Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en libssh2 (CVE-2019-3859)
Gravedad:
MediaMedia
Publication date: 21/03/2019
Last modified:
25/07/2019
Descripción:
Se ha descubierto un error de lectura fuera de límites en libssh2, en versiones anteriores a la 1.8.1, en las funciones _libssh2_packet_require y _libssh2_packet_requirev. Un atacante remoto que comprometa un servidor SSH podría ser capaz de provocar una denegación de servicio o una lectura de datos en la memoria del cliente.
Vulnerabilidad en libssh2 (CVE-2019-3862)
Gravedad:
MediaMedia
Publication date: 21/03/2019
Last modified:
15/04/2019
Descripción:
Se ha descubierto un error de lectura fuera de límites en libssh2, en versiones anteriores a la 1.8.1, en la forma en la que se analizan los paquetes SSH_MSG_CHANNEL_REQUEST con un mensaje de estado de salida y sin carga útil. Un atacante remoto que comprometa un servidor SSH podría ser capaz de provocar una denegación de servicio o una lectura de datos en la memoria del cliente.
CVE-2018-11767
Gravedad:
MediaMedia
Publication date: 21/03/2019
Last modified:
02/10/2019
Descripción:
En Apache Hadoop, de la versión 2.9.0 a la 2.9.1, de la 2.8.3 a la 2.8.4 y de la 2.7.5 a la 2.7.6, KMS bloquea usuarios o proporciona acceso a los usuarios de forma incorrecta, si el sistema emplea mecanismos de mapeo de grupos que no son por defecto.
Vulnerabilidad en OX App Suite (CVE-2018-13103)
Gravedad:
MediaMedia
Publication date: 21/03/2019
Last modified:
27/03/2019
Descripción:
OX App Suite, en versiones 7.8.4 y anteriores, permite Server-Side Request Forgery (SSRF).
Vulnerabilidad en shellinabox (CVE-2018-16789)
Gravedad:
AltaAlta
Publication date: 21/03/2019
Last modified:
24/08/2020
Descripción:
libhttp/url.c en shellinabox, hasta la versión 2.20, tiene un error de implementación en la lógica de análisis de peticiones HTTP. Mediante el envío de una petición HTTP multipart/form-data manipulada, un atacante podría explotar esto para forzar a shellinaboxd a entrar en un bucle infinito, agotando los recursos de la CPU disponibles y provocando la caída del servicio.
Vulnerabilidad en Advanced Comment System (CVE-2018-18845)
Gravedad:
MediaMedia
Publication date: 21/03/2019
Last modified:
27/03/2019
Descripción:
internal/advanced_comment_system/index.php y internal/advanced_comment_system/admin.php en Advanced Comment System, versión 1.0, contienen una vulnerabilidad de Cross-Site Scripting (XSS) reflejado mediante ACS_path. Un atacante remoto no autenticado podría explotar esta vulnerabilidad para proporcionar código HTML o JavaScript malicioso a una aplicación web vulnerable, que se devuelve a la víctima y es ejecutado por el navegador web. este producto se ha descontinuado.
Vulnerabilidad en MailCleaner Community Edition (CVE-2018-20323)
Gravedad:
AltaAlta
Publication date: 21/03/2019
Last modified:
27/03/2019
Descripción:
www/soap/application/MCSoap/Logs.php en MailCleaner Community Edition 2018.08 permite que los atacantes remotos ejecuten comandos arbitrarios del sistema operativo.
Vulnerabilidad en Moodle (CVE-2018-1081)
Gravedad:
MediaMedia
Publication date: 04/04/2018
Last modified:
28/08/2020
Descripción:
Se ha encontrado un error en Moodle 3.4 a 3.4.1, 3.3 a 3.3.4, 3.2 a 3.2.7 y 3.1 a 3.1.10, así como en versiones anteriores sin soporte. Los usuarios no autenticados pueden desencadenar mensajes personalizados para los administradores mediante un script de registro en paypal. El script de devolución de llamada IPN de Paypal solo debería enviar emails de error a admin tras haber verificado el origen de la petición; de otra forma, se puede spamear el email del admin.