Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en png_create_info_struct en libpng (CVE-2019-6129)
Gravedad:
MediaMedia
Publication date: 11/01/2019
Last modified:
23/07/2019
Descripción:
** EN DISPUTA ** png_create_info_struct en png.c en libpng 1.6.36 tiene una fuga de memoria, tal y como queda demostrado con pngcp. NOTA: un tercero ha declarado "No creo que sea tarea de libpng liberar este búfer."
Vulnerabilidad en la función TIFFFdOpen en LibTIFF (CVE-2019-6128)
Gravedad:
MediaMedia
Publication date: 11/01/2019
Last modified:
05/11/2019
Descripción:
La función TIFFdOpen en tif_unix.c en LibTIFF 4.0.10 tiene una fuga de memoria, tal y como queda demostrado con pal2rgb.
Vulnerabilidad en Nelson Open Source ERP (CVE-2019-5893)
Gravedad:
AltaAlta
Publication date: 10/01/2019
Last modified:
17/01/2019
Descripción:
Nelson Open Source ERP v6.3.1 permite la inyección SQL mediante el parámetro query en db/utils/query/data.xml.
Vulnerabilidad en el software CleanMyMac X (CVE-2018-4033)
Gravedad:
MediaMedia
Publication date: 10/01/2019
Last modified:
17/01/2019
Descripción:
El software CleanMyMac X contiene una vulnerabilidad explotable de escalado de privilegios debido a la validación de entradas incorrecta. Un atacante con acceso local podría emplear esta vulnerabilidad para modificar el sistema de archivos como root.
Vulnerabilidad en el software CleanMyMac X (CVE-2018-4032)
Gravedad:
MediaMedia
Publication date: 10/01/2019
Last modified:
17/01/2019
Descripción:
Existe una vulnerabilidad explotable de escalado de privilegios en la forma en la que el software CleanMyMac X valida incorrectamente las entradas. Un atacante con acceso local podría emplear esta vulnerabilidad para modificar el sistema de archivos como root. Un atacante necesitaría acceso local a la máquina para su explotación exitosa.
Vulnerabilidad en Cybozu Garoon (CVE-2018-16178)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
02/10/2019
Descripción:
Cybozu Garoon, desde la versión 3.0.0 hasta la 4.10.0, permite que atacantes remotos omitan las restricciones de acceso para ver información disponible solo para un usuario "sign-on" mediante la función Single sign-on.
Vulnerabilidad en Aterm WG1200HP (CVE-2018-0628)
Gravedad:
AltaAlta
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm WG1200HP, con firmware Ver1.0.31 y anteriores, permite a los atacantes con permisos de administrador ejecutar comandos SO arbitrarios mediante una petición y respuesta HTTP.
Vulnerabilidad en Aterm W300P (CVE-2018-0629)
Gravedad:
AltaAlta
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm W300P, en su versión Ver1.0.13 y anteriores, permite a los atacantes con permisos de administrador ejecutar comandos SO arbitrarios mediante una petición y respuesta HTTP.
Vulnerabilidad en Aterm W300P (CVE-2018-0630)
Gravedad:
AltaAlta
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm W300P, en su versión Ver1.0.13 y anteriores, permite a los atacantes con permisos de administrador ejecutar comandos SO arbitrarios mediante el parámetro sysCmd.
Vulnerabilidad en Aterm W300P (CVE-2018-0631)
Gravedad:
AltaAlta
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm W300P, en su versión Ver1.0.13 y anteriores, permite a los atacantes con permisos de administrador ejecutar comandos SO arbitrarios mediante el parámetro targetAPSsid.
Vulnerabilidad en Aterm HC100RC (CVE-2018-0634)
Gravedad:
AltaAlta
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm HC100RC, en su versión Ver1.0.1 y anteriores, permite a los atacantes con permisos de administrador ejecutar comandos SO arbitrarios mediante los parámetros FactoryPassword o bootmode de una determinada URL.
