Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2696)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
30/07/2019
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. Vulnerabilidad de fácil explotación que permite a un atacante poco privilegiado iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Mientras la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 8.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en el componente MICROS Retail-J de Oracle Retail Applications (CVE-2018-2880)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente MICROS Retail-J de Oracle Retail Applications (subcomponente: Back Office). La versión compatible que se ve afectada es 12.1.2. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a MICROS Retail-J. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de MICROS Retail-J. CVSS versión 3.0 Puntuación Base 7.5 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en MICROS Lucas de Oracle Retail Applications (CVE-2018-3120)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente MICROS Lucas de Oracle Retail Applications (subcomponente: Seguridad). Las versiones compatibles afectadas son 2.9.5.6 y versión 2.9.5.7. Una vulnerabilidad difícil de aprovechar permite que un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a MICROS Lucas. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de MICROS Lucas. CVSS versión 3.0 Puntuación Base 7.5 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el componente Oracle One-to-One Fulfillment de Oracle E-Business Suite (CVE-2019-2551)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle One-to-One Fulfillment de Oracle E-Business Suite (subcomponente: Print Server). Las versiones compatibles que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer el cumplimiento de Oracle One-to-One. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad está en el cumplimiento de Oracle One-to-One, los ataques pueden impactar significativamente los productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle One-to-One Fulfillment, así como también actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle One-to-Fulfillment de Oracle. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Retail Point-of-Service de Oracle Retail Applications (CVE-2019-2558)
Gravedad:
AltaAlta
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Retail Point-of-Service de Oracle Retail Applications (subcomponente: Infrastructure). Las versiones compatibles que se ven afectadas son 13.4, 14.0 y 14.1. Vulnerabilidad de fácil explotación que permite a atacante no autenticado con acceso a la red por medio de HTTP comprometer Oracle Retail Point-of-Service . Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Retail Point-of-Service, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles del Punto de Servicio de Oracle Retail y la capacidad no autorizada de provocar una Denegación de Servicio (DoS) parcial de Oracle Retail Point-of-Service. CVSS versión 3.0 Puntuación Base 7.3 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en JD Edwards EnterpriseOne Tools de Oracle (CVE-2019-2564)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente JD Edwards EnterpriseOne Tools de Oracle JD Edwards Products (subcomponente: Web Runtime). La versión compatible que se ve afectada es la 9.2. Vulnerabilidad de fácil explotación que permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer JD Edwards EnterpriseOne Tools. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de JD Edwards EnterpriseOne Tools. CVSS versión 3.0 Puntuación Base 4.3 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en JD Edwards World Technical Foundation de Oracle JD Edwards Products (CVE-2019-2565)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente JD Edwards World Technical Foundation de Oracle JD Edwards Products (subcomponente: Service Enablement). Las versiones compatibles que se ven afectadas son A9.2, A9.3.1 y A9.4. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a JD Edwards World Technical Foundation. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de JD Edwards World Technical Foundation. CVSS versión 3.0 Puntuación Base 7.5 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle MySQL (CVE-2019-2566)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
30/04/2019
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Audit Plug-in). Las versiones compatibles que se han visto afectadas son la 5.7.25 y anteriores y la 8.0.15 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en el componente Oracle Configurator of Oracle Supply (CVE-2019-2567)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Configurator of Oracle Supply Chain Products Suite (subcomponente: Active Model Generation). Las versiones compatibles que se ven afectadas son 12.1 y 12.2. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle Configurator. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Configurator. CVSS versión 3.0 Puntuación Base 7.5 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en el componente Server BizLogic Script en Siebel Core de Oracle (CVE-2019-2570)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Server BizLogic Script en Siebel Core de Oracle Siebel CRM (subcomponente: Integration - Scripting). La versión compatible que se ve afectada es la 19.3. Vulnerabilidad de fácil explotación que permite a un atacante muy privilegio con acceso a la red por medio de HTTP comprometer a Siebel Core - Server BizLogic Script. Los ataques con éxito de esta vulnerabilidad pueden dar lugar a actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Siebel Core - Server BizLogic Script, así como el acceso no autorizado de lectura a un subconjunto de Siebel Core - Server BizLogic Script y la posibilidad no autorizada de generar una Denegación de Servicio parcial (partial DOS) de Siebel Core - Server BizLogic Script. CVSS versión 3.0 Puntuación Base 4.7 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS:(CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en DataPump de Oracle Database Server. (CVE-2019-2571)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Hay una vulnerabilidad en el componente RDBMS DataPump de Oracle Database Server. Las versiones compatibles que se ven afectadas son 11.2.0.4, 12.1.0.2, 12.2.0.1 y versión 18c. La vulnerabilidad difícil de explotar permite que un atacante de alto privilegio tenga privilegios de rol de DBA con acceso a la red por medio de Oracle Net para comprometer el DataBump de RDBMS. Los ataques con éxito de esta vulnerabilidad pueden resultar en la adquisición de RDBMS DataPump. CVSS versión 3.0 Puntuación Base 6.6 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/ A:H).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2574)
Gravedad:
BajaBaja
Publication date: 23/04/2019
Last modified:
30/07/2019
Descripción:
Hay una vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponent: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. Una vulnerabilidad fácilmente aprovechable permite que un atacante con pocos privilegios inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 6.5 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N).
