INFOSEC

Docker Desktop-Gemeinschaft vor 2.5.0.0 auf macOS mishandles Zertifikatsüberprüfung, was zu lokaler Privilegieneskalation. – CVE-2021-3162

In Open-iSCSI tcmu Starter 1.3.x, 1.4.x und 1.5.x bis 1.5.2, xcopy_locate_udev in tcmur_cmd_handler.c fehlt einen Scheck für die Transport-Layer-Einschränkungen, so dass Angreifer über das Netzwerk zu lesen oder zu schreiben Dateien über Directory-Traversal-in ein XCOPY Anfrage. Zum Beispiel kann ein Angriff ein Netzwerk auftritt über, wenn der Angreifer Zugriff auf einen iSCSI-LUN hat. HINWEIS: in Bezug auf CVE-2020-28374, ist dies ein ähnlicher Fehler in einem anderen Algorithmus. – CVE-2021-3139

In Diskurs 2.7.0 durch beta1, eine geschwindigkeits Grenze Bypass führt zu einer Umgehung der 2FA Anforderung für bestimmte Formen. – CVE-2021-3138

Mubu 2.2.1 können lokale Benutzer-Rechte erlangen Befehle auszuführen, auch bekannt als ZNvE-2020-68878. – CVE-2021-3134

Die Elementor Kontaktformular DB-Plugin vor 1.6 für Wordpress ermöglicht CSRF über Seiten Backend-Admin. – CVE-2021-3133

Der Web-Server in 1C: Enterprise 8 vor 8.3.17.1851 sendet base64 Anmeldeinformationen in der creds URL-Parameter codiert. – CVE-2021-3131

Ignition vor 2.5.2, wie in Laravel und anderen Produkten verwendet wird, ermöglicht nicht authentifizieren Angreifer über das Netzwerk beliebigen Code auszuführen wegen unsicherer Nutzung von file_get_contents () und file_put_contents (). Dies ist ausnutzbar auf Websites Debug-Modus mit Laravel vor 8.4.2 verwenden. – CVE-2021-3129

Ein Problem wurde in GoGo Protobuf vor 1.3.2 entdeckt. plugin / Abstellungs / unmarshal.go fehlt bestimmten Index Validierung, auch bekannt als die „Skippy Erdnussbutter“ -Ausgabe. – CVE-2021-3121

before_upstream_connection in AuthPlugin in http / proxy / auth.py in proxy.py vor 2.3.1 akzeptiert falsche Kopfdaten Proxy-Authorization wegen einer boolean Verwirrung (und im Vergleich zu oder). – CVE-2021-3116

Der Express-Einträge Armaturenbrett in Concrete5 8.5.4 ermöglicht bei einem index.php / Armaturenbrett / express / Einträgen / view / URI XSS über das Namensfeld eines neuen Datenobjekts gespeichert. – CVE-2021-3111

Eine Informations Exposition durch Verwundbarkeit Protokolldatei existiert in Palo Alto Networks PAN-OS-Software, wo Konfiguration Geheimnisse für die & # 8220; http & # 8221 ;, & # 8220; E-Mail & # 8221 ;, und & # 8220; snmptrap & # 8221; v3 Log-Server weiterzuleiten Profile können auf dem logrcvr.log Systemprotokoll protokolliert werden. Protokollierten Informationen können auf 1024 Bytes der Konfiguration einschließlich der Benutzername und das Passwort in verschlüsselter Form und private Schlüssel verwendet werden, schließen sich in jedem Zertifikat Profile eingestellt für Protokollprofile Weiterleitungsserver. Dieses Problem wirkt sich: PAN-OS 8.1-Versionen vor PAN-OS 8.1.18; PAN-O 9.0-Versionen vor PAN-O 9.0.12; PAN-O 9.1-Versionen vor PAN-O 9.1.4; PAN-OS 10.0 Versionen früher als PAN-OS 10.0.1. – CVE-2021-3032

Paddingbytes in Ethernet-Paketen auf PA-200, PA-220, PA-500, PA-800, PA-2000 Series, PA-3000, PA-3200 Series, PA-5200 Series und PA-7000 Series Firewalls sind nicht gelöscht, bevor der Datenrahmen erzeugt. Diese Lecks eine kleine Menge von zufälligen Informationen aus dem Firewall-Speicher in die Ethernet-Pakete. Ein Angreifer im selben Ethernet-Subnetz wie der PAN-OS-Firewall in der Lage, potenziell sensible Informationen aus diesen Paketen zu sammeln. Dieses Problem wird auch als Etherleak bekannt und wird von Sicherheitsscannern als CVE-2003-0001 erkannt. Dieses Problem wirkt sich: PAN-OS 8.1 Version früher als PAN-OS 8.1.18; PAN-O 9.0-Versionen vor PAN-O 9.0.12; PAN-O 9.1-Versionen vor PAN-O 9.1.5. – CVE-2021-3031