Vulnerabilidad en la aplicación Mizuho Direct para Android (CVE-2018-16179)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
La aplicación Mizuho Direct, en versiones 3.13.0 y anteriores, para Android no verifica los certificados del servidor, lo que permite que los atacantes Man-in-the-Middle (MitM) suplanten servidores y obtengan información sensible mediante un certificado manipulado.
Vulnerabilidad en i-FILTER (CVE-2018-16180)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Vulnerabilidad Cross-Site Scripting (XSS) en i-FILTER, en versiones Ver.9.50R05 y anteriores, permite que los atacantes inyecten scripts web o HTML arbitrarios utilizando vectores no especificados.
Vulnerabilidad en productos Aterm (CVE-2018-16192)
Gravedad:
BajaBaja
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm WF1200CR y Aterm WG1200CR (Aterm WF1200CR con firmware en versiones 1.1.1 y anteriores y Aterm WG1200CR con firmware en versiones 1.0.1 y anteriores) permiten que un atacante en el mismo segmento de red obtenga información registrada en el dispositivo mediante vectores sin especificar.
Vulnerabilidad en productos Aterm (CVE-2018-16193)
Gravedad:
BajaBaja
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Vulnerabilidad Cross-Site Scripting (XSS) en Aterm WF1200CR y Aterm WG1200CR (Aterm WF1200CR con firmware en versiones 1.1.1 y anteriores y Aterm WG1200CR con firmware en versiones 1.0.1 y anteriores) permite que los atacantes autenticados inyecten scripts web o HTML arbitrarios mediante vectores sin especificar.
Vulnerabilidad en productos Aterm (CVE-2018-16194)
Gravedad:
AltaAlta
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm WF1200CR y Aterm WG1200CR (Aterm WF1200CR con firmware en versiones 1.1.1 y anteriores y Aterm WG1200CR con firmware en versiones 1.0.1 y anteriores) permiten que los atacantes autenticados ejecuten comandos arbitrarios del sistema operativo mediante vectores sin especificar.
Vulnerabilidad en productos Aterm (CVE-2018-16195)
Gravedad:
AltaAlta
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Aterm WF1200CR y Aterm WG1200CR (Aterm WF1200CR con firmware en versiones 1.1.1 y anteriores y Aterm WG1200CR con firmware en versiones 1.0.1 y anteriores) permiten que un atacante en el mismo segmento de red ejecute comandos arbitrarios del sistema operativo mediante la interfaz SOAP de UPnP.
Vulnerabilidad en WebAssembly (CVE-2017-15401)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
17/01/2019
Descripción:
Un error de corrupción de memoria en WebAssembly podría provocar una lectura fuera de límites hasta V8 de Google Chome, en versiones anteriores a la 62.0.3202.62, permitió que un atacante remoto ejecutara código arbitrario en un sandbox mediante una página HTML manipulada.
Vulnerabilidad en SAP Landscape Management (CVE-2019-0249)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
17/01/2019
Descripción:
En ciertas condiciones, SAP Landscape Management (VCM 3.0) permite que un atacante acceda a información que normalmente estaría restringida.
Vulnerabilidad en SAP CRM WebClient UI (CVE-2019-0245)
Gravedad:
BajaBaja
Publication date: 08/01/2019
Last modified:
17/01/2019
Descripción:
SAP CRM WebClient UI (solucionado en SAPSCORE 1.12; S4FND 1.02; WEBCUIF 7.31, 7.46, 7.47, 7.48, 8.0, 8.01) no valida suficientemente los campos ocultos controlados por el usuario, lo que resulta en una vulnerabilidad de Cross-Site Scripting (XSS).
Vulnerabilidad en SAP BW/4HANA (CVE-2019-0244)
Gravedad:
BajaBaja
Publication date: 08/01/2019
Last modified:
17/01/2019
Descripción:
SAP CRM WebClient UI (solucionado en SAPSCORE 1.12; S4FND 1.02; WEBCUIF 7.31, 7.46, 7.47, 7.48, 8.0, 8.01) no valida suficientemente los campos ocultos controlados por el usuario, lo que resulta en una vulnerabilidad de Cross-Site Scripting (XSS).
