Inicio / Content / Boletín de INCIBE-CERT del 03-05-2017

Boletín de INCIBE-CERT del 03-05-2017

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en FFmpeg de Google Chrome (CVE-2017-5047)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
28/04/2017
Descripción:
Un desbordamiento de entero en FFmpeg de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android, permitiría a un atacante remoto escribir fuera de los límites de memoria a través de un archivo de vídeo especialmente diseñado. Relacionado con ChunkDemuxer.
Vulnerabilidad en FFmpeg de Google Chrome (CVE-2017-5048)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
28/04/2017
Descripción:
Un desbordamiento de entero en FFmpeg de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android, permitiría a un atacante remoto escribir fuera de los límites de memoria a través de un archivo de vídeo especialmente diseñado. Relacionado con ChunkDemuxer.
Vulnerabilidad en FFmpeg de Google Chrome (CVE-2017-5049)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
28/04/2017
Descripción:
Un desbordamiento de entero en FFmpeg de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows, y Linux y versión 57.0.2987.108 para Android permitiría a un atacante remoto escribir fuera de los límites de memoria a través de un archivo de vídeo especialmente diseñado. Relacionado con ChunkDemuxer.
Vulnerabilidad en FFmpeg de Google Chrome (CVE-2017-5050)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
28/04/2017
Descripción:
Un desbordamiento de entero en FFmpeg de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows, y Linux y versión 57.0.2987.108 para Android permitiría a un atacante remoto escribir fuera de los límites de memoria a través de un archivo de vídeo especialmente diseñado. Relacionado con ChunkDemuxer.
Vulnerabilidad en FFmpeg de Google Chrome (CVE-2017-5051)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
28/04/2017
Descripción:
Un desbordamiento de entero en FFmpeg de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows, y Linux y versión 57.0.2987.108 para Android permitiría a un atacante remoto escribir fuera de los límites de memoria a través de un archivo de vídeo especialmente diseñado. Relacionado con ChunkDemuxer.
Vulnerabilidad en la función xsltAddTextString en transform.c de libxslt 1.1.29 (CVE-2017-5029)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
La función xsltAddTextString en transform.c en libxslt 1.1.29, tal como se utiliza en Blink en Google Chrome anteriores a 57.0.2987.98 para Mac, Windows y Linux y 57.0.2987.108 para Android, carecía de una comprobación de desbordamiento de entero durante un cálculo de tamaño, lo que permite a un atacante remoto realizar una escritura de memoria fuera de límites a través de una página HTML diseñada.
Vulnerabilidad en Google Chrome (CVE-2017-5030)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
El manejo incorrecto de especies complejas en V8 de Google Chrome anteriores a 57.0.2987.98 para Linux, Windows y Mac y 57.0.2987.108 para Android permitió a un atacante remoto ejecutar código arbitrario a través de una página HTML especialmente diseñada.
Vulnerabilidad en Google Chrome (CVE-2017-5031)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
11/06/2018
Descripción:
Un uso después de su liberación de ANGLE en Google Chrome anteriores a 57.0.2987.98 para Windows permitió a un atacante remoto realizar una lectura de memoria fuera de límites a través de una página HTML diseñada especialmente.
Vulnerabilidad en Google Chrome (CVE-2017-5032)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
PDFium en Google Chrome anteriores a 57.0.2987.98 para Windows podría incrementar del final de un búfer, lo que permite a un atacante remoto realizar corrupción de pila heap a través de un archivo PDF especialmente elaborado.
Vulnerabilidad en Blink en Google Chrome (CVE-2017-5033)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Blink en Google Chrome, en versiones anteriores a la 57.0.2987.98 para Mac, Windows y Linux y 57.0.2987.108 para Android, no propagaba correctamente las restricciones CSP a las páginas de temas locales, lo que permitía que un atacante remoto omitiese la política de seguridad de contenido (CSP) mediante una página HTML manipulada. Esto está relacionado con la palabra clave de unsafe-inline.
Vulnerabilidad en PDFium de Google Chrome (CVE-2017-5034)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Un uso después de liberación en PDFium de Google Chrome versiones anteriores a 57.0.2987.98 para Linux y Windows, permitiría a un usuario remoto leer la memoria fuera de límites a través de un fichero PDF especialmente diseñado.
Vulnerabilidad en Google Chrome (CVE-2017-5035)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
En Google Chrome versiones anteriores a 57.0.2987.98 para Windows y Mac, se ocasiona una condición de carrera que podría causar que Chrome muestre información de certificado incorrecta de un sitio.
Vulnerabilidad en PDFium de Google Chrome (CVE-2017-5036)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Un uso después de liberación en PDFium de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android, permitiría a un usuario remoto provocar un impacto indefinido a través de un archivo PDF especialmente diseñado.
Vulnerabilidad en FFmpeg de Google Chrome (CVE-2017-5037)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Un desbordamiento de entero en FFmpeg de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows, y Linux y versión 57.0.2987.108 para Android permitiría a un atacante remoto escribir fuera de los límites de memoria a través de un archivo de vídeo especialmente diseñado. Relacionado con ChunkDemuxer.
Vulnerabilidad en Chrome Apps de Google Chrome (CVE-2017-5038)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Chrome Apps de Google Chrome versiones anteriores a 57.0.2987.98 para Linux, Windows y Mac, debido a un fallo de uso después de liberación en GuestView, permitiría a un atacante remoto leer la memoria fuera de los límites a través de una extensión de Chrome especialmente diseñada.
Vulnerabilidad en PDFium de Google Chrome (CVE-2017-5039)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Un uso después de liberación en PDFium de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android permitiría a un usuario remoto provocar una corrupción de memoria dinámica (heap) a través de una archivo PDF especialmente diseñado.
Vulnerabilidad en V8 de Google Chrome (CVE-2017-5040)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
V8 de Google Chrome en versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android no realiza un chequeo que podría permitir a un atacante remoto leer valores en memoria a través de una página HTML especialmente diseñada.
