R2SC

Múltiples vulnerabilidades en varios productos de Synology

Descripción Se han identificado 6 vulnerabilidades de severidad crítica y otras 6 de severidad alta que podrían permitir a un atacante remoto ejecutar código arbitrario. - Una vulnerabilidad de condición...

Leer más
Vulnerabilidades en varios plugins de WordPress

Descripción Se han publicado diversas vulnerabilidades referentes a diferentes plugins de Wordpress: Vulnerabilidades, recursos afectados y solución - CVE-2021-24199 Una vulnerabilidad clasificada como crítica ha sido encontrada en wpDataTables hasta...

Leer más
Múltiples vulnerabilidades en varios productos de Cisco

Descripción Se han identificado 2 vulnerabilidades de severidad crítica y otras 2 de severidad alta que podrían permitir a un atacante, remoto y no autenticado, realizar una escalada de privilegios...

Leer más
Vulnerabilidad 0day en productos de Apple

Descripción Clement Lecigne y Billy Leonard, investigadores de Google Threat Analysis Group, han informado a Apple de una vulnerabilidad 0day, que podría permitir a un atacante realizar un XSS. El...

Leer más
Múltiples vulnerabilidades en Orion Platform de SolarWinds

Descripción ZDI Trend Micro y los investigadores Jhon Jaro y Harrison Neal han reportado a SolarWinds una vulnerabilidad de severidad crítica, dos vulnerabilidades de severidad alta y otra de severidad...

Leer más
La Ciberseguridad Industrial. El puente entre la red IT y la red OT
La Ciberseguridad Industrial. El puente entre la red IT y la red OT

Es esencial diseñar una estrategia en ciberseguridad industrial, que atienda a las particularidades la red OT, pero que además se incorporarse a la estrategia de ciberseguridad de la empresa.

Leer más
Múltiples vulnerabilidades en productos de Cisco

Descripción Cisco lanzó su publicación semestral Cisco IOS e IOS XE Software Security Advisory Bundled ayer, día 24 de marzo. La versión de la publicación, combinada con un asesoramiento de...

Leer más
Secuestro de DLL en productos Bosch

Descripción Varias aplicaciones de software de Bosch están afectadas por una vulnerabilidad que podría permitir a un atacante cargar código adicional en forma de DLL que es ejecutado durante el...

Leer más
Múltiples vulnerabilidades en Cisco Jabber

Descripción Cisco ha publicado 5 vulnerabilidades, 1 de severidad crítica, 1 alta y 3 medias, que podrían permitir a un atacante ejecutar programas arbitrarios con privilegios elevados, acceder a información...

Leer más
Vulnerabilidad XSS en WebAccess/SCADA de Advantech

Descripción Se ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante remoto secuestrar las cookies o tokens de sesión de un usuario o redirigirlo...

Leer más
Múltiples vulnerabilidades en varios productos de NETGEAR

Descripción Se ha notificado de múltiples vulnerabilidades en productos NETGEAR, 1 vulnerabilidad de severidad crítica, otra de severidad alta y 2 de severidad media, por las que un atacante podría...

Leer más
Múltiples vulnerabilidades en Moodle

Descripción Se han publicado 7 vulnerabilidades en Moodle, 2 de severidad crítica y 5 de severidad baja, que podrían permitir a un atacante realizar ataques de tipo XSS almacenado o...

Leer más

Descripción

Se han identificado 6 vulnerabilidades de severidad crítica y otras 6 de severidad alta que podrían permitir a un atacante remoto ejecutar código arbitrario. - Una vulnerabilidad de condición de carrera, una vulnerabilidad de tipo Use-After-Free o una vulnerabilidad de lectura fuera de límites en iscsi_snapshot_comm_core de DSM, podrían permitir a un atacante remoto ejecutar código arbitrario a través de solicitudes web especialmente diseñadas. Se han asignado los identificadores CVE-2021-26569, CVE-2021-27646 y CVE-2021-27647 para estas vulnerabilidades críticas. - Una vulnerabilidad de transmisión de texto sin cifrar con información confidencial, una vulnerabilidad de desbordamiento de búfer basada en pila (stack) o una vulnerabilidad de escritura fuera de límites en synoagentregisterd de DSM, podrían permitir ataques de man-in-the-middle para falsificar servidores o ejecutar código arbitrario respectivamente. Se han asignado los identificadores CVE-2021-26560, CVE-2021-26561 y CVE-2021-26562 para estas vulnerabilidades críticas. Para el resto de vulnerabilidades se han asignado los identificadores CVE-2021-26563, CVE-2021-26564, CVE-2021-26565, CVE-2021-26566, CVE-2021-26567 y CVE-2021-29083.

Recursos afectados

Solución

En el caso del producto DSM, actualizar a la versión 6.2.3-25426-3 u otra superior. Para el resto de productos, por el momento no existe una solución.

Referencias

Synology Security Advisor