Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Airsonic (CVE-2019-10907)
Gravedad:
MediaMedia
Publication date: 07/04/2019
Last modified:
09/04/2019
Descripción:
Airsonic 10.2.1 utiliza por defecto el mecanismo remember-me basado en MD5 de Spring con una clave fija de airsonic en GlobalSecurityConfig.java. Un atacante capaz de capturar cookies podría simplemente obtener las contraseñas offline de los usuarios asociados mediante el uso de fuerza bruta.
Vulnerabilidad en Airsonic (CVE-2019-10908)
Gravedad:
AltaAlta
Publication date: 07/04/2019
Last modified:
09/04/2019
Descripción:
En Airsonic 10.2.1, RecoverController.java genera contraseñas mediante org.apache.commons.lang.RandomStringUtils que utiliza ava.util.Random internamente. Este Pseudo Random Number Generator (PRNG) tiene una semilla de 48-bit que puede ser sometido fácilmente a un ataque de fuerza bruta, conduciendo a ataques de escalado de privilegios.
Vulnerabilidad en Roundup (CVE-2019-10904)
Gravedad:
MediaMedia
Publication date: 06/04/2019
Last modified:
09/04/2019
Descripción:
Roundup 1.6 permite Cross-Site Scripting (XSS) mediante el URI debido a que frontends/roundup.cgi y roundup/cgi/wsgi_handler.py gestionan los errores 404 de manera incorrecta.
Vulnerabilidad en en dispositivos de Glory (CVE-2019-10479)
Gravedad:
AltaAlta
Publication date: 05/04/2019
Last modified:
09/04/2019
Descripción:
Se ha descubierto un problema con el firmware ISP-K05-02 7.0.0 en dispositivos de Glory RBW-100. Se han identificado un nombre de usuario y una contraseña embebidos que permiten a un atacante remoto obtener acceso de administrador a la interfaz web del controlador "Front Circle".
Vulnerabilidad en Atlassian Confluence Server and Data Center (CVE-2018-20237)
Gravedad:
MediaMedia
Publication date: 13/02/2019
Last modified:
12/04/2019
Descripción:
Atlassian Confluence Server and Data Center, en versiones anteriores a la 6.13.1, permite que un usuario autenticado descargue una página eliminada mediante la característica de exportación de palabras.
Vulnerabilidad en BigTree (CVE-2018-18308)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
12/04/2019
Descripción:
En la versión 4.2.23 de BigTree, se ha descubierto una vulnerabilidad Cross-Site Scripting (XSS) persistente en /admin/ajax/file-browser/upload/ (también conocida como área de subida de imágenes).
Vulnerabilidad en Samba 4 AD DC (CVE-2018-1057)
Gravedad:
MediaMedia
Publication date: 13/03/2018
Last modified:
02/10/2019
Descripción:
En Samba 4 AD DC, el servidor LDAP en todas las versiones de Samba, desde la 4.0.0 en adelante, valida incorrectamente los permisos para modificar contraseñas por LDAP. Esto permite que usuarios autenticados cambien las contraseñas de cualquier otro usuario, incluyendo usuarios administrativos y cuentas de servicio privilegiadas (por ejemplo, Domain Controllers).