Vulnerabilidad en Google Chrome (CVE-2017-5041)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Google Chrome versiones anteriores a 57.0.2987.100 gestiona incorrectamente las acciones ir adelante/atrás en la navegación lo que permitiría a un atacante remoto mostrar información incorrecta de un sitio a través de una página HTML especialmente diseñada.
Vulnerabilidad en Cast de Google Chrome (CVE-2017-5042)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Cast en Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android envía cookies a sitios descubiertos a través de SSDP, hecho que permitiría a un atacante en el segmento de red local iniciar conexiones a URLs arbitrarias pudiendo observar en texto plano cualquier cookie enviada.
Vulnerabilidad en Chrome Apps de Google Chrome (CVE-2017-5043)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Chrome Apps de Google Chrome versiones anteriores a 57.0.2987.98 para Linux, Windows y Mac, debido a un fallo de uso después de liberación en GuestView, permitiría a un atacante remoto leer la memoria fuera de los límites a través de una extensión de Chrome especialmente diseñada.
Vulnerabilidad en Skia de Google Chrome (CVE-2017-5044)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Un desbordamiento de búfer de memoria dinámica (heap) en el proceso de filtrado en Skia de Google Chrome en versiones anteriores 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android, permitirían a un atacante remoto realizar una lectura de memoria fuera de límites a través de una página HTML especialmente diseñada.
Vulnerabilidad en XSS Auditor de Google Chrome (CVE-2017-5045)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
XSS Auditor de Google Chrome versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android permiten la detección de la carga de un iframe bloqueado lo que permitiría a un atacante remoto conocer los nombre de variable de JavaScript mediante un ataque de fuerza bruta usando una página HTML especialmente diseñada.
Vulnerabilidad en V8 de Google Chrome (CVE-2017-5046)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
V8 de Google Chrome en versiones anteriores a 57.0.2987.98 para Mac, Windows y Linux y versión 57.0.2987.108 para Android tiene una aplicación de política insuficiente lo que permitiría a un atacante remoto falsear el objeto de ubicación a través de una página HTML especialmente diseñada. Relacionada con la revelación de información de Blink.
Vulnerabilidad en QuickTime para Windows (CVE-2011-3428)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
Desbordamiento de búfer en QuickTime en versiones anteriores a 7.7.1 para Windows permite a atacantes remotos ejecutar código arbitrario
Vulnerabilidad en WebKit (CVE-2011-3438)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
WebKit, como se utiliza en Safari 5.0.6, permite a atacantes remotos provocar una denegación de servicio (caída de proceso) o ejecución arbitraria de código.
Vulnerabilidad en Pivotal Cloud Foundry, UAA, PCF y Elastic Runtime (CVE-2016-5016)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
26/02/2019
Descripción:
Pivotal Cloud Foundry 239 y versiones anteriores, UAA ( también conocido como User Account y Authentication Server) 3.4.1 y versiones anteriores, lanzamiento UAA 12.2 y versiones anteriores, PCF (también conocido como Pivotal Cloud Foundry) Elastic Runtime 1.6.x en versiones anteriores a 1.6.35, y PCF Elastic Runtime 1.7.x en versiones anteriores a 1.7.13 no valida si un certificado ha expirado.
Vulnerabilidad en Ishell (CVE-2016-6902)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Ishell 0.9.16 permite a usuarios remotos autenticados salir de un shell limitado y ejecutar comandos arbitrarios.
Vulnerabilidad en Ishell (CVE-2016-6903)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Ishell 0.9.16 permite a usuarios remotos autenticados salir de un shell limitado y ejecutar comandos arbitrarios.
Vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Oracle Financial Services Applications (subcomponente: Unit Trust). (CVE-2017-3488)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Oracle Financial Services Applications (subcomponente: Unit Trust). Versiones compatibles que son afectadas son 12.0.1, 12.0.2, 12.0.3, 12.0.4, 12.1.0, 12.2.0 y 12.3.0. Vulnerabilidad fácilmente explotable permite a los atacantes de bajo privilegio con acceso a la red a través de HTTP comprometer el servicio de inversionistas Oracle FLEXCUBE. Los ataques exitosos de esta vulnerabilidad pueden provocar la creación, eliminación o modificación no autorizada de acceso a datos críticos o a todos los datos accesibles de Oracle FLEXCUBE Investor Servicing. CVSS 3.0 Base Score 6.5 (Impactos de integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N).
Vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Oracle Financial Services Applications (subcomponente: Security Management System). (CVE-2017-3489)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Oracle Financial Services Applications (subcomponente: Security Management System). Versiones compatibles que son afectadas son 12.0.1, 12.0.2, 12.0.3, 12.0.4, 12.1.0, 12.2.0 y 12.3.0. Vulnerabilidad fácilmente explotable permite a atacantes de bajo privilegio con acceso a la red a través de HTTP comprometer el servicio de inversionistas Oracle FLEXCUBE. Los ataques exitosos de esta vulnerabilidad pueden provocar la actualización, inserción o eliminación de acceso no autorizados a algunos de los datos accesibles de Oracle FLEXCUBE Investor Servicing, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle FLEXCUBE Investor Servicing. CVSS 3.0 Base Score 5.4 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N).
Vulnerabilidad en el componente Oracle FLEXCUBE Enterprise Limits y Collateral Management de Oracle Financial Services Applications (subcomponente: Limits and Collateral) (CVE-2017-3491)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle FLEXCUBE Enterprise Limits y Collateral Management de Oracle Financial Services Applications (subcomponente: Limits and Collateral). Versiones compatibles que son afectadas son 12.0.1 y 12.1.0. Vulnerabilidad fácilmente explotable permite a los atacantes de bajo privilegio con acceso a la red a través de HTTP comprometer los límites de Oracle FLEXCUBE y la gestión de garantías. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle FLEXCUBE Enterprise Limits y Collateral Management. CVSS 3.0 Base Score 6.5 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en el componente Oracle FLEXCUBE Direct Banking de Oracle Financial Services Applications (subcomponente: Pre-Login). (CVE-2017-3495)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle FLEXCUBE Direct Banking de Oracle Financial Services Applications (subcomponente: Pre-Login). Versiones compatibles que son afectadas son 12.0.2 y 12.0.3. Vulnerabilidad fácilmente explotablePermite a atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle FLEXCUBE Direct Banking. Los ataques exitosos requieren la interacción humana de una persona más que un atacante y mientras que la vulnerabilidad está en Oracle FLEXCUBE Direct Banking, los ataques pueden afectar significativamente a otros productos. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle FLEXCUBE Direct Banking. CVSS 3.0 Base Score 4.7 (Confidentiality impacts). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N).
