,47% l2cpd Este problema afecta: Juniper Networks Junos OS versión 18.4 18.4R2-S4 y versiones posteriores a 18.4R2-S10. versiones 19.2 anteriores a 19.2R1-S8, 19.2R3-S4; versiones 19.3 anteriores a 19.3R3-S5; versiones 19.4 anteriores a 19.4R3-S7; versiones 20.1 anteriores a 20.1R3-S3; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20. 4R3; versiones 21.1 anteriores a 21.1R2-S2, 21.1R3; versiones 21.2 anteriores a 21.2R2; Juniper Networks Junos OS Evolved All versiones anteriores a 20.4R3-S2-EVO; 21.1 versión 21.1R1-EVO y versiones posteriores; versiones 21.2 anteriores a 21.2R2-EVO. Este problema no afecta: Juniper Networks Junos OS 19.1 versión 19.1R1 y versiones posteriores
Vulnerabilidad en el Motor de Reenvío de Paquetes (PFE) de Juniper Networks Junos OS (CVE-2022-22171)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de comprobación inapropiada de Condiciones Inusuales o Excepcionales en el Motor de Reenvío de Paquetes (PFE) de Juniper Networks Junos OS permite a un atacante no autenticado conectado a la red causar una Denegación de Servicio (DoS) mediante el envío de paquetes específicos a través de VXLAN que causan el reinicio del PFE. Este problema afecta a: Juniper Networks Junos OS versiones 19.4 anteriores a 19.4R3-S7; versiones 20.1 anteriores a 20.1R3-S3; versiones 20.2 anteriores a 20.2R3-S3; versiones 20.3 anteriores a 20.3R3-S2; versiones 20.4 anteriores a 20.4R3-S1; versiones 21.1 anteriores a 21.1R3; versiones 21.2 anteriores a 21.2R2; versiones 21.3 anteriores a 21.3R1-S1, 21.3R2. Este problema no afecta a Junos OS versiones anteriores a 19.4R1
Vulnerabilidad en el Motor de Reenvío de Paquetes (PFE) del Sistema Operativo Junos de Juniper Networks (CVE-2022-22170)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de Falta de Liberación de Recursos Después del Tiempo de Vida Efectivo en el Motor de Reenvío de Paquetes (PFE) del Sistema Operativo Junos de Juniper Networks permite a un atacante no autenticado en red causar una denegación de servicio (DoS) mediante el envío de paquetes específicos a través de VXLAN que causan una pérdida de memoria de la pila y, al agotarse, el PFE es reiniciado. El uso de la memoria de la pila puede supervisarse con el comando: user@host) show chassis fpc Este problema afecta a: Juniper Networks Junos OS 19.4 versiones anteriores a 19.4R2-S6, 19.4R3-S6; 20.1 versiones anteriores a 20.1R3-S2; versiones 20.2 anteriores a 20.2R3-S3; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3; versiones 21.1 anteriores a 21.1R3; versiones 21.2 anteriores a 21.2R2. Este problema no afecta a Junos OS versiones anteriores a 19.4R1
Vulnerabilidad en el demonio del protocolo de enrutamiento (rpd) de Juniper Networks Junos OS y Junos OS Evolved (CVE-2022-22169)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 01/02/2022
Una vulnerabilidad de inicialización inapropiada en el demonio del protocolo de enrutamiento (rpd) de Juniper Networks Junos OS y Junos OS Evolved permite a un atacante que envía paquetes específicos en determinados órdenes y en momentos específicos forzar a OSPFv3 a entrar inesperadamente en el modo graceful-restart (modo GR helper) aunque no presente ningún Grace-LSA recibido en OSPFv3 causando una denegación de servicio (DoS). Entrar inesperadamente en el modo GR helper puede causar que la adyacencia de vecinos OSPFv3 formada en esta interfaz quede atascada en el estado "INIT" que puede observarse al emitir el siguiente comando: user@device) show ospf3 neighbor ID Interface State xx.xx.xx.xx ae100.0 Init (((((((((( Un indicador de compromiso puede verse en los archivos de registro cuando las traceoptions para OSPFv3 están habilitadas antes de que ocurra el problema. Estos mensajes del archivo de registro son los siguientes: OSPF restart signaling: Received hello with LR bit set from nbr ip=xx::xx id=xx.xx.xx. Set oob-resync capabilty 1. OSPF restart signaling: Start helper mode for nbr ip xx::xx id xx.xx.xx OSPF restart signaling: abort helper mode for nbr ip=xx::xx id=xx.xx.xx.xx OSPF neighbor xx::xx (realm ipv6-unicast (interface.unit) area xx.xx.xx) state changed from Full to Init due to 1WayRcvd (event reason: neighbor is in one-way mode) (nbr helped: 0) Este problema afecta: Juniper Networks Junos OS. 15.1 versiones anteriores a 15.1R7-S11; 18.3 versiones anteriores a 18.3R3-S6; 18.4 versiones anteriores a 18.4R2-S9, 18.4R3-S10; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S7, 19.2R3-S4; 19.3 versiones anteriores a 19.3R2-S7, 19.3R3-S4; 19. 