Vulnerabilidad en SAP Commerce (CVE-2019-0238)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
17/01/2019
Descripción:
SAP Commerce (anteriormente conocido como SAP Hybris Commerce), en versiones anteriores a la 6.7, no cifra lo suficiente las entradas controladas por el usuario, lo que resulta en una vulnerabilidad de Cross-Site Scripting (XSS).
Vulnerabilidad en la extensión Chat Anywhere para Chrome (CVE-2018-20524)
Gravedad:
MediaMedia
Publication date: 27/12/2018
Last modified:
17/01/2019
Descripción:
La extensión Chat Anywhere, en su versión 2.4.0, para Chrome, permite Cross-Site Scripting (XSS) mediante el uso de
Vulnerabilidad en CVE-2018-20478 (CVE-2018-20478)
Gravedad:
MediaMedia
Publication date: 26/12/2018
Last modified:
17/01/2019
Descripción:
Se ha descubierto un problema en S-CMS 1.0. Permite la lectura de ciertos archivos, como el código fuente en PHP, mediante el parámetro DownName en admin/download.php con una extensión con mayúsculas y minúsculas. Esto queda demostrado por un valor DownName=download.Php.
Vulnerabilidad en CVE-2018-20349 (CVE-2018-20349)
Gravedad:
MediaMedia
Publication date: 21/12/2018
Last modified:
13/08/2019
Descripción:
La función igraph_i_strdiff en igraph_trie.c en igraph, hasta la versión 0.7.1, tiene una desreferencia de puntero NULL que permite que los atacantes provoquen una denegación de servicio (cierre inesperado de la aplicación) mediante un objeto manipulado.
Vulnerabilidad en CVE-2018-5202 (CVE-2018-5202)
Gravedad:
MediaMedia
Publication date: 21/12/2018
Last modified:
02/10/2019
Descripción:
SKCertService, en versiones 2.5.5 y anteriores, tiene una vulnerabilidad que podría permitir que un atacante ejecute código arbitrario. Esta vulnerabilidad existe debido a la forma en la que SKCertService carga los archivos .dll. Permite que un atacante cargue un .dll escogido por el atacante que pueda ejecutar código arbitrario sin que el usuario lo sepa.
CVE-2018-20191
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
12/05/2020
Descripción:
hw/rdma/vmw/pvrdma_main.c en QEMU no implementa una operación de lectura (como uar_read por analogía con uar_write), lo que permite que los atacantes provoquen una denegación de servicio (desreferencia de puntero NULL).
Vulnerabilidad en QEMU (CVE-2018-20125)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
12/05/2020
Descripción:
hw/rdma/vmw/pvrdma_cmd.c en QEMU permite que los atacantes provoquen una denegación de servicio (desreferencia de puntero NULL o asignación de memoria excesiva) en create_cq_ring o create_qp_rings.
Vulnerabilidad en libarchive (CVE-2018-1000878)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
05/11/2019
Descripción:
libarchive, con el commit con ID 416694915449219d505531b1096384f3237dd6cc y siguientes (desde la v3.1.0) contiene una vulnerabilidad CWE-416: uso de memoria previamente liberada en el descodificador RAR (libarchive/archive_read_support_format_rar.c) que puede resultar en un cierre inesperado/denegación de servicio. Se desconoce si se puede ejecutar código de forma remota. El ataque parece ser explotable si una víctima abre un archivo RAR especialmente manipulado.
Vulnerabilidad en libarchive (CVE-2018-1000877)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
05/11/2019
Descripción:
libarchive, con el commit con ID 416694915449219d505531b1096384f3237dd6cc y siguientes (desde la v3.1.0) contiene una vulnerabilidad CWE-415: doble liberación (double free) en el descodificador RAR; libarchive/archive_read_support_format_rar.c, parse_codes(), realloc(rar->lzss.window, new_size) con new_size = 0, lo que puede resultar en un cierre inesperado/denegación de servicio (DoS). El ataque parece ser explotable si una víctima abre un archivo RAR especialmente manipulado.