Vulnerabilidad en el componente Solaris de Oracle Sun Systems Products Suite (subcomponente: Remote Administration Daemon) (CVE-2017-3497)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Solaris de Oracle Sun Systems Products Suite (subcomponente: Remote Administration Daemon). La versión admitida afectada es 11.3. Vulnerabilidad fácil explotable permite autenticado atacante con acceso a la red a través de múltiples protocolos para comprometer Solaris. Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación de acceso no autorizados a algunos de los datos accesibles de Solaris, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Solaris y la capacidad no autorizada de causar una denegación parcial de servicio (partial DOS) de Solaris. CVSS 3.0 Base Score 7.3 (Confidencialidad, integridad e impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en el componente Solaris de Oracle Sun Systems Products Suite (subcomponente: Kernel) (CVE-2017-3498)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
10/07/2017
Descripción:
Vulnerabilidad en el componente Solaris de Oracle Sun Systems Products Suite (subcomponente: Kernel). La versión soportada afectada es 11.3. Vulnerabilidad fácil explotable permite que un atacante con privilegios bajos con inicio de sesión en la infraestructura donde Solaris ejecute comprometer Solaris. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Solaris. CVSS 3.0 Base Score 3.3 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el componente Automatic Service Request (ASR) de Oracle Support Tools (subcomponente: ASR Manager). (CVE-2017-3504)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Automatic Service Request (ASR) de Oracle Support Tools (subcomponente: ASR Manager). La versión soportada que es afectada es anterior a 5.7. Vulnerabilidad fácilmente explotable permite autenticado atacante con el inicio de sesión a la infraestructura donde se ejecuta ASR (Automatic Service Request) para comprometer la ASR (Automatic Service Request). Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles ASR (Automatic Service Request) y la capacidad no autorizada de causar una denegación parcial de servicio (DOS parcial) de ASR. CVSS 3.0 Base Score 5.1 (Integridad e Impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L).
Vulnerabilidad en el componente Automatic Service Request (ASR) de Oracle Support Tools (subcomponente: ASR Manager). (CVE-2017-3505)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Automatic Service Request (ASR) de Oracle Support Tools (subcomponente: ASR Manager). La versión soportada afectada es Antes de 5.7. Vulnerabilidad fácilmente explotable permite autenticado atacante con el inicio de sesión a la infraestructura donde se ejecuta ASR (Automatic Service Request) para comprometer la ASR (Automatic Service Request). Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles ASR (Automatic Service Request) y la capacidad no autorizada de causar una denegación parcial de servicio (partial DOS) de ASR. Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L).
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Web Services) (CVE-2017-3506)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Web Services). Versiones compatibles que son afectadas son 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 y 12.2.1.2. Vulnerabilidad dificil de explotar permite a atacante autenticado con acceso a la red a través de HTTP comprometer Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden provocar la creación, eliminación o modificación no autorizada de acceso a datos críticos o todos los datos accesibles de Oracle WebLogic Server, así como el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Oracle WebLogic Server. CVSS 3.0 Base Score 7.4 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en el componente Primavera Gateway de Oracle Primavera Products Suite (subcomponente: Primavera Desktop Integration). (CVE-2017-3508)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Primavera Gateway de Oracle Primavera Products Suite (subcomponente: Primavera Desktop Integration). Versiones compatibles que son afectadas son 1.0, 1.1, 14.2, 15.1, 15.2, 16.1 y 16.2. Vulnerabilidad fácilmente explotable permite a atacante de alto privilegio con acceso a la red a través de HTTP comprometer Primavera Gateway. Aunque la vulnerabilidad está en Primavera Gateway, los ataques pueden afectar significativamente a otros productos. Los ataques exitosos de esta vulnerabilidad pueden resultar en la adquisición de Primavera Gateway. Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2017-3599)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Se ha encontrado una vulnerabilidad en el componente MySQL Server de Oracle MySQL (subcomponente: Server: Pluggable Auth). Las versiones compatibles que se ven afectadas son versión 5.6.35 y anteriores y versión 5.7.17 y anteriores. La vulnerabilidad fácilmente "explotable" permite que un atacante no autenticado con acceso a la red por medio de múltiples protocolos ponga en peligro el servidor MySQL. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para generar una suspensión o un bloqueo repetible con frecuencia (DoS completo) de MySQL Server. CVSS 3.0 Base Score 7.5 (Availability impacts). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H). NOTE: the previous information is from the April 2017 CPU. NOTA: la información anterior es de la CPU de abril de 2017. Oracle no ha comentado sobre las afirmaciones de terceros de que este problema es un desbordamiento de enteros en sql/auth/sql_authentication.cc que permite a los atacantes remotos generar una Denegación de Servicio (DoS) por medio de un paquete de autenticación creado.
