Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en KDE KMail (CVE-2019-10732)
Gravedad:
MediaMedia
Publication date: 07/04/2019
Last modified:
18/06/2019
Descripción:
En KDE KMail 5.2.3, un atacante que posea correos electrónicos cifrados en S/MIME o PGP puede envolverlos como subpartes de un correo electrónico multiparte manipulado. La(s) parte(s) cifrada(s) se puede(n) ocultar aún más utilizando caracteres de nuevas líneas ASCII o HTML/CSS. Este correo electrónico multiparte manipulado puede ser reenviado por el atacante al destinatario previsto. Si el destinatario responde a este correo (de aspecto benigno), estaría filtrando el texto plano de algunas partes del mensaje cifrado sin querer, devolviéndoselas al atacante.
Vulnerabilidad en KDE Trojita (CVE-2019-10734)
Gravedad:
MediaMedia
Publication date: 07/04/2019
Last modified:
09/04/2019
Descripción:
En KDE Trojita 0.7, un atacante que posea correos electrónicos cifrados en S/MIME o PGP puede envolverlos como subpartes de un correo electrónico multiparte manipulado. La(s) parte(s) cifrada(s) se puede(n) ocultar aún más utilizando caracteres de nuevas líneas ASCII o HTML/CSS. Este correo electrónico multiparte manipulado puede ser reenviado por el atacante al destinatario previsto. Si el destinatario responde a este correo (de aspecto benigno), estaría filtrando el texto plano de algunas partes del mensaje cifrado sin querer, devolviéndoselas al atacante.
Vulnerabilidad en Claws Mail (CVE-2019-10735)
Gravedad:
MediaMedia
Publication date: 07/04/2019
Last modified:
09/04/2019
Descripción:
En Claws Mail 3.14.1 un atacante que posea correos electrónicos cifrados en S/MIME o PGP puede envolverlos como subpartes de un correo electrónico multiparte manipulado. La(s) parte(s) cifrada(s) se puede(n) ocultar aún más utilizando caracteres de nuevas líneas ASCII o HTML/CSS. Este correo electrónico multiparte manipulado puede ser reenviado por el atacante al destinatario previsto. Si el destinatario responde a este correo (de aspecto benigno), estaría filtrando el texto plano de algunas partes del mensaje cifrado sin querer, devolviéndoselas al atacante.
Vulnerabilidad en Roundcube Webmail (CVE-2019-10740)
Gravedad:
MediaMedia
Publication date: 07/04/2019
Last modified:
24/09/2020
Descripción:
En Roundcube Webmail en versiones anteriores a la 1.3.10, un atacante en posesión de correos electrónicos cifrados S/MIME o PGP puede envolverlos como subparte dentro de un correo electrónico multiparte diseñado. La(s) parte(s) encriptada(s) puede ocultarse aún más usando caracteres HTML/CSS o de nueva línea ASCII. El atacante puede reenviar este correo electrónico multiparte modificado al destinatario previsto. Si el destinatario responde a este correo electrónico (de aspecto benigno), sin saberlo, filtra el texto plano de la(s) parte(s) del mensaje cifrado al atacante.
Vulnerabilidad en K-9 Mail (CVE-2019-10741)
Gravedad:
MediaMedia
Publication date: 07/04/2019
Last modified:
02/01/2020
Descripción:
K-9 Mail v5.600 puede incluir el código HTML original entrecomillado de un correo electrónico especialmente manipulado y de aspecto benigno en los mensajes de respuesta (con firma digital). La parte entrecomillada puede contener instrucciones condicionales que muestran un texto completamente distinto si se abre en un cliente de correo electrónico diferente. Un atacante podría aprovechar esto para obtener firmas S/MIME o PGP válidas para que se muestre contenido arbitrario a un tercero. NOTA: el proveedor afirma "No tenemos la intención de emprender ninguna acción por esto".
Vulnerabilidad en dispositivos de Glory (CVE-2019-10478)
Gravedad:
AltaAlta
Publication date: 05/04/2019
Last modified:
09/04/2019
Descripción:
Se ha descubierto un problema con el firmware ISP-K05-02 7.0.0 en dispositivos de Glory RBW-100. Una vulnerabilidad de subida de archivos sin restricciones en el controlador "Front Circle" en glytoolcgi/settingfile_upload.cgi permite que los atacantes suban datos proporcionados. Esta vulnerabilidad se puede utilizar para introducir código controlado por el atacante en el sistema de archivos para que se ejecute, lo cual puede conducir a un shell root inverso.
Vulnerabilidad en Neutron de OpenStack (CVE-2019-10876)
Gravedad:
MediaMedia
Publication date: 05/04/2019
Last modified:
24/08/2020
Descripción:
Se ha descubierto un problema en OpenStack Neutron, en las versiones 11.x anteriores a la 11.0.7, en las 12.x anteriores a la 12.0.6 y en las 13.x anteriores a la 13.0.3. Al crear dos grupos de seguridad con rangos de puertos separados/solapados, un usuario autenticado podría impedir que Neutron sea capaz de configurar las redes en cualquier nodo de cálculo donde se encuentran dichos grupos de seguridad, debido a un error de claves en el firewall de Open vSwitch (OVS). Se han visto afectados todos los despliegues de Neutron que utilizan neutron-openvswitch-agent.
Vulnerabilidad en Teltonika (CVE-2018-19879)
Gravedad:
MediaMedia
Publication date: 28/03/2019
Last modified:
24/08/2020
Descripción:
Se ha descubierto un fallo en /cgi-bin/luci en dispositivos de Teltonika RTU9XX (p.ej., RUT950), desde R_31.04.89 hasta R_00.05.00.5. La funcionalidad de autenticación no está protegida contra herramientas automáticas que se utilizan para efectuar intentos de inicio de sesión en la aplicación. Un atacante anónimo tiene la capacidad de realizar intentos de inicio de sesión ilimitados con una herramienta automatizada. Esta capacidad podría conducir a la adivinación de la contraseña de un usuario objetivo.
Vulnerabilidad en la plataforma Honeywell Experion Process Knowledge System: Experion PKS (CVE-2016-8344)
Gravedad:
MediaMedia
Publication date: 13/02/2017
Last modified:
09/04/2019
Descripción:
Ha sido descubierto un problema en la plataforma Honeywell Experion Process Knowledge System (PKS): Experion PKS, Release 3xx y versiones anteriores, Experion PKS, Release 400, Experion PKS, Release 410, Experion PKS, Release 430 y Experion PKS, Release 431. Experion PKS No valida adecuadamente la entrada. Enviando un paquete especialmente manipulado, un atacante podría provocar que el proceso termine. Una explotación exitosa impediría cargas de firmware a los dispositivos de la Serie C.