Vulnerabilidad en Oracle AutoVue 3D Professional Advanced de Oracle Supply Chain Products Suite (CVE-2019-2575)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Hay una vulnerabilidad en el componente Oracle AutoVue 3D Professional Advanced de Oracle Supply Chain Products Suite (subcomponent: Format Handling - 2D). Las versiones compatibles que se ven afectadas son 21.0.0 y versión 21.0.1. Una vulnerabilidad fácilmente aprovechable permite que un atacante no identificado con acceso a la red por medio de HTTP comprometa a Oracle AutoVue 3D Professional Advanced. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle AutoVue 3D Professional Advanced. CVSS versión 3.0 Puntuación Base 5.3 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en en Oracle Service Bus de Oracle Fusion Middleware (CVE-2019-2576)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Hay una vulnerabilidad en el componente Oracle Service Bus de Oracle Fusion Middleware (subcomponent: Web Container). Las versiones compatibles que se ven afectadas son 11.1.1.9.0,versión 12.1.3.0.0 y versión 12.2.1.3.0. Una vulnerabilidad fácilmente aprovechable permite que un atacante no identificado con acceso a la red por medio de HTTP comprometa a Oracle Service Bus. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (partial DOS) de Oracle Service Bus. CVSS versión 3.0 Puntuación Base 5.3 (Impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el componente Oracle iSupplier Portal de Oracle E-Business Suite (CVE-2019-2583)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle iSupplier Portal de Oracle E-Business Suite (subcomponente: Attachments). Las versiones compatibles que están afectadas son 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle iSupplier Portal. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad está en el Oracle iSupplier Portal, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iSupplier Portal, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle iSupplier Portal. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en el componente MySQL Server de Oracle MySQL (CVE-2019-2592)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
14/08/2019
Descripción:
Hay una Vulnerabilidad en el componente MySQL Server de Oracle MySQL (subcomponente: Server: PS). Las versiones compatibles que se ven afectadas son la versión 5.7.25 y anteriores y la versión 8.0.15 y anteriores. Una vulnerabilidad de fácil funiconamiento permite que un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos ponga en peligro el MySQL server. Los ataques con éxito de esta vulnerabilidad pueden conllevar a una capacidad no autorizada para provocar una suspensión o un bloqueo repetible con frecuencia (DoS completo) de MySQL server. CVSS 3.0 Base Score 4.9 (Impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2019-2593)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
14/08/2019
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: InnoDB). Las versiones compatibles que se han visto afectadas son la 8.0.15 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS Vector: (CVSS 3.0 Base Score 4.9 (impactos de disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en el componente Oracle Email Center de Oracle E-Business Suite (CVE-2019-2600)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Email Center de Oracle E-Business Suite (subcomponente: Message Display). Las versiones compatibles que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4,12.2.5,12.2.6,12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle Email Center. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad está en Oracle Email Center de Oracle, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Email Center, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Email Center. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en el componente Oracle Trade Management de Oracle E-Business Suite (CVE-2019-2640)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Trade Management de Oracle E-Business Suite (subcomponente: User Interface). Las versiones compatibles que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle Trade Management. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad se encuentra en Oracle Trade Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Trade Management, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Trade Management. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en el componente Oracle Trade Management de Oracle E-Business Suite (CVE-2019-2641)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Trade Management de Oracle E-Business Suite (subcomponente: User Interface). Las versiones compatibles que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle Trade Management. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad se encuentra en Oracle Trade Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Trade Management, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Trade Management. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Trade Management (CVE-2019-2642)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Trade Management de Oracle E-Business Suite (subcomponente: Interfaz de usuario). Las versiones compatibles que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle Trade Management. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad se encuentra en Oracle Trade Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Trade Management, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Trade Management. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en el componente Oracle Trade Management (CVE-2019-2643)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Trade Management de Oracle E-Business Suite (subcomponente: Interfaz de usuario). Las versiones compatibles que se ven afectadas son 12.1.1,12.1.2, 12.1.3, 12.2.3,12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle Trade Management. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad se encuentra en Oracle Trade Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Trade Management, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Trade Management. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en el componente Oracle iStore de Oracle E-Business Suite (CVE-2019-2652)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle iStore de Oracle E-Business Suite (subcomponente: carrito de compras). Las versiones compatibles que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil explotación que permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer Oracle iStore. Los ataques exitosos requieren la interacción humana con otra persona distinta al atacante y mientras la vulnerabilidad está en Oracle iStore, los ataques pueden impactar significativamente en productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iStore, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle iStore. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2656)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
30/07/2019
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. Vulnerabilidad de fácil operación que permite a un atacante poco privilegiado inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Mientras la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 8.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2657)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
30/07/2019
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. Vulnerabilidad de fácil explotación que permite a un atacante poco privilegiado inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 7.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el componente Oracle Territory Management de Oracle E-Business Suite (CVE-2019-2662)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Territory Management de Oracle E-Business Suite (subcomponente: Territory Administration). Las versiones compatibles que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Territory Management. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y, mientras la vulnerabilidad se encuentra en Oracle Territory Management, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Territory Management, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Territory Management. CVSS versión 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2679)
Gravedad:
BajaBaja
Publication date: 23/04/2019
Last modified:
30/07/2019
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. Vulnerabilidad de fácil operación que permite a un atacante poco privilegiado inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Mientras la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para generar una suspensión o un bloqueo repetible (complete DOS) de Oracle VM VirtualBox y acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 7.3 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2019-2683)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
14/08/2019
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Options). Las versiones compatibles que se han visto afectadas son la 5.6.43 y anteriores, la 5.7.25 y anteriores y la 8.0.15 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2690)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
30/07/2019
Descripción:
Hay una vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponent: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. La vulnerabilidad difícil de explotar permite que un atacante con pocos privilegios inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 7.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en read_ujpg en jpgcoder.cc en Dropbox (CVE-2018-20820)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
En read_ujpg en jpgcoder.cc en Dropbox Lepton versión 1.2.1 hay una vulnerabilidad que permite a los atacantes provocar una denegación de servicio (bloqueo de tiempo de ejecución de la aplicación debido a un desbordamiento de enteros) por medio de un archivo creado
Vulnerabilidad en LibSass (CVE-2018-20821)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
23/07/2019
Descripción:
El componente de análisis en LibSass versión hasta 3.5.5 permite a los atacantes causar una denegación de servicio (recursión no controlada Sass::Parser::parse_css_variable_value in parser.cpp).
Vulnerabilidad en Gradle Enterprise (CVE-2019-11403)
Gravedad:
MediaMedia
Publication date: 22/04/2019
Last modified:
24/04/2019
Descripción:
En Gradle Enterprise versiones anteriores a 2018.5.2, Build Cache Nodes reflejaría la contraseña configurada al ver el código fuente HTML de la página de configuración.
Vulnerabilidad en Gradle Enterprise (CVE-2019-11402)
Gravedad:
MediaMedia
Publication date: 22/04/2019
Last modified:
24/04/2019
Descripción:
En Gradle Enterprise versiones anteriores a 2018.5.3, Build Cache Nodes no almacenaba las credenciales en un formato cifrado.