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB (CVE-2017-3605)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. La versión compatible que es afectadas es Prior a 6.2.32. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con inicio de sesión en la infraestructura donde se almacena Data Store a comprometer Data Store. Los ataques exitosos requieren interacción humana de una persona distinta al atacante. Los ataques exitoso de esta vulnerabilidad pueden resultar en la adquisición de Data Store. CVSS 3.0 Base Score 7.0 (Impactos de Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB (CVE-2017-3606)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. La versión compatible que es afectadas es Prior a 6.2.32. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con inicio de sesión en la infraestructura donde se almacena Data Store a comprometer Data Store. Los ataques exitosos requieren interacción humana de una persona distinta al atacante. Los ataques exitoso de esta vulnerabilidad pueden resultar en la adquisición de Data Store. CVSS 3.0 Base Score 7.0 (Impactos de Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB (CVE-2017-3607)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. La versión compatible que es afectadas es Prior a 6.2.32. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con inicio de sesión en la infraestructura donde se almacena Data Store a comprometer Data Store. Los ataques exitosos requieren interacción humana de una persona distinta al atacante. Los ataques exitoso de esta vulnerabilidad pueden resultar en la adquisición de Data Store. CVSS 3.0 Base Score 7.0 (Impactos de Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB (CVE-2017-3608)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. La versión compatible que es afectadas es Prior a 6.2.32. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con inicio de sesión en la infraestructura donde se almacena Data Store a comprometer Data Store. Los ataques exitosos requieren interacción humana de una persona distinta al atacante. Los ataques exitoso de esta vulnerabilidad pueden resultar en la adquisición de Data Store. CVSS 3.0 Base Score 7.0 (Impactos de Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB (CVE-2017-3609)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. La versión compatible que es afectadas es Prior a 6.2.32. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con inicio de sesión en la infraestructura donde se almacena Data Store a comprometer Data Store. Los ataques exitosos requieren interacción humana de una persona distinta al atacante. Los ataques exitoso de esta vulnerabilidad pueden resultar en la adquisición de Data Store. CVSS 3.0 Base Score 7.0 (Impactos de Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Componente de Data Store de Berkeley DB de Oracle (CVE-2017-3610)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. La versión compatible que se ve afectada es anterior a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Data Store de Berkeley DB de Oracle (CVE-2017-3611)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. Versiones afectadas anteriores a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Data Store de Berkeley DB de Oracle (CVE-2017-3612)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. Versiones afectadas anteriores a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Data Store de Berkeley DB de Oracle (CVE-2017-3613)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. Versiones afectadas anteriores a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Data Store de Berkeley DB de Oracle (CVE-2017-3614)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. Versiones afectadas anteriores a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Data Store de Berkeley DB de Oracle (CVE-2017-3615)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. Versiones afectadas anteriores a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Data Store de Berkeley DB de Oracle (CVE-2017-3616)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. Versiones afectadas anteriores a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en Data Store de Berkeley DB de Oracle (CVE-2017-3617)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Data Store de Oracle Berkeley DB. Versiones afectadas anteriores a 6.2.32. Difícil de explotar, la vulnerabilidad permite a un atacante no autenticado con inicio de sesión a la infraestructura donde se almacena el Data Store comprometerlo. El ataque requiere interacción humana de una persona diferente y si tiene éxito se obtiene el control de la Data Store. CVSS 3.0 Base Score 7.0 (Impacto en Confidencialidad, Integridad y Disponibilidad ). Vector CVSS: (CVSS: 3.0/AV: L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en el ASR de Oracle Support Tools (CVE-2017-3618)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Versiones afectadas anteriores a la 5.7. La vulnerabilidad permite que un atacante con pocos privilegios e inicio de sesión en la infraestructura donde se ejecute el ASR (Automatic Service Request) le comprometa. Un ataque exitoso puede resultar en la creación, eliminación o modificación no autorizada de acceso a datos críticos o todos los datos accesibles por el ASR, así como el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de ASR. CVSS 3.0 Base Score 7.1 (Impacto en confidencialidad e integridad). CVSS Vector: (CVSS: 3.0 / AV: L / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: N).
Vulnerabilidad en en el componente ASR de Oracle (CVE-2017-3619)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Versiones afectadas anteriores a la 5.7. La vulnerabilidad permite que un atacante con pocos privilegios e inicio de sesión en la infraestructura donde se ejecute el ASR (Automatic Service Request) le comprometa. Un ataque exitoso pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de ASR (Automatic Service Request). CVSS 3.0 Puntaje 5.5 (Incidencia en confidencialidad). Vector CVSS: (CVSS: 3.0 / AV: L / AC: L / PR: L / UI: N / S: U / C: H / I: N / A: N).
Vulnerabilidad en componente Sun ZFS Storage Appliance Kit (AK) de Oracle Sun Systems Products Suite (CVE-2017-3621)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
La versión afectada es la AK 2013. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Sun ZFS Storage Appliance Kit (AK). Los ataques exitosos de esta vulnerabilidad pueden resultar en la capacidad no autorizada para causar un bloqueo o caída abrupta del servicio repetible (DoS completo) del Sun ZFS Storage Appliance Kit (AK). CVSS 3.0 Base Score 7.5 (Impacto en la disponibilidad). Vector CVSS: (CVSS: 3.0 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H).
Vulnerabilidad en componente Oracle WebCenter Content de Oracle Fusion Middleware (subcomponente: Content Server) (CVE-2017-3625)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Las versiones afectadas son 11.1.1.7, 11.1.1.9, 12.2.1.0, 12.2.1.1 y 12.2.1.2. La vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red vía HTTP pueda comprometer el contenido de Oracle WebCenter. Los ataques exitosos requieren la interacción humana de una persona diferente y mientras la vulnerabilidad está en el Contenido de Oracle WebCenter, los ataques pueden afectar significativamente a otros productos. Los ataques exitosos de esta vulnerabilidad pueden provocar acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle WebCenter Content, así como actualizaciones no autorizadas, insertar o eliminar acceso a algunos de los datos accesibles de Oracle WebCenter Content. CVSS 3.0 Score 8.2 (Impacto enconfidencialidad e integridad). Vector CVSS: (CVSS: 3.0 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: L / A: N).
Vulnerabilidad en DLink DVGN5402SP (CVE-2015-7245)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
Vulnerabilidad de salto de directorio en DLink DVGN5402SP con firmware W1000CN00, W1000CN03 o W2000EN00 permite a atacantes remotos leer información sensible a través de un .. (punto punto) en el parámetro errorpage.
