Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en productos de Mittel (CVE-2018-19275)
Gravedad:
AltaAlta
Publication date: 02/04/2019
Last modified:
24/08/2020
Descripción:
El componente BluStar en InAttend de Mittel, en versiones anteriores a las 2.5 SP3; y en versiones de CMG de Mittel anteriores a la 8.4 SP3 Suite Servers, tiene una contraseña por defecto que podría permitir a los atacantes obtener acceso no autorizado y ejecutar scripts arbitrarios con un impacto potencial en la confidencialidad, integridad y disponibilidad del sistema.
Vulnerabilidad en Nagios IM (CVE-2019-9204)
Gravedad:
AltaAlta
Publication date: 28/03/2019
Last modified:
15/04/2019
Descripción:
Una vulnerabilidad de inyección SQL en Nagios IM (componente de Nagios XI), en versiones anteriores a la 2.2.7, permite a los atacantes ejecutar comandos SQL arbitrarios.
Vulnerabilidad en Nagios IM (CVE-2019-9203)
Gravedad:
AltaAlta
Publication date: 28/03/2019
Last modified:
24/08/2020
Descripción:
Una omisión de autenticación en Nagios IM (componente de Nagios XI), en versiones anteriores a la 2.2.7, permite el cierre de incidentes en IM mediante la API.
Vulnerabilidad en Nagios IM (CVE-2019-9202)
Gravedad:
MediaMedia
Publication date: 28/03/2019
Last modified:
24/08/2020
Descripción:
Nagios IM (componente of Nagios XI), en versiones anteriores a la 2.2.7, permite a los atacantes autenticados ejecutar código arbitrario mediante fallos con la clave de la API.
Vulnerabilidad en EDK II (CVE-2019-0160)
Gravedad:
AltaAlta
Publication date: 27/03/2019
Last modified:
06/08/2019
Descripción:
Desbordamiento de búfer en el firmware del sistema para EDK II podría permitir que un usuario no autenticado escale privilegios y/o provoque una denegación de servicio mediante acceso de red.
Vulnerabilidad en IBM Rational Team Concert (CVE-2018-1983)
Gravedad:
BajaBaja
Publication date: 14/03/2019
Last modified:
09/10/2019
Descripción:
IBM Rational Team Concert, desde la versión 5.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting. Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 154136.
Vulnerabilidad en IBM Jazz Foundation (CVE-2018-1952)
Gravedad:
BajaBaja
Publication date: 14/03/2019
Last modified:
09/10/2019
Descripción:
IBM Jazz Foundation (IBM Rational Engineering Lifecycle Manager, desde la versión 5.0 hasta la 6.0.6) es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 153495.
Vulnerabilidad en IBM Jazz Foundation (CVE-2018-1916)
Gravedad:
BajaBaja
Publication date: 14/03/2019
Last modified:
09/10/2019
Descripción:
IBM Jazz Foundation (IBM Rational Engineering Lifecycle Manager, desde la versión 5.0 hasta la 6.0.6) es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 152740.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1829)
Gravedad:
BajaBaja
Publication date: 14/03/2019
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager, desde la versión 5.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting. Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 150432.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1825)
Gravedad:
BajaBaja
Publication date: 14/03/2019
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager, desde la versión 5.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting. Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 150428.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1824)
Gravedad:
BajaBaja
Publication date: 14/03/2019
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager, desde la versión 5.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting. Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 150427.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1823)
Gravedad:
BajaBaja
Publication date: 14/03/2019
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager, desde la versión 5.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting. Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 150426.
Vulnerabilidad en GPAC (CVE-2018-20762)
Gravedad:
MediaMedia
Publication date: 06/02/2019
Last modified:
15/04/2019
Descripción:
GPAC versión 0.7.1 y anteriores tiene una vulnerabilidad de desbordamiento de búfer en la función cat_multiple_files en aplicaciones/mp4box/fileimport.c cuando MP4Box se utiliza para un directorio local que contiene nombres de archivo creados.
Vulnerabilidad en GPAC (CVE-2018-20763)
Gravedad:
MediaMedia
Publication date: 06/02/2019
Last modified:
15/04/2019
Descripción:
GPAC versión 0.7.1 y anteriores, gf_text_get_utf8_line en media_tools/text_import.c en libgpac_static.a permite una escritura fuera de límites debido a la falta de comprobación de límites szLineConv.
Vulnerabilidad en GPAC (CVE-2018-20761)
Gravedad:
MediaMedia
Publication date: 06/02/2019
Last modified:
15/04/2019
Descripción:
GPAC versión 0.7.1 y anteriores tiene una vulnerabilidad de desbordamiento de búfer en la función gf_sm_load_init en scene_manager.c en libgpac_static.a.
Vulnerabilidad en GPAC (CVE-2018-20760)
Gravedad:
MediaMedia
Publication date: 06/02/2019
Last modified:
15/04/2019
Descripción:
GPAC versión 0.7.1 y anteriores, gf_text_get_utf8_line en media_tools/text_import.c en libgpac_static.a permite una escritura fuera de límites porque un determinado valor de retorno -1 se manjea de forma inadecuada.
Vulnerabilidad en Junos OS (CVE-2019-0011)
Gravedad:
BajaBaja
Publication date: 15/01/2019
Last modified:
22/07/2020
Descripción:
El kernel de Junos OS se cierra inesperadamente tras procesar un paquete entrante en concreto a la interfaz de gestión de banda (como fxp0, me0, em0, vme0) destinada a otra dirección. Mediante el envío continuo de este tipo de paquete, un atacante puede cerrar repetidamente el kernel, provocando una denegación de servicio (DoS) prolongada. Las versiones afectadas son Juniper Networks Junos OS: 17.2 en versiones anteriores a la 17.2R1-S7 y la 17.2R3; 17.3 en versiones anteriores a la 17.3R3-S3; 17.4 en versiones anteriores a la 17.4R1-S4 y la 17.4R2; 17.2X75 en versiones anteriores a la 17.2X75-D110 y 18.1 en versiones anteriores a la 18.1R2.