4 versiones anteriores a 19.4R3-S6; 20.1 versiones anteriores a 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S3; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R2-S2, 20.4R3; versiones 21.1 anteriores a 21.1R3; versiones 21.2 anteriores a 21.2R1-S1, 21.2R2. Este problema no afecta a ninguna versión de Juniper Networks Junos OS 12.3. Este problema afecta a todas las versiones de Junos OS Evolved anteriores a 21.2R2-EVO de Juniper Networks
Vulnerabilidad en el kernel del Sistema Operativo Junos de Juniper Networks (CVE-2022-22168)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de Comprobación Inapropiada del Tipo de Entrada especificado en el kernel del Sistema Operativo Junos de Juniper Networks permite a un atacante adyacente no autenticado desencadenar una vulnerabilidad de Falta de Liberación de Memoria Después del Tiempo de Vida Efectivo. Una explotación continuada de esta vulnerabilidad conllevará finalmente a un reinicio del FPC y, por tanto, una denegación de servicio (DoS). Este problema afecta a: Juniper Networks Junos OS en vMX y MX150: Todas las versiones anteriores a 19.2R1-S8, 19.2R3-S4; las versiones 19.3 anteriores a 19.3R3-S5; las versiones 19.4 anteriores a 19.4R2-S5, 19.4R3-S6; las versiones 20.1 anteriores a 20.1R3-S2; las versiones 20.2 anteriores a 20.2R3-S3; las versiones 20. 3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3; versiones 21.1 anteriores a 21.1R2-S1, 21.1R3; versiones 21.2 anteriores a 21.2R1-S1, 21.2R2; versiones 21.3 anteriores a 21.3R1-S1, 21.3R2
Vulnerabilidad en la opción "no-syn-check" en el Sistema Operativo Junos de Juniper Networks en las Puertas de Enlace de Servicios de la serie SRX (CVE-2022-22167)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 28/01/2022
Una vulnerabilidad en la clasificación del tráfico en el Sistema Operativo Junos de Juniper Networks en las Puertas de Enlace de Servicios de la serie SRX puede permitir a un atacante omitir las reglas de inspección profunda de paquetes de Juniper (JDPI) y acceder a redes o recursos no autorizados, cuando está habilitada la opción "no-syn-check" en el dispositivo. Mientras que JDPI clasifica correctamente los flujos TCP asimétricos fuera de estado como la aplicación dinámica UNKNOWN, esta clasificación no es proporcionada al módulo de políticas correctamente y, por tanto, el tráfico sigue usando la política previa al ID predeterminado, que es más permisiva, lo que causa que el firewall permita el reenvío de tráfico que debería haberse denegado. Este problema sólo es producida cuando "set security flow tcp-session no-syn-check" está configurado en el dispositivo. Este problema afecta al Sistema Operativo Junos de Juniper Networks en la serie SRX versiones: 18.4 versiones anteriores a 18.4R2-S10, 18.4R3-S10; 19.1 versiones anteriores a 19.1R3-S8; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S4; versiones 19.3 anteriores a 19.3R3-S3; versiones 19.4 anteriores a 19.4R3-S5; versiones 20.1 anteriores a 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R2-S2, 20.4R3; versiones 21.1 anteriores a 21.1R2-S2, 21.1R3; versiones 21.2 anteriores a 21.2R2. Este problema no afecta a versiones del Sistema Operativo Junos de Juniper Networks anteriores a 18.4R1