Vulnerabilidad en DLink DVGN5402SP (CVE-2015-7246)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
DLink DVGN5402SP con firmware W1000CN00, W1000CN03 o W2000EN00 tiene una contraseña predeterminada de root para la cuenta root y tw para la cuenta tw, lo que hace más fácil a atacantes remotos obtener acceso administrativo.
Vulnerabilidad en DLink DVGN5402SP (CVE-2015-7247)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
DLink DVGN5402SP con firmware W1000CN00, W1000CN03 o W2000EN00 revela nombres de usuario, contraseñas, claves, valores y hashes de cuentas web (super y admin) en texto plano al ejecutar una copia de seguridad de configuración, lo que permite a atacantes remotos obtener información sensible.
Vulnerabilidad en Yeager CMS (CVE-2015-7570)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
09/10/2018
Descripción:
Varias vulnerabilidades de falsificación de solicitud del lado del servidor (SSRF) en Yeager CMS 1.2.1 permiten a atacantes remotos desencadenar peticiones salientes y enumerar puertos abiertos a través del parámetro dbhost a libs/org/adodb_lite/tests/test_adodb_lite.php, libs/org/adodb_lite/tests/test_datadictionary.php o libs/org/adodb_lite/tests/test_adodb_lite_sessions.php.
Vulnerabilidad en la función j2k_encode_entry en Pillow (CVE-2016-3076)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
Desbordamiento de búfer basado en memoria dinámica en la función j2k_encode_entry en Pillow 2.5.0 hasta la versión 3.1.1 permite a atacantes remotos provocar una denegación de servicio (corrupción de memoria) a través de un archivo Jpeg2000 manipulado.
Vulnerabilidad en Kallithea (CVE-2016-3114)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Kallithea en versiones anteriores a 0.3.2 permite a usuarios remotos autenticados editar o eliminar peticiones de extracción abierta o eliminar comentarios aprovechando el acceso de lectura.
Vulnerabilidad en Routes en Kallithea (CVE-2016-3691)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Routes en Kallithea en versiones anteriores a 0.3.2 permite a atacantes remotos eludir la protección CSRF utilizando el método de solicitud GET HTTP.
Vulnerabilidad en eXtplore (CVE-2016-4313)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
09/10/2018
Descripción:
Vulnerabilidad de salto de directorio en la funcionalidad unzip/extract de eXtplorer 2.1.9 permite a atacantes remotos ejecutar archivos arbitrarios a través de un .. (punto punto) en un archivo.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2322)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de denegación de servicio en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1, puede permitir que un usuario autenticado provoque denegaciones de servicio generalizadas a los servicios del sistema consumiendo puertos TCP y UDP que normalmente están reservados para otros servicios del sistema.
Vulnerabilidad en el URI /NAGErrors en NetIQ Access Manager (CVE-2017-5191)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/05/2017
Descripción:
Existe una vulnerabilidad de XSS en el URI /NAGErrors en NetIQ Access Manager 4.2 y 4.3 porque las páginas de Access Gateway Error no validan el encabezado HTTP Referer.
Vulnerabilidad en Easy WP SMTP (CVE-2017-7723)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
01/06/2017
Descripción:
Existe XSS en Easy WP SMTP (en versiones anteriores a 1.2.5), un Plugin de WordPress, a través del asunto o cuerpo del correo electrónico.
Vulnerabilidad en e107 (CVE-2017-8098)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
29/04/2017
Descripción:
e107 2.1.4 es vulnerable a CSRF en la instalación de plugins, el meta cambio y el cambio de configuración. Una página web maliciosa puede utilizar solicitudes falsificadas para hacer una descarga e107 e instalar un plug-in proporcionado por el atacante.
Vulnerabilidad en el plugin WHIZZ para WordPress (CVE-2017-8099)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
Hay CSRF en el plugin WHIZZ en versiones anteriores a 1.1.1 para WordPress, permitiendo a los atacantes eliminar cualquier usuario de WordPress y cambiar el estado del plugin a través de una solicitud GET.
Vulnerabilidad en el plugin CopySafe Web Protection para Wordpress (CVE-2017-8100)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/05/2017
Descripción:
Hay CSRF en el plugin CopySafe Web Protection en versiones anteriores a 2.6 para WordPress, permitiendo a los atacantes cambiar la configuración del plugin.
Vulnerabilidad en Serendipity (CVE-2017-8101)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Hay CSRF en Serendipity 2.0.5, permitiendo a atacantes instalar cualquier tema a través de una solicitud GET.
Vulnerabilidad en Serendipity (CVE-2017-8102)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
XSS almacenado en Serendipity v2.1-rc1 permite a un atacante robar una cookie de un administrador y otra información componiendo una nueva entrada como un usuario editor. Esto está relacionado con la falta del plugin serendipity_event_xsstrust plugin y un error set_config en ese plugin.
Vulnerabilidad en MyBB (CVE-2017-8103)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
En MyBB en versiones anteriores a 1.8.11, el componente Email MyCode permite XSS, como lo demuestra un evento onmouseover.
Vulnerabilidad en MyBB (CVE-2017-8104)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
19/03/2019
Descripción:
En MyBB en versiones anteriores a 1.8.11, el módulo smilie permite Salto de Directorio a través del parámetro pathfolder.
Vulnerabilidad en FreeType 2 (CVE-2017-8105)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
23/04/2019
Descripción:
FreeType 2 en versiones anteriores a 24-03-2017 tiene una escritura fuera de limites provocada por un desbordamiento de búfer relacionado con la función t1_decoder_parse_charstrengs en psaux/t1decode.c.
Vulnerabilidad en OpenDaylight (CVE-2017-1000357)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Un ataque de Denegación de Servicio cuando el switch rechaza recibir paquetes desde el controlador. Componente: esta vulnerabilidad afecta a odl-l2switch-switch de OpenDaylight, que es la funcionalidad responsable de la comunicación OpenFlow. Versión: OpenDaylight versiones 3.3 (Lithium-SR3), 3.4 (Lithium-SR4), 4.0 (Beryllium), 4.1 (Beryllium-SR1), 4.2 (Beryllium-SR2), y 4.4 (Beryllium-SR4) están afectadas por este fallo. La versión de Java es openjdk versión 1.8.0_91.
