Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en GNU Binutils (CVE-2017-9044)
Gravedad:
MediaMedia
Publication date: 17/05/2017
Last modified:
24/05/2017
Descripción:
La función print_symbol_for_build_attribute en readelf.c en GNU Binutils 2017-04-12 permite a los atacantes remotos provocar una denegación de servicio (lectura inválida y SEGV) mediante un archivo ELF manipulado.
Vulnerabilidad en Moodle (CVE-2017-7489)
Gravedad:
MediaMedia
Publication date: 15/05/2017
Last modified:
23/05/2017
Descripción:
En Moodle 2.x y 3.x, usuarios autenticados remotos pueden hacerse dueños de blogs arbitrarios mediante la edición de un enlace de blog externo.
Vulnerabilidad en Moodle (CVE-2017-7490)
Gravedad:
MediaMedia
Publication date: 15/05/2017
Last modified:
23/05/2017
Descripción:
En Moodle 2.x y 3.x, la búsqueda de blogs arbitrarios es posible debido a la falta de una comprobación de capacidades.
Vulnerabilidad en CSRF (CVE-2017-7491)
Gravedad:
MediaMedia
Publication date: 15/05/2017
Last modified:
23/05/2017
Descripción:
En Moodle 2.x y 3.x, existe la posibilidad de que se produzca un ataque CSRF que permite a los atacantes cambiar el ajuste de configuración \"number of courses displayed in the course overview block\".
Vulnerabilidad en YARA (CVE-2017-8929)
Gravedad:
MediaMedia
Publication date: 14/05/2017
Last modified:
23/05/2017
Descripción:
La función sized_string_cmp en YARA 3.5.0 permite a los atacantes remotos provocar una denegación de servicio (uso de memoria previamente liberada y cierre inesperado de la aplicación) mediante una regla manipulada.
Vulnerabilidad en Ambari (CVE-2017-5654)
Gravedad:
MediaMedia
Publication date: 12/05/2017
Last modified:
23/05/2017
Descripción:
En Ambari 2.4.x en versiones anteriores a la 2.4.3 y en la versión 2.5.0 de Ambari, un usuario autorizado de Ambari Hive View podría ganar acceso de lectura no autorizado a archivos almacenados en el host en el que el servidor Ambari ejecuta.
Vulnerabilidad en SOY CMS (CVE-2017-2163)
Gravedad:
MediaMedia
Publication date: 12/05/2017
Last modified:
23/05/2017
Descripción:
Una vulnerabilidad de salto de directorio en SOY CMS en versiones 1.8.1 a 1.8.12 permite a atacantes autenticados leer archivos arbitrarios mediante shop_id.
Vulnerabilidad en SOY CMS (CVE-2017-2164)
Gravedad:
MediaMedia
Publication date: 12/05/2017
Last modified:
23/05/2017
Descripción:
Vulnerabilidad Cross-Site Scripting (XSS) en SOY CMS con el instalador 1.8.12 y en versiones anteriores, permite a los atacantes inyectar scripts web o HTML arbitrarios utilizando vectores no especificados.
Vulnerabilidad en ActiveX (CVE-2017-0242)
Gravedad:
MediaMedia
Publication date: 12/05/2017
Last modified:
23/05/2017
Descripción:
Existe una vulnerabilidad de divulgación de información cuando se instancian determinados objetos ActiveX, también conocida como \"Microsoft ActiveX Information Disclosure Vulnerability.\"". }

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en En WordPress (CVE-2017-9061)
Gravedad:
MediaMedia
Publication date: 18/05/2017
Last modified:
15/03/2019
Descripción:
En WordPress anteriores a 4.7.5, existe una vulnerabilidad XSS (cross-site scripting) al intentar cargar archivos muy grandes, porque el mensaje de error no restringe adecuadamente la presentación del nombre de archivo.
Vulnerabilidad en En WordPress (CVE-2017-9062)
Gravedad:
MediaMedia
Publication date: 18/05/2017
Last modified:
15/03/2019
Descripción:
En WordPress anteriores a 4.7.5, existe una manipulación incorrecta de los valores meta-datos al hacer el post en la API XML-RPC.
Vulnerabilidad en en WordPress (CVE-2017-9063)
Gravedad:
MediaMedia
Publication date: 18/05/2017
Last modified:
15/03/2019
Descripción:
En WordPress anteriores a 4.7.5, existe una vulnerabilidad de XSS (cross-site scripting) relacionada con la salida del personalizador, en una sesión de personalización no válida.