Vulnerabilidad en el demonio del protocolo de enrutamiento (rpd) del Sistema Operativo Junos de Juniper Networks (CVE-2022-22166)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de comprobación inapropiada de la cantidad especificada en la entrada en el demonio del protocolo de enrutamiento (rpd) del Sistema Operativo Junos de Juniper Networks permite a un atacante no autenticado conectado a la red causar un bloqueo del rdp y, por tanto, una denegación de servicio (DoS). Si es recibido un mensaje de actualización de BGP a través de una sesión BGP establecida en la que un atributo de túnel de política SR-TE de BGP está malformado y la bandera de rastreo de actualizaciones de BGP está habilitada, el rpd será bloqueado. Este problema puede ocurrir con cualquier sesión BGP siempre que se cumplan las condiciones anteriores. Este problema no puede propagarse, ya que el fallo es producido en cuanto es recibido la actualización malformada. Este problema afecta al Sistema Operativo Junos de Juniper Networks: versiones 20.4 anteriores a 20.4R3-S1; versiones 21.1 anteriores a 21.1R2-S2, 21.1R3. Este problema no afecta a versiones del Sistema Operativo Junos de Juniper Networks anteriores a 20.4R1
Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2022-22164)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de inicialización inapropiada en Juniper Networks Junos OS Evolved puede causar que una operación de confirmación para deshabilitar el servicio telnet no tenga el efecto esperado, lo que hace que el servicio telnet siga habilitado. Cuando no está previsto que funcione en el dispositivo, un administrador puede emitir el siguiente comando para verificar si telnet está funcionando en segundo plano: user@device ) show system connections | grep :23 tcp 0 0.0.0.0:23 0.0.0.0:* LISTEN 20879/xinetd Este problema afecta: Juniper Networks Junos OS Evolved Todas las versiones anteriores a 20.4R2-S2-EVO; 21.1 versión 21.1R1-EVO y versiones posteriores; versiones 21.2 anteriores a 21.2R2-EVO
Vulnerabilidad en el demonio DHCP de Juniper (jdhcpd) del Sistema Operativo Junos de Juniper Networks (CVE-2022-22163)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 28/01/2022
Una vulnerabilidad de comprobación de entrada inapropiada en el demonio DHCP de Juniper (jdhcpd) del Sistema Operativo Junos de Juniper Networks permite a un atacante adyacente no autenticado causar un bloqueo de jdhcpd y, por tanto, una denegación de servicio (DoS). Si un dispositivo está configurado como servidor local DHCPv6 y el almacenamiento persistente está habilitado, jdhcpd será bloqueado cuando reciba un mensaje DHCPv6 específico. Este problema afecta a: Juniper Networks Junos OS Todas las versiones anteriores a 15.1R7-S11; 18.4 versiones anteriores a 18.4R3-S9; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S3; 19.4 versiones anteriores a 19. 4R3-S5; 20.1 versiones anteriores a 20.1R3-S1; versiones 20.2 anteriores a 20.2R3-S2; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3; 21.1 versiones anteriores a 21.1R2; versiones 21.2 anteriores a 21.2R2
Vulnerabilidad en la CLI de Juniper Networks Junos OS (CVE-2022-22162)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de generación de mensajes de error que contienen información confidencial en la CLI de Juniper Networks Junos OS permite a un atacante autenticado localmente con bajos privilegios elevarlos al nivel de cualquier otro usuario conectado por medio de J-Web en ese momento, lo que podría conllevar a un compromiso total del dispositivo. Este problema afecta a Juniper Networks Junos OS: Todas las versiones anteriores a 15.1R7-S11; las versiones 18.3 anteriores a 18.3R3-S6; las versiones 18.4 anteriores a 18.4R2-S9, 18.4R3-S10; las versiones 19.1 anteriores a 19.1R2-S3, 19.1R3-S7; las versiones 19.2 anteriores a 19.2R1-S8, 19.2R3-S4; las versiones 19.3 anteriores a 19.3R3-S4; las versiones 19. 4 versiones anteriores a 19.4R3-S6; 20.1 versiones anteriores a 20.1R3-S2; versiones 20.2 anteriores a 20.2R3-S3; versiones 20.3 anteriores a 20.3R3-S1; versiones 20.4 anteriores a 20.4R3-S1; versiones 21.1 anteriores a 21.1R2-S1, 21.1R3; versiones 21.2 anteriores a 21.2R1-S1, 21.2R2
Vulnerabilidad en la funcionalidad NETISR network queue del kernel del Sistema Operativo Junos de Juniper Networks (CVE-2022-22159)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 31/01/2022
