Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en creditease-sec insight (CVE-2019-6510)
Gravedad:
MediaMedia
Publication date: 22/01/2019
Last modified:
23/01/2019
Descripción:
Se ha descubierto un problema en creditease-sec insight hasta el 11/09/2018. user_delete en srcpm/app/admin/views.py permite Cross-Site Request Forgery (CSRF).
Vulnerabilidad en creditease-sec insight (CVE-2019-6509)
Gravedad:
MediaMedia
Publication date: 22/01/2019
Last modified:
23/01/2019
Descripción:
Se ha descubierto un problema en creditease-sec insight hasta el 11/09/2018. depart_delete in srcpm/app/admin/views.py permite Cross-Site Request Forgery (CSRF).
Vulnerabilidad en creditease-sec insight (CVE-2019-6508)
Gravedad:
MediaMedia
Publication date: 22/01/2019
Last modified:
23/01/2019
Descripción:
Se ha descubierto un problema en creditease-sec insight hasta el 11/09/2018. role_perm_delete in srcpm/app/admin/views.py permite Cross-Site Request Forgery (CSRF).
Vulnerabilidad en creditease-sec insight (CVE-2019-6507)
Gravedad:
MediaMedia
Publication date: 22/01/2019
Last modified:
23/01/2019
Descripción:
Se ha descubierto un problema en creditease-sec insight hasta el 11/09/2018. login_user_delete in srcpm/app/admin/views.py permite Cross-Site Request Forgery (CSRF).
Vulnerabilidad en OpenSC (CVE-2019-6502)
Gravedad:
MediaMedia
Publication date: 22/01/2019
Last modified:
29/12/2019
Descripción:
En la versión 0.19.0 de OpenSC, sc_context_create en ctx.c en libopensc tiene una fuga de memoria, tal y como queda demostrado con una llamada desde eidenv.
Vulnerabilidad en FasterXML jackson-databind (CVE-2018-14719)
Gravedad:
AltaAlta
Publication date: 02/01/2019
Last modified:
17/09/2019
Descripción:
Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes remotos ejecutar código arbitrario aprovechando un fallo para bloquear las clases blaze-ds-opt y blaze-ds-core de deserialización polimórfica.
Vulnerabilidad en dispositivos ChinaMobile PLC Wireless Router (CVE-2018-20326)
Gravedad:
MediaMedia
Publication date: 02/01/2019
Last modified:
15/01/2019
Descripción:
Los dispositivos ChinaMobile PLC Wireless Router GPN2.4P21-C-CN con un firmware W2001EN-00 tienen Cross-Site Scripting (XSS) mediante el parámetro var:subpage en cgi-bin/webproc?getpage=html/index.html.
Vulnerabilidad en Artifex Ghostscript (CVE-2018-19478)
Gravedad:
MediaMedia
Publication date: 02/01/2019
Last modified:
11/01/2019
Descripción:
En las versiones anteriores de la 9.26 de Artifex Ghostscript, un archivo PDF especialmente manipulado puede provocar un cálculo de ejecución extremadamente largo al analizar el archivo.
Vulnerabilidad en FasterXML jackson-databind (CVE-2018-14721)
Gravedad:
AltaAlta
Publication date: 02/01/2019
Last modified:
26/09/2019
Descripción:
Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes remotos realizar ataques de SSRF (Server-Side Request Forgery) aprovechando un fallo para bloquear la clase axis2-ext de deserialización polimórfica.
Vulnerabilidad en FasterXML jackson-databind (CVE-2018-14720)
Gravedad:
AltaAlta
Publication date: 02/01/2019
Last modified:
26/09/2019
Descripción:
Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes realizar ataques de tipo XML External Entity Injection (XXE) aprovechando su incapacidad de bloquear clases JDK no especificadas de deserialización polimórfica.
Vulnerabilidad en FasterXML jackson-databind (CVE-2018-14718)
Gravedad:
AltaAlta
Publication date: 02/01/2019
Last modified:
30/05/2019
Descripción:
Las versiones 2.x de FasterXML jackson-databind anteriores a la 2.9.7 podrían permitir a los atacantes remotos ejecutar código arbitrario aprovechando un fallo para bloquear la clase slf4j-ext de deserialización polimórfica.
