Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Cisco Identity Services Engine (CVE-2018-15463)
Gravedad:
MediaMedia
Publication date: 15/01/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de Cisco Identity Services Engine (ISE) podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) reflejado contra un usuario de dicha interfaz. La vulnerabilidad se debe a una validación de entrada insuficiente de algunos parámetros que se pasan a la interfaz web de gestión de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de la interfaz para que haga clic en un enlace específico. Un exploit con éxito podría permitir que el atacante ejecute código script arbitrario en el contexto de la interfaz web de gestión afectada o que acceda a información sensible del navegador.
Vulnerabilidad en Cisco Identity Services Engine (CVE-2018-15440)
Gravedad:
MediaMedia
Publication date: 15/01/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de Cisco Identity Services Engine (ISE) podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) persistente contra un usuario de dicha interfaz en un sistema afectado. La vulnerabilidad se debe al saneamiento insuficiente de los datos proporcionados por el usuario que se escriben en archivos de registro y se muestran en ciertas páginas web de la interfaz de gestión web de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de la interfaz para que haga clic en un enlace específico o visualice un archivo de registro afectado. El código script inyectado podría ejecutarse en el contexto de la interfaz web de gestión o permitir que el atacante acceda a información sensible del navegador.
Vulnerabilidad en Cleanto (CVE-2019-6295)
Gravedad:
AltaAlta
Publication date: 15/01/2019
Last modified:
18/01/2019
Descripción:
Cleanto 5.0 tiene una inyección SQL mediante el parámetro service_id en assets/lib/service_method_ajax.php.
Vulnerabilidad en Cleanto (CVE-2019-6296)
Gravedad:
AltaAlta
Publication date: 15/01/2019
Last modified:
18/01/2019
Descripción:
Cleanto 5.0 tiene una inyección SQL mediante el parámetro id en assets/lib/export_ajax.php.
Vulnerabilidad en ShopXO (CVE-2019-5886)
Gravedad:
AltaAlta
Publication date: 10/01/2019
Last modified:
18/01/2019
Descripción:
Se ha descubierto un problema en ShopXO 1.2.0. En el archivo application\install\controller\Index.php, no hay un archivo de bloqueo de validación en el método "Add", lo que permite que un atacante reinicie la base de datos. El atacante puede escribir código arbitrario en database.php durante la reinstalación del sistema.
Vulnerabilidad en ShopXO (CVE-2019-5887)
Gravedad:
MediaMedia
Publication date: 10/01/2019
Last modified:
18/01/2019
Descripción:
Se ha descubierto un problema en ShopXO 1.2.0. En el método UnlinkDir del archivo FileUtil.php, los parámetros de entrada no se comprueban, lo que resulta en la gestión incorrecta de entradas por parte del método rmdir. Los atacantes pueden borrar archivos arbitrarios empleando un salto de directorio "../".
Vulnerabilidad en HPE UIoT (CVE-2018-7111)
Gravedad:
MediaMedia
Publication date: 17/10/2018
Last modified:
02/10/2019
Descripción:
Se ha identificado una vulnerabilidad de acceso remoto no autorizado en HPE UIoT en versiones 1.5, 1.4.0, 1.4.1, 1.4.2 y 1.2.4.2. Específicamente, hay un mal funcionamiento identificado en algunas secciones del portal DSM y algunas API DSM. El impacto de este mal funcionamiento es que otros usuarios pueden modificar esta información.
Vulnerabilidad en el kernel de Linux (CVE-2017-18255)
Gravedad:
MediaMedia
Publication date: 31/03/2018
Last modified:
19/01/2019
Descripción:
La función perf_cpu_time_max_percent_handler en kernel/events/core.c en el kernel de Linux en versiones anteriores a la 4.11 permite que los usuarios locales provoquen una denegación de servicio (desbordamiento de enteros) o, posiblemente, otro impacto no especificado mediante un valor de gran tamaño, tal y como queda demostrado con un cálculo incorrecto de la frecuencia de muestreo.
Vulnerabilidad en el kernel de Linux (CVE-2017-18079)
Gravedad:
AltaAlta
Publication date: 29/01/2018
Last modified:
19/01/2019
Descripción:
drivers/input/serio/i8042.c en el kernel de Linux en versiones anteriores a la 4.12.4 permite que atacantes provoquen una denegación de servicio (desreferencia de puntero NULL y cierre inesperado del sistema) o que, posiblemente, tengan otro tipo de impacto sin especificar debido a que el valor port->exists puede cambiar tras ser validado.