Inicio / Content / Boletín de INCIBE-CERT del 04-05-2017

Boletín de INCIBE-CERT del 04-05-2017

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Cybozu Office (CVE-2017-2115)
Gravedad:
MediaMedia
Publication date: 28/04/2017
Last modified:
02/10/2019
Descripción:
Cybozu Office desde 10.0.0 a 10.5.0 permite a un atacante remoto autenticado sortear las restricciones de acceso para obtener información "customapp" a través de vectores no especificados.
Vulnerabilidad en WBCE CMS (CVE-2017-2118)
Gravedad:
MediaMedia
Publication date: 28/04/2017
Last modified:
02/05/2017
Descripción:
Una vulnerabilidad de cross-site scripting en WBCE CMS 1.1.10 y anteriores permite a un atacante remoto inyectar web script o HTML a través de vectores no especificados.
Vulnerabilidad en BigFix Inventory de IBM (CVE-2016-8962)
Gravedad:
MediaMedia
Publication date: 26/04/2017
Last modified:
10/07/2017
Descripción:
IBM BigFix Inventory 9.2 no requiere que los usuarios tengan contraseñas seguras por defecto por lo que resulta más sencillo para un atacante comprometer cuentas de usuario. IBM X-Force ID: 118851.
Vulnerabilidad en Joomla! (CVE-2017-7984)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/05/2017
Descripción:
Un inadecuado sistema de filtrado en Joomla! 3.2.0 hasta 3.6.5 permite realizar un ataque de cross-site scripting en el componente template manager.
Vulnerabilidad en Joomla! (CVE-2017-7986)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/05/2017
Descripción:
Un unadecuado sistema de filtrado de atributos HTML en Joomla! 1.5.0 hasta 3.6.5 permite realizar un ataque de cross-site scripting en varios componentes.
Vulnerabilidad en Joomla! (CVE-2017-7989)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/05/2017
Descripción:
Una inadecuada comprobación de tipos MIME en Joomla! 3.2.0 hasta 3.6.5 permite a usuarios con pocos privilegios cargar archivos swf aunque estén explícitamente prohibidos.
Vulnerabilidad en Chrome Apps de Google Chrome (CVE-2017-5043)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
Chrome Apps de Google Chrome versiones anteriores a 57.0.2987.98 para Linux, Windows y Mac, debido a un fallo de uso después de liberación en GuestView, permitiría a un atacante remoto leer la memoria fuera de los límites a través de una extensión de Chrome especialmente diseñada.
Vulnerabilidad en el componente MySQL Connectors de Oracle MySQL (CVE-2017-3590)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en el componente MySQL Connectors de Oracle MySQL (subcomponente Connector/Python) 2.1.5 y anteriores permite a un atacante con login de bajos privilegios en la infraestructura donde se ejecuta MySQL Connectors realizar actualizaciones, inserciones o borrados no autorizados a los datos accesibles por MySQL Connectors.
Vulnerabilidad en el componente Automatic Service Request (ASR) de Oracle Support Tools (CVE-2017-3620)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en Automatic Service Request (ASR) versiones hasta 5.7 permite a un atacante con login de bajos privilegios en la infraestructura donde ASR se ejecuta tomar el control del componente.
Vulnerabilidad en el componente Oracle GlassFish Server de Oracle Fusion Middleware (CVE-2017-3626)
Gravedad:
BajaBaja
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en Oracle GlassFish Server 3.1.2 permite a un atacante no autenticado con acceso a la red a traves de múltiples protocolos comprometer Oracle GlassFish Server. Es necesaria interacción por parte de un usuario, y puede resultar en un acceso de lectura no autorizado a un subgrupo de los datos accesibles por Oracle GlassFish Server.
Vulnerabilidad en "yeager/y.php/tab_USERLIST" en Yeager CMS (CVE-2015-7569)
Gravedad:
AltaAlta
Publication date: 24/04/2017
Last modified:
11/03/2019
Descripción:
Vulnerabilidad de inyección de SQL en "yeager/y.php/tab_USERLIST" en Yeager CMS 1.2.1 permite a usuarios locales ejecutar comandos SQL arbitrarios a través del parámetro "pagedir_orderby".
Vulnerabilidad en ** EN DISPUTA ** (CVE-2017-7961)
Gravedad:
MediaMedia
Publication date: 19/04/2017
Last modified:
18/06/2019
Descripción:
** EN DISPUTA ** La función cr_tknzr_parse_rgb en cr-tknzr.c en libcroco 0.6.11 y 0.6.12 tiene un problema de comportamiento no definido de "fuera de rango de valores representables de tipo largo", que podría permitir a atacantes remotos provocar una denegación de servicio (caída de aplicación) o posiblemente tener otro impacto no especificado a través de un archivo CSS manipulado. NOTA: según análisis de terceros "Esto no es un problema de seguridad según mi visión. La conversión seguramente está truncando el valor doble en un valor largo, pero no hay impacto ya que el valor es uno de los componentes RGB".