Vulnerabilidad en En WordPress (CVE-2017-9064)
Gravedad:
MediaMedia
Publication date: 18/05/2017
Last modified:
15/03/2019
Descripción:
En WordPress antes de 4.7.5, existe una vulnerabilidad de Cross Site Request Forgery (CSRF) en el diálogo de credenciales del sistema de archivos porque no se requiere un nonce para actualizar las credenciales.
Vulnerabilidad en en WordPress (CVE-2017-9065)
Gravedad:
MediaMedia
Publication date: 18/05/2017
Last modified:
15/03/2019
Descripción:
En WordPress anteriores a 4.7.5, hay una falta de verificaciones de capacidad para el envío de metadatos en la API XML-RPC.
Vulnerabilidad en Windows Server (CVE-2017-0175)
Gravedad:
BajaBaja
Publication date: 12/05/2017
Last modified:
30/10/2018
Descripción:
El kernel de Windows en Windows Server 2008 SP2 y R2 SP1 y Windows 7 SP1 permite a los atacantes autenticados obtener información confidencial a través de un documento especialmente diseñado, también conocido como "Windows Kernel Information Disclosure Vulnerability", una vulnerabilidad diferente a CVE-2017-0220, CVE- 2017-0258, y CVE-2017-0259.
Vulnerabilidad en el subsistema KVM en el kernel Linux y Xen (CVE-2015-8104)
Gravedad:
MediaMedia
Publication date: 16/11/2015
Last modified:
13/02/2019
Descripción:
El subsistema KVM en el kernel Linux hasta la versión 4.2.6, y Xen 4.3.x hasta la versión 4.6.x permite a usuarios del SO invitados causar una denegación de servicio (panic en el host del SO o cuelgue) desencadenando muchas excepciones #DB (también conocidas como Debug), relacionadas con svm.c.
Vulnerabilidad en el subsistema KVM en el kernel Linux y Xen (CVE-2015-5307)
Gravedad:
MediaMedia
Publication date: 16/11/2015
Last modified:
12/02/2019
Descripción:
El subsistema KVM en el kernel Linux hasta la versión 4.2.6, y Xen 4.3.x hasta la versión 4.6.x permite a usuarios del SO invitados causar una denegación de servicio (panic en el host del SO o cuelgue) desencandenando muchas excepciones #AC (también conocidas como Alignment Check), relacionadas con svm.c y vmx.c.
Vulnerabilidad en named en ISC BIND (CVE-2015-4620)
Gravedad:
AltaAlta
Publication date: 08/07/2015
Last modified:
30/10/2018
Descripción:
name.c en named en ISC BIND 9.7.x hasta 9.9.x anterior a 9.9.7-P1 y 9.10.x anterior a 9.10.2-P2, cuando configurado como solucionador recursivo con validación DNSSEC, permite a atacantes remotos causar una denegación de servicio (fallo de aserción REQUIRE y salida de demonio) mediante la construcción de datos de zona manipulados y posteriormente la realización de una consulta de un nombre en esta zona.
Vulnerabilidad en Floppy Disk Controller (FDC) en QEMU (CVE-2015-3456)
Gravedad:
AltaAlta
Publication date: 13/05/2015
Last modified:
30/10/2018
Descripción:
Floppy Disk Controller (FDC) en QEMU, utilizado en Xen 4.5.x y anteriores y KVM, permite a usuarios locales invitados causar una denegación de servicio (escritura fuera de rango y caída del invitado) o posiblemente ejecutar código arbitrario a través de (1) FD_CMD_READ_ID, (2) FD_CMD_DRIVE_SPECIFICATION_COMMAND, u otros comandos sin especificar, también conocido como VENOM.
Vulnerabilidad en named en ISC BIND (CVE-2015-1349)
Gravedad:
MediaMedia
Publication date: 19/02/2015
Last modified:
30/10/2018
Descripción:
named en ISC BIND 9.7.0 hasta 9.9.6 anterior a 9.9.6-P2 y 9.10.x anterior a 9.10.1-P2, cuando la característica de la validación DNSSEC y de las claves gestionadas está habilitada, permite a atacantes remotos causar una denegación de servicio (fallo de aserción y salida del demonio, o caída del demonio) mediante la provocación de un escenario de gestión de identificadores de confianza (trust-anchor) incorrecto en que no haya clave lista para su uso.
Vulnerabilidad en Servidor HTTP en Node.js (CVE-2013-4450)
Gravedad:
MediaMedia
Publication date: 21/10/2013
Last modified:
13/08/2018
Descripción:
El servidor HTTP en Node.js 0.10.x anterior a la versión 0.10.21 y 0.8.x anterior a 0.8.26 permite a atacantes remotos provocar una denegación de servicio (consumo de memoria y CPU) mediante el envío de un número largo de solicitudes canalizadas sin leer la respuesta.