Una vulnerabilidad en la funcionalidad NETISR network queue del kernel del Sistema Operativo Junos de Juniper Networks permite a un atacante causar una denegación de servicio (DoS) mediante el envío de paquetes genuinos diseñados a un dispositivo. Durante un ataque, la CPU del demonio del protocolo de enrutamiento (rpd) puede alcanzar el 100% de uso, aunque las CPU de la FPC que reenvían el tráfico funcionarán normalmente. Este ataque es producido cuando los paquetes de los atacantes son enviados a través de una selección unilista de enrutamiento IPv4 unicast de igual coste y múltiples rutas (ECMP). La recepción y el procesamiento continuos de estos paquetes crearán una condición sostenida de denegación de servicio (DoS). Un indicador de compromiso puede ser monitorear las caídas de NETISR en la red con la ayuda de JTAC. Por favor, póngase en contacto con el JTAC para el apoyo técnico para obtener más orientación. Este problema afecta: Juniper Networks Junos OS 17.3 versión 17.3R3-S9 y versiones posteriores anteriores a 17.3R3-S12; 17.4 versión 17.4R3-S3 y versiones posteriores anteriores a 17.4R3-S5; 18.1 versión 18.1R3-S11 y versiones posteriores anteriores a 18.1R3-S13; 18. 2 versión 18.2R3-S6 y versiones posteriores; 18.3 versión 18.3R3-S4 y versiones posteriores anteriores a 18.3R3-S5; 18.4 versión 18.4R3-S5 y versiones posteriores anteriores a 18.4R3-S9; 19.1 versión 19.1R3-S3 y versiones posteriores anteriores a 19.1R3-S7. Este problema no afecta a versiones del Sistema Operativo Junos de Juniper Networks anteriores a 17.3R3-S9. Este problema no afecta a Juniper Networks Junos OS Evolved
Vulnerabilidad en la clasificación del tráfico en el Sistema Operativo Junos de Juniper Networks en las Puertas de Enlace de Servicios de la serie SRX (CVE-2022-22157)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 28/01/2022
Una vulnerabilidad en la clasificación del tráfico en el Sistema Operativo Junos de Juniper Networks en las Puertas de Enlace de Servicios de la serie SRX puede permitir a un atacante omitir las reglas de inspección profunda de paquetes de Juniper (JDPI) y acceder a redes o recursos no autorizados, cuando se habilita "no-syn-check" en el dispositivo. JDPI clasifica incorrectamente los flujos TCP asimétricos fuera de estado como la aplicación dinámica INCONCLUSIVE en lugar de UNKNOWN, que es más permisiva, causando que el firewall permita el reenvío de tráfico que debería haber sido denegado. Este problema sólo es producida cuando "set security flow tcp-session no-syn-check" está configurado en el dispositivo. Este problema afecta al Sistema Operativo Junos de Juniper Networks en la serie SRX: 18.4 versiones anteriores a 18.4R2-S9, 18.4R3-S9; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S6; 19.2 versiones anteriores a 19.2R1-S7, 19.2R3-S3; 19.3 versiones anteriores a 19.3R2-S6, 19.3R3-S2; 19.4 versiones anteriores a 19. 4R2-S5, 19.4R3-S3; 20.1 versiones anteriores a 20.1R2-S2, 20.1R3; 20.2 versiones anteriores a 20.2R3-S1; versiones 20.3 anteriores a 20.3R3; 20.4 versiones anteriores a 20.4R2-S1, 20.4R3; 21.1 versiones anteriores a 21.1R1-S1, 21.1R2. Este problema no afecta a versiones del Sistema Operativo Junos de Juniper Networks anteriores a 18.4R1
Vulnerabilidad en el Sistema Operativo Junos de Juniper Networks (CVE-2022-22156)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una debilidad de comprobación de certificados inapropiada en el Sistema Operativo Junos de Juniper Networks permite a un atacante llevar a cabo ataques de tipo Person-in-the-Middle (PitM) cuando es obtenida una secuencia de comandos del sistema desde una fuente remota en una URL HTTPS especificada, que puede comprometer la integridad y la confidencialidad del dispositivo. El siguiente comando puede ser ejecutado por un administrador por medio de la CLI para refrescar un script desde una ubicación remota, lo cual está afectado por esta vulnerabilidad: )request system scripts refresh-from (commit | event | extension-service | op | snmp) file filename url (https-url) Este problema afecta a: Juniper Networks Junos OS Todas las versiones anteriores a 18.4R2-S9, 18.4R3-S9; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S7, 19.2R3-S3; 19.3 versiones anteriores a 19.3R3-S4; 19. 4 versiones anteriores a 19.4R3-S7; 20.1 versiones anteriores a 20.1R2-S2, 20.1R3; 20.2 versiones anteriores a 20.2R3; versiones 20.3 anteriores a 20.3R2-S1, 20.3R3; 20.4 versiones anteriores a 20.4R2; 21.1 versiones anteriores a 21.1R1-S1, 21.1R2