Vulnerabilidad en CVE-2018-7066 (CVE-2018-7066)
Gravedad:
AltaAlta
Publication date: 07/12/2018
Last modified:
02/10/2019
Descripción:
Existe una ejecución remota de comandos sin autenticar en Aruba ClearPass Policy Manager en dispositivos enlazados. La característica ClearPass OnConnect permite que los administradores conecten otros dispositivos de red en ClearPass para recopilar información mejorada sobre los endpoints conectados. Un defecto en la API podría permitir que un atacante remoto ejecute comandos arbitrarios en uno de los dispositivos enlazados. La vulnerabilidad solo es aplicable si las credenciales para los dispositivos se han proporcionado a ClearPass en Configuration ->Network ->Devices ->CLI Settings. Solución: solucionado en 6.7.5 y 6.6.10-hotfix.
Vulnerabilidad en Nextcloud Server (CVE-2018-16464)
Gravedad:
BajaBaja
Publication date: 30/10/2018
Last modified:
09/10/2019
Descripción:
La falta de una comprobación de acceso en Nextcloud Server en versiones anteriores a la 14.0.0 podría conducir al acceso continuado a almacenamientos de enlaces protegidos por contraseña cuando el propietario la ha cambiado.
Vulnerabilidad en Nextcloud Server (CVE-2018-16463)
Gravedad:
BajaBaja
Publication date: 30/10/2018
Last modified:
09/10/2019
Descripción:
Un error que provoca una fijación de sesión en Nextcloud Server en versiones anteriores a 14.0.0, 13.0.3 y 12.0.8 podría permitir que un atacante obtenga acceso a comparticiones protegidas por contraseña.
Vulnerabilidad en Amazon Kindle Fire HD(3rd) Fire OS (CVE-2018-11020)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
17/01/2019
Descripción:
kernel/omap/drivers/rpmsg/rpmsg_omx.c en el componente kernel en Amazon Kindle Fire HD(3rd) Fire OS 4.5.5.3 permite que los atacantes inyecten un argumento manipulado mediante el argumento de una llamada ioctl en el archivo del dispositivo /dev/rpmsg-omx1 con el comando 3221772291 y provoquen el cierre inesperado del kernel.
Vulnerabilidad en Qemu (CVE-2018-10839)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
24/09/2019
Descripción:
El emulador Qemu en versiones iguales o anteriores a la 3.0.0 con soporte para emulación NE2000 NIC es vulnerable a un desbordamiento de enteros, lo que podría conducir a un problema de desbordamiento de búfer. Podría ocurrir al recibir paquetes por red. Un usuario en el guest podría emplear este error para provocar el cierre inesperado del proceso Qemu, lo que resulta en una denegación de servicio (DoS).
Vulnerabilidad en productos Micro Focus (CVE-2018-12469)
Gravedad:
MediaMedia
Publication date: 12/10/2018
Last modified:
09/10/2019
Descripción:
La gestión incorrecta de un valor inválido para un parámetro de petición HTTP por parte de Directory Server (también conocido como la interfaz de usuario web de Enterprise Server Administration) en Micro Focus Enterprise Developer y Enterprise Server 2.3 Update 2 y anteriores, 3.0 en versiones anteriores al Patch Update 12 y 4.0 en versiones anteriores al Patch Update 2 provoca una desreferencia de puntero NULL (CWE-476) y una subsecuente denegación de servicio debido a la terminación del proceso.
Vulnerabilidad en el servicio CorsairService en Corsair Utility Engine (CVE-2018-12441)
Gravedad:
AltaAlta
Publication date: 11/10/2018
Last modified:
17/01/2019
Descripción:
El servicio CorsairService en Corsair Utility Engine está instalado con permisos inseguros por defecto, lo que permite que usuarios locales sin privilegios ejecuten comandos arbitrarios mediante la modificación de BINARY_PATH_NAME de CorsairService, lo que conduce al control total del sistema afectado. El problema existe debido a que el grupo de Windows "Everyone" tiene permisos SERVICE_ALL_ACCESS en el servicio CorsairService.
