Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en productos PaperCut (CVE-2019-8948)
Gravedad:
AltaAlta
Publication date: 20/02/2019
Last modified:
21/02/2019
Descripción:
PaperCut MF, en versiones anteriores a la 18.3.6, y PaperCut NG, en versiones anteriores a la 18.3.6, permiten la inyección de scripts mediante la interfaz de usuario, también conocida como PC-15163.
Vulnerabilidad en WordPress (CVE-2019-8943)
Gravedad:
MediaMedia
Publication date: 20/02/2019
Last modified:
25/04/2019
Descripción:
WordPress hasta la versión 5.0.3 permite saltos de directorio en wp_crop_image(). Un atacante (con privilegios para recortar una imagen) puede escribir la imagen de salida a un directorio arbitrario mediante un nombre de archivo que contiene dos extensiones de imagen y de ../, como por ejemplo un nombre de archivo que termina con la subcadena .jpg?/../../file.jpg.
Vulnerabilidad en Musicloud (CVE-2019-8389)
Gravedad:
MediaMedia
Publication date: 17/02/2019
Last modified:
17/09/2019
Descripción:
Se ha identificado una vulnerabilidad de lectura de archivos en la característica de transferencia Wi-Fi de Musicloud 1.6. Por defecto, la aplicación ejecuta un servicio de transferencia en el puerto 8080, accesible por todos en la misma red wifi. Un atacante puede enviar los parámetros POST downfiles y cur-folder (con una carga útil ../ manipulada) al endpoint download.script. Esto creará un archivo MusicPlayerArchive.zip accesible públicamente que incluye el contenido de cualquier archivo solicitado (como /etc/passwd).