Vulnerabilidad en SiteServer CMS (CVE-2019-11401)
Gravedad:
MediaMedia
Publication date: 22/04/2019
Last modified:
24/04/2019
Descripción:
Fue encontrado un problema en SiteServer CMS versión 6.9.0. Permite a los atacantes remotos ejecutar un código arbitrario porque un administrador puede agregar la extensión de archivo permitida .aassp, que se convierte en .asp porque se elimina la subcadena "as".
Vulnerabilidad en Pacemaker (CVE-2019-3885)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
27/05/2019
Descripción:
En el software Pacemaker hasta la versión 2.0.1 inclusive, se encontró un defecto de uso que podía provocar la filtración de cierta información sensible a través de los registros del sistema.
Vulnerabilidad en Pacemaker (CVE-2018-16878)
Gravedad:
BajaBaja
Publication date: 18/04/2019
Last modified:
27/05/2019
Descripción:
Se encontró un fallo en el software Pacemaker hasta la versión 2.0.1 inclusive. Una verificación insuficiente de los procesos preferentes no controlados puede llevar a una condición de denegación de servicios (DoS).
Vulnerabilidad en Pacemaker (CVE-2018-16877)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
02/10/2019
Descripción:
Se encontró un fallo en la forma en que se implementó la autenticación cliente-servidor del software Pacemaker, en versiones hasta la 2.0.0 inclusive. Un atacante local podría utilizar este fallo, y combinarlo con otras debilidades del IPC, para lograr una escalada de privilegios locales.
Vulnerabilidad en la extensión PHP EXIF (CVE-2019-11035)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
03/06/2019
Descripción:
Al procesar ciertos archivos, la extensión PHP EXIF en las versiones 7.1.x anteriores a la 7.1.28, 7.2.x anteriores a la 7.2.17 y 7.3.x anteriores a la 7.3.4 puede hacer que se lea el búfer asignado en la función exif_iif_add_value. Esto puede conducir a la revelación de información o a un cierre inesperado.
Vulnerabilidad en la extensión PHP EXIF (CVE-2019-11034)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
03/06/2019
Descripción:
Al procesar ciertos archivos, la extensión PHP EXIF en las versiones 7.1.x anteriores a la 7.1.28, 7.2.x anteriores a la 7.2.17 y 7.3.x anteriores a la 7.3.4 puede hacer que se lea el buffer asignado en la función exif_process_IFD_TAG. Esto puede conducir a la revelación de información o a un cierre inesperado.
Vulnerabilidad en librería urllib3 de Python (CVE-2019-11236)
Gravedad:
MediaMedia
Publication date: 15/04/2019
Last modified:
13/06/2019
Descripción:
En la librería urllib3, hasta la versión 1.24.1 para Python, se puede realizar una inyección CRLF si el atacante controla el parámetro request.
Vulnerabilidad en la libreria XMLTooling de OpenSAML y Shibboleth Service Provider (CVE-2019-9628)
Gravedad:
MediaMedia
Publication date: 11/04/2019
Last modified:
11/06/2019
Descripción:
La libreria XMLTooling, en todas las versiones anteriores a la V3.0.4, suministrada con el software OpenSAML y Shibboleth Service Provider, contiene una clase de parser XML. Los datos no válidos en la declaración XML causan una excepción de un tipo debido a que se manejó de forma incorrecta en la clase parser y propaga un tipo de excepción inesperado.
Vulnerabilidad en librería libxslt (CVE-2019-11068)
Gravedad:
AltaAlta
Publication date: 10/04/2019
Last modified:
13/06/2019
Descripción:
libxslt hasta la versión 1.1.33 permite omitir los mecanismos de protección debido a que los callers xsltCheckRead y xsltCheckWrite permiten acceso incluso después de recibir el código de error -1. xsltCheckRead puede devolver -1 para una URL creada que no es realmente inválida y que se carga posteriormente.