Vulnerabilidad en Eclipse Vert.x (CVE-2018-12541)
Gravedad:
MediaMedia
Publication date: 10/10/2018
Last modified:
09/10/2019
Descripción:
De las versiones 3.0.0 a 3.5.3 de Eclipse Vert.x, la implementación de la actualización HTTP WebSocket almacena la petición HTTP completa antes de realizar el handshake, lo que mantiene todo el cuerpo de la petición en la memoria. Debería existir un límite razonable (8192 bytes) sobre el cual WebSocket obtiene una respuesta HTTP con el código de estado 413 y la conexión se cierra.
Vulnerabilidad en Spotfire Statistics Services (CVE-2018-12410)
Gravedad:
AltaAlta
Publication date: 10/10/2018
Last modified:
09/10/2019
Descripción:
El componente web server de Spotfire Statistics Services, de TIBCO Software, contiene múltiples vulnerabilidades que podrían permitir la ejecución remota de código. Sin necesidad de autenticarse, un atacante podría ser capaz de ejecutar código remotamente con los permisos de la cuenta del sistema empleada para ejecutar el componente web server. Las versiones afectadas son TIBCO Software Inc. TIBCO Spotfire Statistics Services hasta la versión 7.11.0 (incluida).
Vulnerabilidad en Junos OS (CVE-2018-0063)
Gravedad:
BajaBaja
Publication date: 10/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la base de datos de índices de IP next-hop en Junos OS 17.3R3 podría permitir una inundación de peticiones ARP, enviadas a la interfaz de gestión, para agotar el límite next-hop de los IRI (Internal Routing Interfaces) privados. Una vez la base de datos next-hop de IRI está llena, no se pueden aprender más next-hops y las entradas existentes no se pueden eliminar, lo que conduce a una denegación de servicio (DoS) prolongada. Un indicador de compromiso para este problema es el reporte del siguiente mensaje de error: %KERN-4: Nexthop index allocation failed: private index space exhausted. Este problema solo afecta a la interfaz de gestión y no impacta sobre el tráfico de tránsito regular a través de los FPC. Este problema solo afecta a Junos OS 17.3R3. Ninguna otra versión anterior de Junos OS se ha visto afectada por esta vulnerabilidad. Las versiones afectadas de Juniper Networks Junos OS son: 17.3R3.
Vulnerabilidad en Junos OS (CVE-2018-0051)
Gravedad:
MediaMedia
Publication date: 10/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad de denegación de servicio (DoS) en el componente ALG (Application Layer Gateway) de la capa de la aplicación SIP de las plataformas basadas en Junos OS permite que un atacante provoque el cierre inesperado de los procesos del demonio de flujo (flowd) MS-PIC, MS-MIC, MS-MPC, MS-DPC o SRX. Este problema afecta a los dispositivos Junos OS con NAT o una configuración de firewall con estado en combinación con el ALG SIP habilitado. ALG SIP está habilitado por defecto en los dispositivos SRX Series excepto los dispositivos SRX-HE. Los dispositivos SRX-HE tienen ALG SIP deshabilitado por defecto. El estado de los ALG en el dispositivo SRX puede obtenerse ejecutando el comando: show security alg status. Las versiones afectadas de Juniper Networks Junos OS son: 12.1X46 en versiones anteriores a la 12.1X46-D77; 12.3X48 en versiones anteriores a la 12.3X48-D70; 15.1X49 en versiones anteriores a la 15.1X49-D140; 15.1 en versiones anteriores a la 15.1R4-S9, 15.1R7-S1; 15.1F6; 16.1 en versiones anteriores a la 16.1R4-S9, 16.1R6-S1, 16.1R7; 16.2 en versiones anteriores a la 16.2R2-S7, 16.2R3; 17.1 en versiones anteriores a la 17.1R2-S7, 17.1R3; 17.2 en versiones anteriores a la 17.2R1-S6, 17.2R2-S4, 17.2R3; 17.3 en versiones anteriores a la 17.3R1-S5, 17.3R2-S2, 17.3R3 y 17.4 en versiones anteriores a la 17.4R2. No hay ningún otro producto o plataforma de Juniper Networks que se vea afectado por este problema.