Vulnerabilidad en BusyBox (CVE-2018-20679)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
04/09/2019
Descripción:
Se ha descubierto un problema en versiones anteriores a la 1.30.0 de BusyBox. Una lectura fuera de límites en los componentes udhcp (consumidos por el servidor, cliente y relays DHCP) permite que un atacante remoto filtre información sensible de la pila mediante el envío de un mensaje DHCP manipulado. Esto está relacionado con la verificación en udhcp_get_option() en networking/udhcp/common.c de que las opciones 4-byte tienen, efectivamente, 4 bytes.
Vulnerabilidad en Google Chrome (CVE-2018-18335)
Gravedad:
MediaMedia
Publication date: 11/12/2018
Last modified:
24/08/2020
Descripción:
Un desbordamiento de búfer basado en memoria dinámica (heap) en Skia en Google Chrome, en versiones anteriores a la 71.0.3578.80, permite que un atacante remoto explote la corrupción de la memoria dinámica (heap) mediante una página HTML manipulada.
Vulnerabilidad en Cisco IOS XE Software (CVE-2018-0470)
Gravedad:
AltaAlta
Publication date: 05/10/2018
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en el framework web de Cisco IOS XE Software podría permitir que un atacante remoto sin autenticar provoque un desbordamiento de búfer en un dispositivo afectado, lo que resulta en una denegación de servicio (DoS). La vulnerabilidad se debe a que el software afectado analiza incorrectamente los paquetes HTTP mal formados que se envían al dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando un paquete HTTP mal formado a un dispositivo afectado para su procesamiento. Su explotación con éxito podría permitir que el atacante provoque un desbordamiento de búfer en el dispositivo afectado y provoque una denegación de servicio (DoS).
Vulnerabilidad en Python (CVE-2018-1060)
Gravedad:
MediaMedia
Publication date: 18/06/2018
Last modified:
15/01/2020
Descripción:
Python antes de las versiones 2.7.15, 3.4.9, 3.5.6rc1, 3.6.5rc1 y 3.7.0 es vulnerable a un retroceso catastrófico en el método apop () de pop3lib. Un atacante podría usar este fallo para causar la denegación de servicio.
Vulnerabilidad en GPAC (CVE-2018-7752)
Gravedad:
MediaMedia
Publication date: 07/03/2018
Last modified:
15/04/2019
Descripción:
GPAC, hasta la versión 0.7.1, tiene un desbordamiento de búfer en la función gf_media_avc_read_sps en media_tools/av_parsers.c. Esta vulnerabilidad es diferente de CVE-2018-1000100.
Vulnerabilidad en la función EscapeParenthesis en GraphicsMagick (CVE-2016-7447)
Gravedad:
AltaAlta
Publication date: 06/02/2017
Last modified:
15/04/2019
Descripción:
Desbordamiento del búfer basado en memoria dinámica en la función EscapeParenthesis en GraphicsMagick en versiones anteriores a 1.3.25 permite a atacantes remotos tener un impacto no especificado a través de vectores desconocidos.
Vulnerabilidad en el código de renderización MVG y SVG en GraphicsMagick (CVE-2016-7446)
Gravedad:
AltaAlta
Publication date: 06/02/2017
Last modified:
15/04/2019
Descripción:
Desbordamiento del búfer en el código de renderización MVG y SVG en GraphicsMagick 1.3.24 permite a atacantes remotos tener un impacto no especificado a través de vectores desconocidos. Nota: Esta vulnerabilidad existe debido a un parche incompleto para CVE-2016-2317.
Vulnerabilidad en los codificadores EPHEMERAL, HTTPS, MVG, MSL, TEXT, SHOW, WIN y PLT en ImageMagick (CVE-2016-3714)
Gravedad:
AltaAlta
Publication date: 05/05/2016
Last modified:
15/04/2019
Descripción:
Los codificadores (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN y (8) PLT en ImageMagick en versiones anteriores a 6.9.3-10 y 7.x en versiones anteriores a 7.0.1-1 permiten a atacantes remotos ejecutar código arbitrario a través de metacaracteres shell en una imagen manipulada, también conocido como "ImageTragick".
Vulnerabilidad en Integrated Management Controller (IMC) en Cisco Unified Computing System (CVE-2015-0633)
Gravedad:
MediaMedia
Publication date: 25/02/2015
Last modified:
15/04/2019
Descripción:
Integrated Management Controller (IMC) en Cisco Unified Computing System (UCS) 1.4(7h) y anteriores en los servidores de la serie C permite a atacantes remotos evadir las restricciones de acceso mediante el envío de paquetes manipulados de respuestas DHCP en la red local, también conocido como Bug ID CSCuf52876.
Vulnerabilidad en el servidor FTP en Schneider Electric ETG3000 FactoryCast HMI Gateway (CVE-2014-9198)
Gravedad:
AltaAlta
Publication date: 27/01/2015
Last modified:
15/04/2019
Descripción:
El servidor FTP en Schneider Electric ETG3000 FactoryCast HMI Gateway con firmware hasta 1.60 IR 04 tienen credenciales embebidas, lo que facilita a atacantes remotos obtener el acceso a través de una sesión FTP.