Vulnerabilidad en Yeswiki Cercopitheque (CVE-2018-13045)
Gravedad:
AltaAlta
Publication date: 02/01/2019
Last modified:
09/01/2019
Descripción:
Una vulnerabilidad de inyección SQL en la página "Bazar" en Yeswiki Cercopitheque en su versión 2018-06-19-1 y anteriores permite que atacantes remotos ejecuten comandos SQL arbitrarios mediante el parámetro "id".
Vulnerabilidad en elflink.c (CVE-2018-20651)
Gravedad:
MediaMedia
Publication date: 01/01/2019
Last modified:
03/08/2019
Descripción:
Se ha descubierto una desreferencia de puntero NULL en elf_link_add_object_symbols en elflink.c en la biblioteca Binary File Descriptor (BFD) (también conocida como libbfd), tal y como se distribuye en la versión 2.31.1 de GNU Binutils. Esto ocurre en el caso de un ET_DYN manipulado sin cabeceras de programa. Un archivo ELF especialmente manipulado permite a los atacantes remotos provocar una denegación de servicio (DoS), tal y como queda demostrado con Id.
Vulnerabilidad en Poppler (CVE-2018-20650)
Gravedad:
MediaMedia
Publication date: 01/01/2019
Last modified:
06/08/2019
Descripción:
Una aserción alcanzable en Object::dictLookup en Poppler 0.72.0 permite a los atacantes provocar una denegación de servicio (DoS) debido a la falta de comprobación del tipo de datos del directorio, tal y como queda demostrado con el uso de la clase FileSpec (en FileSpec.cc) en pdfdetach.
Vulnerabilidad en HHVM (CVE-2018-6340)
Gravedad:
MediaMedia
Publication date: 31/12/2018
Last modified:
09/10/2019
Descripción:
La función Memcache::getextendedstats puede utilizarse para provocar una lectura fuera de límites. La explotación de este problema requiere control sobre nombres y/o puertos del servidor "memcatched". Esto afecta a todas las versiones soportadas de HVVM (en versiones anteriores a las 3.30 y 3.27.4).
Vulnerabilidad en HHVM (CVE-2018-6335)
Gravedad:
MediaMedia
Publication date: 31/12/2018
Last modified:
09/10/2019
Descripción:
Un frame h2 malformado puede provocar una excepción 'std::out_of_range' durante el análisis de metadatos prioritarios. Este comportamiento puede provocar una denegación de servicio (DoS). Esto afecta a todas las versiones de HHVM soportadas (en versiones anteriores a las 3.25.2, 3.24.6 y 3.21.10)
Vulnerabilidad en FROG CMS (CVE-2018-19844)
Gravedad:
BajaBaja
Publication date: 31/12/2018
Last modified:
25/02/2019
Descripción:
La versión 0.9.5 de FROG tiene Cross-Site Scripting (XSS) en el parámetro "name" en "admin/?/snippet/add" el cual es manejado incorrectamente durante una acción edit. Este problema está relacionado con CVE-2018-10319.
Vulnerabilidad en XSLT CMS (CVE-2018-19903)
Gravedad:
MediaMedia
Publication date: 31/12/2018
Last modified:
25/02/2019
Descripción:
Existe Cross-Site Scripting (XSS) persistente en XSLT CMS mediante el campo title en create/?action=items.edittype=Page.
Vulnerabilidad en No-CMS (CVE-2018-19902)
Gravedad:
BajaBaja
Publication date: 31/12/2018
Last modified:
25/02/2019
Descripción:
La versión 1.1.3 de No-CMS es propenso a Cross-Site Scripting (XSS) persistente mediante el parámetro "keyword" en blog/manage_article.
Vulnerabilidad en No-CMS (CVE-2018-19901)
Gravedad:
BajaBaja
Publication date: 31/12/2018
Last modified:
25/02/2019
Descripción:
La versión 1.1.3 de No-CMS es propenso a Cross-Site Scripting (XSS) persistente mediante el parámetro "article title" en blog/manage_article/index/.