CVE-2017-1000358
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
El controlador lanza una excepción y no permite al usuario agregar flujo posterior para un switch en particular. Componente: La característica OpenDaylight odl-restconf contiene este fallo. Versión: OpenDaylight 4.0 se ve afectada por este fallo.
Vulnerabilidad en OpenDaylight odl-mdsal-xsql (CVE-2017-1000359)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Error de falta de memoria en Java y aumento significativo en el consumo de recursos. Componente: OpenDaylight odl-mdsal-xsql es vulnerable a este fallo. Versión: Las versiones probadas son OpenDaylight 3.3 y 4.0.
Vulnerabilidad en OpenDaylight odl-mdsal-xsql (CVE-2017-1000360)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
StreamCorruptedException y NullPointerException en OpenDaylight odl-mdsal-xsql. El controlador inicia excepciones en la consola. Componente: OpenDaylight odl-mdsal-xsql es vulnerable a este fallo. Versión: las versiones probadas son OpenDaylight 3.3 y 4.0.
Vulnerabilidad en OpenDaylight (CVE-2017-1000361)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
DOMRpcImplementationNotAvailableException al enviar paquetes Port-Status a OpenDaylight. El controlador inicia excepciones y consume más recursos de la CPU. Componente: OpenDaylight es vulnerable a este fallo. Versión: las versiones probadas son OpenDaylight 3.3 y 4.0.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2316)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Una vulnerabilidad de desbordamiento de búfer en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un usuario malicioso autenticado provocar un desbordamiento de búfer conduciendo a una denegación de servicio.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2317)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de denegación de servicio en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir que un atacante no autenticado, sin privilegios y basado en la red, provoque denegaciones de servicio a las tablas de bases de datos subyacentes conduciendo a la divulgación potencial de información, modificación de estados del sistema y una denegación de parcial a completa de los servicios basados en los datos modificados por un atacante.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2318)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Una vulnerabilidad en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir que un usuario malicioso autenticado lea archivos de registro lo que comprometerá la integridad del sistema o proporcionará elevación de privilegios.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2319)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante malicioso comprometer los sistemas de confidencialidad o integridad sin autenticación, conduciendo a que los sistemas gestionados se vean comprometidos o que se denieguen servicios a usuarios finales auténticos y sistemas como resultado.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2320)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir que un atacante no autenticado, sin privilegios y basado en la red, provoque varias denegaciones de servicio conduciendo a la divulgación de información específica, modificación de cualquier componente del sistema NorthStar, incluyendo los sistemas gestionados y la denegación de servicio total de cualquier sistema bajo gestión con el que NorthStar interactúe utilizando credenciales de solo lectura o de lectura y escritura.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2321)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante no autenticado, sin privilegios y basado en la red, provocar varias denegaciones de servicio parciales o totales de los servicios del sistema, modificación de estados y archivos del sistema y divulgación potencial de información sensible que puede ayudar al atacante en ataques adicionales al sistema mediante el uso de múltiples vectores de ataque, incluyendo ataques man-in-the-middle, inyecciones de archivos y ejecución maliciosa de comandos que provocan condiciones de memoria fuera de límites conduciendo a otros ataques.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2323)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de denegación de servicio en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante malicioso manipular paquetes destinados al dispositivo para provocar una denegación de servicio persistente al servicio de servidor de cálculo de ruta.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2324)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Una vulnerabilidad de inyección de comandos en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante malicioso basado en la red, provocar una condición de denegación de servicio.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2325)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Una vulnerabilidad de desbordamiento de búfer en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un usuario malicioso autenticado provocar un desbordamiento de búfer conduciendo a una denegación de servicio.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2326)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
Una vulnerabilidad de divulgación de información en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante no privilegiado, autenticado y basado en la red, reproducir la VM subyacente del SO Junos y todos los datos que mantiene en su sistema local para análisis futuro.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2327)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de denegación de servicio en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un usuario malicioso autenticado consumir grandes cantidades de recursos del sistema conduciendo a una denegación de servicios en cascada.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2328)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Una vulnerabilidad de fuga de información en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un usuario autenticado, no privilegiado, elevar sus permisos a través de la lectura de información no privilegiada almacenada en el controlador NorthStar.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2329)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Una vulnerabilidad de autenticación insuficiente en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un usuario autenticado, no privilegiado, ejecutar determinados archivos específicos del sistema no privilegiados capaces de provocar denegaciones generalizadas de los servicios del sistema.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2330)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de denegación de servicio en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un usuario local, no autenticado, crear un escenario de bomba fork, también conocido como virus de conejo, o wabbir, lo que creará procesos que se replican ellos mismos, hasta que todos los recursos se consuman en el sistema, conduciendo a una denegación de servicio a todo el sistema hasta que se reinicie. Los ataques continuos de un usuario local no autenticado pueden llevar a denegaciones de servicios persistentes.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2331)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de elusión de cortafuegos en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante malicioso basado en red, eludir las políticas de firewall, conduciendo a métodos de elusión de autenticación, divulgación de información, modificación de archivos del sistema y denegaciones de servicio.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2332)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
Una vulnerabilidad de autenticación insuficiente en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante malicioso, no autenticado basado en red, realizar acciones privilegiadas para obtener un control total sobre el entorno.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2333)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de denegación de servicio persistente en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante malicioso, no autenticado basado en red, consumir suficientes recursos del sistema para provocar una denegación de servicio persistente visitando determinadas URLs específicas en el servidor.
Vulnerabilidad en Juniper Networks NorthStar Controller Application (CVE-2017-2334)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
Una vulnerabilidad de fuga de información en Juniper Networks NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1 puede permitir a un atacante malicioso basado en red realizar un ataque man-in-the-middle, robando credenciales auténticas de rutas cifradas que son fácilmente descifrables y posteriormente obtener el control completo del sistema.