Vulnerabilidad en Juniper Networks Junos OS (CVE-2018-0050)
Gravedad:
MediaMedia
Publication date: 10/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad de manejo de errores en el RPD (Routing Protocols Daemon) de Juniper Networks Junos OS permite que un atacante provoque el cierre inesperado de RPD. La recepción continuada de este paquete MPLS RSVP mal formado provocará una condición sostenida de denegación de servicio (DoS). Las versiones afectadas de Juniper Networks Junos OS son: 14.1 en versiones anteriores a la 14.1R8-S5, 14.1R9; 14.1X53 en versiones anteriores a la 14.1X53-D48 en QFX Switching; 14.2 en versiones anteriores a la 14.1X53-D130 en QFabric System; 14.2 en versiones anteriores a la 14.2R4. Este problema no afecta a las versiones de Junos OS anteriores a la 14.1R1. Junos OS RSVP solo soporta el protocolo IPv4. IPv6 no se ha visto afectado por este problema. Este problema requiere que se reciba en una interfaz configurada para recibir este tipo de tráfico.
Vulnerabilidad en aplicaciones de Android de Auto-Masking (CVE-2018-5402)
Gravedad:
MediaMedia
Publication date: 08/10/2018
Last modified:
09/10/2019
Descripción:
Las aplicaciones de Android Auto-Maskin DCU 210E, RP-210E y Marine Pro Observer emplean un servidor web embebido que emplea texto plano para la transmisión del PIN del administrador. Impacto: Una vez autenticado, un atacante puede cambiar las configuraciones, subir nuevos archivos de configuración y subir código ejecutable mediante la subida de archivos para actualizaciones de firmware. Se requiere acceso a la red. Las versiones afectadas son las aplicaciones de Android Auto-Maskin DCU-210E RP-210E y Marine Pro Observer. Versiones anteriores a la 3.7 en ARMv7.
Vulnerabilidad en aplicaciones OPC UA (CVE-2018-12086)
Gravedad:
MediaMedia
Publication date: 14/09/2018
Last modified:
19/03/2020
Descripción:
Desbordamiento de búfer en las aplicaciones OPC UA permite que atacantes remotos desencadenen un desbordamiento de pila con peticiones cuidadosamente estructuradas.
Vulnerabilidad en OpenSSL (CVE-2016-7056)
Gravedad:
BajaBaja
Publication date: 10/09/2018
Last modified:
09/10/2019
Descripción:
Se ha encontrado un error de ataque de sincronización en OpenSSL, en versiones 1.0.1u y anteriores, que podría permitir que un usuario malicioso con acceso local recupere claves privadas ECDSA P-256
Vulnerabilidad en Advanced Package Tool (CVE-2018-0501)
Gravedad:
MediaMedia
Publication date: 20/08/2018
Last modified:
17/01/2019
Descripción:
La implementación del método mirror:// en Advanced Package Tool (APT) en versiones 1.6.x anteriores a la 1.6.4 y 1.7.x anteriores a la 1.7.0~alpha3 maneja de manera incorrecta la verificación de firmas gpg para el archivo InRelease de un clon fallback, también conocido como mirrorfail.
Vulnerabilidad en PyYAML (CVE-2017-18342)
Gravedad:
AltaAlta
Publication date: 27/06/2018
Last modified:
28/05/2020
Descripción:
En PyYAML en versiones anteriores a 5.1, la API yaml.load () podría ejecutar código arbitrario si se usara con datos no confiables. La función load () ha quedado en desuso en la versión 5.1 y se ha introducido el "UnsafeLoader" para una compatibilidad hacia atrás con la función.