Inicio / Content / Boletín de INCIBE-CERT del 08-05-2017

Boletín de INCIBE-CERT del 08-05-2017

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Oracle Applications Framework (CVE-2017-3528)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
17/01/2018
Descripción:
Una vulnerabilidad en el componente Oracle Applications Framework de Oracle E-Business Suite (subcomponente: Popup windows (lists of values, datepicker, etc.)). Las versiones compatibles que están afectadas son 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6. Una vulnerabilidad fácilmente "exploitable" permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Applications Framework. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y aunque la vulnerabilidad está en Oracle Applications Framework, los ataques pueden impactar significativamente los productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, y en insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Applications Framework. CVSS 3.0 Puntuación Base 4.7 (Impactos de integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N).
Vulnerabilidad en En libosip2 en GNU oSIP (CVE-2017-7853)
Gravedad:
MediaMedia
Publication date: 13/04/2017
Last modified:
03/11/2017
Descripción:
En libosip2 en GNU oSIP versiones 4.1.0 y 5.0.0, un mensaje SIP malformado puede conllevar a un desbordamiento del búfer de la pila en la función msg_osip_body_parse() definida en el archivo osipparser2/osip_message_parse.c, resultando en una DoS remota.
Vulnerabilidad en PST10 de Miele Professional (CVE-2017-7240)
Gravedad:
MediaMedia
Publication date: 24/03/2017
Last modified:
15/08/2017
Descripción:
Se detectó un problema en los dispositivos PST10 de Miele Professional. El servidor web incorporado correspondiente a "PST10 WebServer" típicamente escucha al puerto 80 y es propenso a un ataque de salto de directorio; por lo tanto, un atacante no autenticado puede ser capaz de explotar este problema para acceder a información confidencial para facilitar ataques posteriores. Una prueba de concepto es GET /../../../../../../../../../../../../etc/shadow HTTP/1.1. Esto afecta los dispositivos PG8527 versiones 2.02 anteriores a 2.12, los dispositivos PG8527 versiones 2.51 anteriores a 2.61, los dispositivos PG8527 versiones 2.52 anteriores a 2.62, los dispositivos PG8527 versiones 2.54 anteriores a 2.64, los dispositivos PG8528 versiones 2.02 anteriores a 2.12, los dispositivos PG8528 versiones 2.51 anteriores a 2.61, los dispositivos PG8528 versiones 2.52 anteriores a 2.62, los dispositivos PG8528 versiones 2.54 anteriores a 2.64, los dispositivos PG8535 versiones 1.00 anteriores a 1.10, los dispositivos PG8535 versiones 1.04 anteriores a 1.14, los dispositivos PG8536 versiones 1.10 anteriores a 1.20 y los dispositivos PG8536 versiones 1.14 anteriores a 1.24.
Vulnerabilidad en la función nav_path en lib/viewvc.py en ViewVC (CVE-2017-5938)
Gravedad:
MediaMedia
Publication date: 15/03/2017
Last modified:
30/10/2018
Descripción:
Vulnerabilidad de XSS en la función nav_path en lib/viewvc.py en ViewVC en versiones anteriores a 1.1.26 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del nombre nav_data.