Vulnerabilidad en Exponent CMS (CVE-2017-8085)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
28/04/2017
Descripción:
En Exponent CMS en versiones anteriores a 2.4.1 Patch #5, XSS en elFinder es posible en framework/modules/file/connector/elfinder.php.
Vulnerabilidad en XOOPS Core (CVE-2017-7944)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
XOOPS Core 2.5.8.1 tiene XSS debido a una salida HTML sin escape de un mensaje de error de Install DB en page_dbsettings.php.
Vulnerabilidad en drivers/media/video/videobuf-vmalloc.c en el kernel de Linux (CVE-2007-6761)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
drivers/media/video/videobuf-vmalloc.c en el kernel de Linux en versiones anteriores a 2.6.24 no inicializa las estructuras de datos videobuf_mapping, lo que permite a usuarios locales desencadenar un valor de recuento incorrecto y una filtración de videobuf a través de vectores no especificados, una vulnerabilidad diferente a CVE-2010 -5321.
Vulnerabilidad en en drivers/media/video/v4l2-ioctl.c en el kernel de Linux (CVE-2010-5329)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
26/04/2017
Descripción:
La función video_usercopy en drivers/media/video/v4l2-ioctl.c en el kernel de Linux en versiones anteriores a 2.6.39 se basa en el valor de conteo de una estructura de datos v4l2_ext_controls para determinar un tamaño de kmalloc, lo que podría permitir a usuarios locales causar una denegación de servicio (consumo de memoria) a través de un gran valor.
Vulnerabilidad en IBM Tivoli IT Asset Management (CVE-2015-0104)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
IBM Tivoli IT Asset Management para IT, Tivoli Service Request Manager, y Change y Configuration Management Database 7.1 en versiones hasta 7.1.1.8 y 7.2 y Maximo Asset Management y Maximo Industry Solutions 7.1 en versiones hasta 7.1.1.8, 7.5 en versiones anteriores a 7.5.0.7 IFIX003, y 7.6 en versiones anteriores a 7.6.0.0 IFIX002 permite a los usuarios autenticados remotos ejecutar código arbitrario a través de vectores no especificados.
Vulnerabilidad en IBM Tivoli IT Asset Management (CVE-2015-0107)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
IBM Tivoli IT Asset Management para IT, Tivoli Service Request Manager, y Change y Configuration Management Database 7.1 en versiones hasta 7.1.1.8 y 7.2 y Maximo Asset Management y Maximo Industry Solutions 7.1 en versiones hasta 7.1.1.8, 7.5 en versiones anteriores a 7.5.0.7 IFIX003, y 7.6 en versiones anteriores a 7.6.0.0 IFIX002 permite a los usuarios autenticados remotos realizar ataques de desplazamiento de directorios a través de vectores no especificados.
Vulnerabilidad en analyzer/protocol/dnp3/DNP3.cc en Bro (CVE-2015-1521)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
analyzer/protocol/dnp3/DNP3.cc en Bro en versiones anteriores a 2.3.2 no maneja correctamente valores cero de una longitud de paquete, lo que permite a atacantes remotos causar una denegación de servicio (desbordamiento de búfer o sobre-lectura de búfer si NDEBUG; de lo contrario fracaso de aserción) a través de un paquete DNP3 manipulado.
Vulnerabilidad en analyzer/protocol/dnp3/DNP3.cc en Bro (CVE-2015-1522)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
analyzer/protocol/dnp3/DNP3.cc en Bro en versiones anteriores a 2.3.2 no rechaza ciertos valores distintos de cero de una longitud de paquete, lo que permite a atacantes remotos causar una denegación de servicio (desbordamiento de búfer o sobre-lectura de búfer) a través de un paquete DNP3 manipulado.
Vulnerabilidad en concrete5 8.1.0 (CVE-2017-8082)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
27/04/2017
Descripción:
concrete5 8.1.0 tiene CSRF en el Thumbnail Editor en el File Manager, que permite a atacantes remotos desactivar toda la instalación simplemente engañando a un administrador para que vea una página malintencionada que involucre a /tools/required/files/importers/imageeditor?fID=1&imgData= URI. Esto da lugar a una denegación de servicio en todo el sitio que hace que el sitio no sea accesible a ningún usuario ni a ningún administrador.
Vulnerabilidad en TP-Link TL-SG108E (CVE-2017-8078)
Gravedad:
MediaMedia
Publication date: 23/04/2017
Last modified:
27/04/2017
Descripción:
En TP-Link TL-SG108E versión 1.0, el proceso de actualización se puede solicitar de forma remota sin autenticación (httpupg.cgi con un parámetro llamado cmd). Esto afecta al firmware 1.1.2 Build 20141017 Rel.50749.
Vulnerabilidad en PdfParser.cpp en PoDoFo (CVE-2017-8053)
Gravedad:
MediaMedia
Publication date: 22/04/2017
Last modified:
02/10/2019
Descripción:
PoDoFo 0.9.5 permite una denegación de servicio (recursión infinita y consumo de pila) a través de un archivo PDF manipulado en PoDoFo::PdfParser::ReadDocumentStructure (PdfParser.cpp).
Vulnerabilidad en el controlador Samsung Exynos fimg2d para Android (CVE-2016-9278)
Gravedad:
MediaMedia
Publication date: 18/01/2017
Last modified:
24/04/2017
Descripción:
El controlador Samsung Exynos fimg2d para Android con chipsets Exynos 5433, 54xx o 7420 permite a usuarios locales provocar una denegación de servicio (pánico del kernel) a través de un comando ioctl manipulado.