Vulnerabilidad en el manejo de eventos de cambio de estado de vecinos IPv6 en Juniper Networks Junos OS (CVE-2022-22155)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 26/01/2022
Una vulnerabilidad de consumo no controlado de recursos en el manejo de eventos de cambio de estado de vecinos IPv6 en Juniper Networks Junos OS permite a un atacante adyacente causar una pérdida de memoria en el concentrador PIC flexible (FPC) de un router ACX5448. El aleteo continuo de un vecino IPv6 con una temporización específica causará que el FPC quede sin recursos, conllevando a una condición de denegación de servicio (DoS). Una vez que es producida la condición, el procesamiento posterior de paquetes estará afectado, creando una condición de denegación de servicio (DoS) sostenida, que requerirá un reinicio manual de la FPC para restaurar el servicio. Los siguientes mensajes de error se verán después de que los recursos del FPC hayan sido agotados: fpc0 DNX_NH::dnx_nh_tag_ipv4_hw_install(),3135: dnx_nh_tag_ipv4_hw_install: BCM L3 Egress create object failed for NH 602 (-14:No resources for operation), BCM NH Params: unit:0 Port:41, L3_INTF:0 Flags: 0x40 fpc0 DNX_NH::dnx_nh_tag_ipv4_hw_install(),3135: dnx_nh_tag_ipv4_hw_install: BCM L3 Egress create object failed for NH 602 (-14:No resources for operation), BCM NH Params: unit:0 Port:41, L3_INTF:0 Flags: 0x40 fpc0 DNX_NH::dnx_nh_tag_ipv4_hw_install(),3135: dnx_nh_tag_ipv4_hw_install: BCM L3 Egress create object failed for NH 602 (-14:No resources for operation), BCM NH Params: unit:0 Port:41, L3_INTF:0 Flags: 0x40 fpc0 DNX_NH::dnx_nh_tag_ipv4_hw_install(),3135: dnx_nh_tag_ipv4_hw_install: BCM L3 Egress create object failed for NH 602 (-14:No resources for operation), BCM NH Params: unit:0 Port:41, L3_INTF:0 Flags: 0x40 Este problema sólo afecta al router ACX5448. Esta vulnerabilidad no afecta a otros productos o plataformas. Este problema afecta a Juniper Networks Junos OS en ACX5448: versiones 18.4 anteriores a 18.4R3-S10; versiones 19.1 anteriores a 19.1R3-S5; versiones 19.2 anteriores a 19.2R1-S8, 19.2R3-S2; versiones 19. 3 versiones anteriores a 19.3R2-S6, 19.3R3-S2; 19.4 versiones anteriores a 19.4R1-S3, 19.4R2-S2, 19.4R3; 20.1 versiones anteriores a 20.1R2; 20.2 versiones anteriores a 20.2R1-S1, versión 20.2R2
Vulnerabilidad en la máquina de estado de control del dispositivo satélite (SD) del Sistema Operativo Junos de Juniper Networks (CVE-2022-22154)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 28/01/2022
En un escenario de Junos Fusion, una vulnerabilidad de control externo de datos de estado críticos en la máquina de estado de control del dispositivo satélite (SD) del Sistema Operativo Junos de Juniper Networks permite a un atacante que sea capaz de realizar cambios físicos en el cableado del dispositivo causar una denegación de servicio (DoS). Un SD puede ser reiniciado y posteriormente controlado por un dispositivo de agregación (AD) que no pertenece a la configuración original de Fusion y que sólo está conectado a un puerto extendido del SD. Para llevar a cabo este ataque, el atacante necesita tener acceso físico al cableado entre el SD y el AD original. Este problema afecta: Juniper Networks Junos OS 16.1R1 y versiones posteriores, anteriores a 18.4R3-S10; versiones 19.1 anteriores a 19.1R3-S7; versiones 19.2 anteriores a 19.2R3-S4. Este problema no afecta a versiones de Junos OS de Juniper Networks anteriores a 16.1R1
