Inicio / Content / Boletín de INCIBE-CERT del 08-05-2017

Boletín de INCIBE-CERT del 08-05-2017

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (CVE-2017-3342)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (subcomponente: interfaz de usuario). Las versiones afectadas son: 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6. La vulnerabilidad, fácilmente explotable, permite a atacantes no autenticados que tengan acceso a la red a través de tráfico HTTP comprometer dicho componente. Para que el ataque tenga éxito es necesaria la interacción de otra persona además del atacante. La explotación del fallo puede derivar en la creación, eliminación o modificación de información sensible o el acceso a toda la información de Oracle Marketing, así como la lectura de cierta información a la que tiene acceso el propio componente. CVSS 3.0 Base Score 7.1 (impacto en la confidencialidad y en la integridad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N).
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (CVE-2017-3345)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (subcomponente: interfaz de usuario). Las versiones afectadas son: 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 and 12.2.6. La vulnerabilidad, fácilmente explotable, permite a atacantes no autenticados que tengan acceso a la red a través de tráfico HTTP comprometer dicho componente. Para que el ataque tenga éxito es necesaria la interacción de otra persona además del atacante. La explotación del fallo puede derivar en la creación, eliminación o modificación de información sensible o el acceso a toda la información de Oracle Marketing, así como la lectura de cierta información a la que tiene acceso el propio componente. CVSS 3.0 Base Score 7.1 (impacto en la confidencialidad y en la integridad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N).
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (CVE-2017-3347)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (subcomponente: interfaz de usuario). Las versiones afectadas son: 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6. La vulnerabilidad, fácilmente explotable, permite a atacantes no autenticados que tengan acceso a la red a través de tráfico HTTP comprometer dicho componente. Para que el ataque tenga éxito es necesaria la interacción de otra persona además del atacante. La explotación del fallo puede derivar en la creación, eliminación o modificación de información sensible o el acceso a toda la información de Oracle Marketing, así como la lectura de cierta información a la que tiene acceso el propio componente. CVSS 3.0 Base Score 7.1 (impacto en la confidencialidad y en la integridad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N).
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (CVE-2017-3355)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (subcomponente: interfaz de usuario). Las versiones afectadas son: 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6. La vulnerabilidad, fácilmente explotable, permite a atacantes no autenticados que tengan acceso a la red a través de tráfico HTTP comprometer dicho componente. Para que el ataque tenga éxito es necesaria la interacción de otra persona además del atacante. La explotación del fallo puede derivar en la creación, eliminación o modificación de información sensible o el acceso a toda la información de Oracle Marketing, así como la lectura de cierta información a la que tiene acceso el propio componente. CVSS 3.0 Base Score 7.1 (impacto en la confidencialidad y en la integridad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N).
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (CVE-2017-3356)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Marketing de Oracle E-Business Suite (subcomponente: interfaz de usuario). Las versiones afectadas son: 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6. La vulnerabilidad, fácilmente explotable, permite a atacantes no autenticados que tengan acceso a la red a través de tráfico HTTP comprometer dicho componente. Para que el ataque tenga éxito es necesaria la interacción de otra persona además del atacante. La explotación del fallo puede derivar en la creación, eliminación o modificación de información sensible o el acceso a toda la información de Oracle Marketing, así como la lectura de cierta información a la que tiene acceso el propio componente. CVSS 3.0 Base Score 7.1 (impacto en la confidencialidad y en la integridad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N).
Vulnerabilidad en el componente Oracle One-to-One Fulfillment de Oracle E-Business Suite (CVE-2017-3434)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle One-to-One Fulfillment de Oracle E-Business Suite (subcomponente: Audience workbench). Las versiones afectadas son: 12.1.1, 12.1.2 y 12.1.3. La vulnerabilidad, fácilmente explotable, permite a atacantes no autenticados que tengan acceso a la red a través de tráfico HTTP comprometer dicho componente. Para que el ataque tenga éxito es necesaria la interacción de otra persona además del atacante. La explotación del fallo puede derivar en la creación, eliminación o modificación de información sensible o el acceso a toda la información de Oracle One-to-One Fulfillment, así como la lectura de cierta información a la que tiene acceso el propio componente. CVSS 3.0 Base Score 7.1 (impacto en la confidencialidad y en la integridad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N).
Vulnerabilidad en Oracle Applications Framework (CVE-2017-3528)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en el componente Oracle Applications Framework de Oracle E-Business Suite (subcomponente: Popup windows (lists of values, datepicker, etc.)). Las versiones compatibles que están afectadas son 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6. Una vulnerabilidad fácilmente "exploitable" permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Applications Framework. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y aunque la vulnerabilidad está en Oracle Applications Framework, los ataques pueden impactar significativamente los productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, y en insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Applications Framework. CVSS 3.0 Puntuación Base 4.7 (Impactos de integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N).
Vulnerabilidad en En libosip2 en GNU oSIP (CVE-2017-7853)
Gravedad:
MediaMedia
Publication date: 13/04/2017
Last modified:
03/11/2017
Descripción:
En libosip2 en GNU oSIP versiones 4.1.0 y 5.0.0, un mensaje SIP malformado puede conllevar a un desbordamiento del búfer de la pila en la función msg_osip_body_parse() definida en el archivo osipparser2/osip_message_parse.c, resultando en una DoS remota.
Vulnerabilidad en PST10 de Miele Professional (CVE-2017-7240)
Gravedad:
MediaMedia
Publication date: 24/03/2017
Last modified:
15/08/2017
Descripción:
Se detectó un problema en los dispositivos PST10 de Miele Professional. El servidor web incorporado correspondiente a "PST10 WebServer" típicamente escucha al puerto 80 y es propenso a un ataque de salto de directorio; por lo tanto, un atacante no autenticado puede ser capaz de explotar este problema para acceder a información confidencial para facilitar ataques posteriores. Una prueba de concepto es GET /../../../../../../../../../../../../etc/shadow HTTP/1.1. Esto afecta los dispositivos PG8527 versiones 2.02 anteriores a 2.12, los dispositivos PG8527 versiones 2.51 anteriores a 2.61, los dispositivos PG8527 versiones 2.52 anteriores a 2.62, los dispositivos PG8527 versiones 2.54 anteriores a 2.64, los dispositivos PG8528 versiones 2.02 anteriores a 2.12, los dispositivos PG8528 versiones 2.51 anteriores a 2.61, los dispositivos PG8528 versiones 2.52 anteriores a 2.62, los dispositivos PG8528 versiones 2.54 anteriores a 2.64, los dispositivos PG8535 versiones 1.00 anteriores a 1.10, los dispositivos PG8535 versiones 1.04 anteriores a 1.14, los dispositivos PG8536 versiones 1.10 anteriores a 1.20 y los dispositivos PG8536 versiones 1.14 anteriores a 1.24.
Vulnerabilidad en la función nav_path en el archivo lib/viewvc.py en ViewVC (CVE-2017-5938)
Gravedad:
MediaMedia
Publication date: 15/03/2017
Last modified:
30/10/2018
Descripción:
La vulnerabilidad tipo cross-site-scripting (XSS) en la función nav_path en el archivo lib/viewvc.py en ViewVC anterior a versión 1.0.14 y 1.1.x anterior a versión 1.1.26, permite a los atacantes remotos inyectar scripts web o HTML arbitrarios por medio del nombre nav_data.