Vulnerabilidad en el controlador Samsung Exynos fimg2d para Android (CVE-2016-9279)
Gravedad:
MediaMedia
Publication date: 18/01/2017
Last modified:
24/04/2017
Descripción:
Vulnerabilidad de uso después de liberación de memoria en el controlador Samsung Exynos fimg2d para Android con chipsets Exynos 5433, 54xx o 7420 permite a atacantes obtener información sensible a través de vectores no especificados
Vulnerabilidad en BladeLogic Server Automation (BSA) (CVE-2016-1543)
Gravedad:
MediaMedia
Publication date: 13/06/2016
Last modified:
09/10/2018
Descripción:
La API RPC en el agente de RSCD en las versiones 8.2.x, 8.3.x, 8.3.x, 8.6.x, 8.6.x y 8.7.x de BladeLogic Server Automation (BSA) de BMC, permite a los atacantes remotos omitir la autorización y restablecer contraseñas de usuario arbitrarias mediante el envío de un paquete action hacia xmlrpc después de un fallo de autorización.
Vulnerabilidad en Framework ARI/Asterisk Recording Interface en FreePBX. (CVE-2014-7235)
Gravedad:
AltaAlta
Publication date: 07/10/2014
Last modified:
10/12/2019
Descripción:
En el archivo htdocs_ari/includes/login.php en el módulo del Framework ARI/Asterisk Recording Interface (ARI) en FreePBX anterior a versión 2.9.0.9, versiones 2.10.x y versiones 2.11 anteriores a 2.11.1.5, permite a los atacantes remotos ejecutar código arbitrario por medio de la cookie ari_auth, relacionada con la función unserialize de PHP, como se explotó “in the wild” en septiembre de 2014.
Vulnerabilidad en el backend TLS SChannel/Winssl en curl y libcurl en Windows (CVE-2014-2522)
Gravedad:
MediaMedia
Publication date: 18/04/2014
Last modified:
28/04/2017
Descripción:
curl y libcurl versiones 7.27.0 hasta 7.35.0, cuando se ejecuta en Windows y utiliza el backend TLS SChannel/Winssl, no comprueba que el nombre de host del servidor coincida con un nombre de dominio en el campo subject's Common Name (CN) o subjectAltName del certificado X.509 cuando se accede a una URL que usa una dirección IP numérica, que permite a los atacantes de tipo man-in-the-middle falsificar servidores por medio de un certificado válido arbitrario.
Vulnerabilidad en la autenticación de administradores para ciertas peticiones en DSL-2740B Gateway de D-Link (CVE-2013-5730)
Gravedad:
MediaMedia
Publication date: 20/11/2013
Last modified:
28/04/2017
Descripción:
Múltiples vulnerabilidades de tipo cross-site request forgery (CSRF) en DSL-2740B Gateway de D-Link con versión de firmware EU_1.00, permiten a los atacantes remotos secuestrar la autenticación de los administradores para peticiones que (1) habilitan o deshabilitan los filtros de direcciones MAC inalámbricas por medio de una acción wlFltMode en archivo wlmacflt.cmd, (2) habilita o inhabilita las protecciones de firewall mediante una petición al archivo scdmz.cmd, o (3) habilita o inhabilita la administración remota por medio de una acción save en archivo scsrvcntr.cmd.
Vulnerabilidad en en el módulo Password Policy (CVE-2012-1633)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
28/04/2017
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en el módulo Password Policy anterior a versiones 6.x hasta 1.4 y 7.x hasta 1.0 beta3 para Drupal, permite a los atacantes remotos secuestrar la autenticación de usuarios administrativos para peticiones que desbloqueen a un usuario.
Vulnerabilidad en PeopleSoft Enterprise PeopleTools (CVE-2012-3118)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
21/12/2017
Descripción:
Una Vulnerabilidad no especificada en el componente PeopleSoft Enterprise PeopleTools en PeopleSoft Products de Oracle versión 8.52, permite a los usuarios remotos autenticados afectar a la confidencialidad, relacionada con PANPROC.
Vulnerabilidad en F-Secure para Microsoft Windows (CVE-2007-2966)
Gravedad:
AltaAlta
Publication date: 31/05/2007
Last modified:
16/10/2018
Descripción:
Un desbordamiento de búfer en el componente de descompresión LHA en productos antivirus de F-Secure para Microsoft Windows y Linux anterior a versión 20070529, permite a los atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (bloqueo de la aplicación) por medio de un archivo LHA ??creado, relacionado con un ajuste de entero, un problema similar a CVE-2006-4335.
Vulnerabilidad en Oracle Application Server (CVE-2007-2120)
Gravedad:
AltaAlta
Publication date: 18/04/2007
Last modified:
16/10/2018
Descripción:
El Servlet Discoverer de Oracle en Oracle Application Server versiones 9.0.4.3, 10.1.2.0.2 y 10.1.2.2.0 permite a los atacantes remotos cerrar un TNS listener de Oracle por medio de un comando TNS STOP de una petición que utiliza el alias database/TNS. también se conoce como AS01.
Vulnerabilidad en Vulnerabilidad en BT Voyager 2091 Wireless (CVE-2006-3561)
Gravedad:
MediaMedia
Publication date: 12/07/2006
Last modified:
18/10/2018
Descripción:
El firmware BT Voyager 2091 Wireless 2.21.05.08m_A2pB018c1.d16d y anteriores, y 3.01m y anteriores, permite a atacantes remotos evitar el proceso de autenticación y obtener información sensible, por ejemplo información de configuración, mediante (1) /btvoyager_getconfig.sh, credenciales PPP mediante (2) btvoyager_getpppcreds.sh, y decodificar credenciales de configuración mediante btvoyager_decoder.c.
CVE-2006-0446
Gravedad:
MediaMedia
Publication date: 26/01/2006
Last modified:
19/07/2017
Descripción:
Vulnerabilidad no especificad en WebWorK 2.1.3 y 2.2-pre1 permite a atacantes remotos privilegiados ejecutar órdenes de su elección como el servidor web mediante vectores de ataque desconocidos.
CVE-2003-0766
Gravedad:
AltaAlta
Publication date: 17/09/2003
Last modified:
28/04/2017
Descripción:
Múltiples desbordamientos de búfer basados en la pila en FTP Desktop client 3.5, y posiblemente versiones anteriores, permite a usuarios remotos maliciosos ejecutar código arbitrario mediante un mensaje de bienbenida FTP largo, una respuesta larga a un comando USER, o una respuesta larga a un comando PASS.