Vulnerabilidad en el demonio de procesamiento de flujos (flowd) de Junos OS de Juniper Networks en las series SRX y MX con SPC3 (CVE-2022-22153)
Severidad: MEDIA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 28/01/2022
Una Complejidad Algorítmica no Suficiente Combinada con una vulnerabilidad de Asignación de Recursos sin Límites o Estrangulamiento en el demonio de procesamiento de flujos (flowd) de Junos OS de Juniper Networks en las series SRX y MX con SPC3 permite a un atacante de red no autenticado causar latencia en el procesamiento de paquetes en tránsito e incluso la pérdida de paquetes. Si el tráfico de tránsito incluye un porcentaje significativo (más del 5%) de paquetes fragmentados que deben volver a ensamblarse, puede observarse una alta latencia o pérdidas de paquetes. Este problema afecta a Juniper Networks Junos OS en las series SRX y MX con SPC3: todas las versiones anteriores a 18.2R3; versiones 18.3 anteriores a 18.3R3; versiones 18.4 anteriores a 18.4R2-S9, 18.4R3; versiones 19.1 anteriores a 19.1R2; versiones 19.2 anteriores a 19.2R1-S1, versión 19.2R2
Vulnerabilidad en Trend Micro Deep Security y Cloud One - Workload Security Agent para Linux (CVE-2022-23120)
Severidad: MEDIA
Fecha de publicación: 20/01/2022
Fecha de última actualización: 27/01/2022
Una vulnerabilidad de inyección de código en Trend Micro Deep Security y Cloud One - Workload Security Agent para Linux versión 20 y anteriores, podría permitir a un atacante escalar privilegios y ejecutar código arbitrario en el contexto de root. Nota: un atacante debe obtener primero acceso al agente de destino en un estado no activado y no configurado para poder explotar esta vulnerabilidad
Vulnerabilidad en Trend Micro Deep Security y Cloud One - Workload Security Agent para Linux (CVE-2022-23119)
Severidad: MEDIA
Fecha de publicación: 20/01/2022
Fecha de última actualización: 27/01/2022
Una vulnerabilidad de salto de directorio en Trend Micro Deep Security y Cloud One - Workload Security Agent para Linux versión 20 y anteriores, podría permitir a un atacante leer archivos arbitrarios del sistema de archivos. Nota: un atacante debe obtener primero un acceso comprometido al Deep Security Manager (DSM) de destino o el agente de destino no debe estar aún activado o configurado para poder explotar esta vulnerabilidad
Vulnerabilidad en los metadatos de archivo en AIDE (CVE-2021-45417)
Severidad: ALTA
Fecha de publicación: 20/01/2022
Fecha de última actualización: 26/01/2022
AIDE versiones anteriores a 0.17.4, permite a usuarios locales obtener privilegios de root por medio de metadatos de archivo diseñados (como atributos extendidos de XFS o ACLs de tmpfs), debido a un desbordamiento de búfer en la región heap de la memoria
Vulnerabilidad en Juniper Networks (CVE-2022-22160)
Severidad: BAJA
Fecha de publicación: 19/01/2022
Fecha de última actualización: 28/01/2022
Una vulnerabilidad de condición de error no comprobada en el demonio de gestión de suscriptores (smgd) del sistema operativo Junos de Juniper Networks permite que un atacante adyacente no autenticado provoque un bloqueo y, por tanto, una denegación de servicio (DoS). En un entorno de gestión de suscriptores/borde de banda ancha, si una configuración de grupo de sesión única contiene dual-stack y una interfaz pp0, smgd se bloqueará y reiniciará cada vez que un cliente PPPoE envíe un mensaje específico. Este problema afecta al sistema operativo Junos de Juniper Networks en la serie MX: 16.1 versión 16.1R1 y versiones posteriores anteriores a 18.4R3-S10; 19.1 versiones anteriores a 19.1R2-S3, 19.1R3-S7; 19.2 versiones anteriores a 19.2R1-S8, 19.2R3-S4; 19.3 versiones anteriores a 19.3R3-S4; 19.4 versiones anteriores a 19. 4R3-S5; 20.1 versiones anteriores a 20.1R3-S3; 20.2 versiones anteriores a 20.2R3-S3; 20.3 versiones anteriores a 20.3R3-S2; 20.4 versiones anteriores a 20.4R3; 21.1 versiones anteriores a 21.1R3; 21.2 versiones anteriores a 21.2R2. Este problema no afecta a las versiones del sistema operativo Junos de Juniper Networks anteriores a la 16.1R1