Vulnerabilidad en Apache HTTP Server (CVE-2019-0211)
Gravedad:
AltaAlta
Publication date: 08/04/2019
Last modified:
11/06/2019
Descripción:
En Apache HTTP Server 2.4, versiones 2.4.17 a 2.4.38, con el evento MPM, worker o prefork, el código ejecutándose en procesos hijo (o hilos) menos privilegiados (incluyendo scripts ejecutados por un intérprete de scripts en proceso) podría ejecutar código arbitrario con los privilegios del proceso padre (normalmente root) manipulando el marcador. Los sistemas que no son Unix no se ven afectados.
Vulnerabilidad en Apache HTTP Server (CVE-2019-0217)
Gravedad:
MediaMedia
Publication date: 08/04/2019
Last modified:
10/12/2019
Descripción:
En Apache HTTP Server 2.4 versión 2.4.38 y anteriores, una condición de carrera en mod_auth_digest cuando se ejecuta en un servidor multihilo podría permitir a un usuario con credenciales válidas autenticarse usando otro nombre de usuario, evitando las restricciones de control de acceso configuradas.
Vulnerabilidad en Drupal (CVE-2019-6341)
Gravedad:
BajaBaja
Publication date: 26/03/2019
Last modified:
15/05/2019
Descripción:
En Drupal 7, en versiones anteriores a la 7.65; Drupal 8.6, en versiones anteriores a la 8.6.13 y Drupal 8.5, en versiones anteriores a la 8.5.14. En ciertas condiciones, el módulo/subsistema File permite que un usuario malicioso suba un archivo que puede desencadenar una vulnerabilidad Cross-Site Scripting (XSS).
Vulnerabilidad en Logstash (CVE-2019-7612)
Gravedad:
MediaMedia
Publication date: 25/03/2019
Last modified:
09/10/2019
Descripción:
Se ha encontrado un error de divulgación de datos sensibles en la manera en la que las versiones de Logstash anteriores a las 5.6.15 y 6.6.1 registran URL mal formadas. Si una URL mal formada forma parte de la configuración del LogStash, las credenciales de la URL podrían ser accidentalmente registradas como parte del mensaje de error.
Vulnerabilidad en superexec (CVE-2019-3835)
Gravedad:
MediaMedia
Publication date: 25/03/2019
Last modified:
07/05/2019
Descripción:
Se ha observado que el operador superexec estaba disponible en el diccionario interno en ghostscript en las versiones anteriores a la 9.27. Un archivo PostScript especialmente manipulado podría explotar este error, por ejemplo, para obtener acceso al sistema de archivos fuera de las restricciones impuestas por -dSAFER.
Vulnerabilidad en forceput (CVE-2019-3838)
Gravedad:
MediaMedia
Publication date: 25/03/2019
Last modified:
07/05/2019
Descripción:
Se ha observado que el operador forceput podía ser extraído del método DefineResource en ghostscript en las versiones anteriores a la 9.27. Un archivo PostScript especialmente manipulado podría explotar este error, por ejemplo, para obtener acceso al sistema de archivos fuera de las restricciones impuestas por -dSAFER.
Vulnerabilidad en GNU Tar (CVE-2019-9923)
Gravedad:
MediaMedia
Publication date: 22/03/2019
Last modified:
24/04/2019
Descripción:
pax_decode_header en sparse.c en GNU Tar, en versiones anteriores a la 1.32, tenía una desreferencia de puntero NULL al analizar ciertos archivos que tenían cabeceras extendidas mal formadas.
Vulnerabilidad en Artifex Ghostscript (CVE-2019-6116)
Gravedad:
MediaMedia
Publication date: 21/03/2019
Last modified:
24/09/2019
Descripción:
En Artifex Ghostscript hasta la versión 9.26, los procedimientos ephemeral o transient pueden permitir el acceso a los operadores del sistema, lo que conduce a la ejecución remota de código.
Vulnerabilidad en Qt (CVE-2018-19872)
Gravedad:
MediaMedia
Publication date: 21/03/2019
Last modified:
18/02/2020
Descripción:
Se ha descubierto un problema en Qt 5.11. Una imagen PPM mal formada provoca una división entre cero y un cierre inesperado en qppmhandler.cpp.
Vulnerabilidad en PHP (CVE-2019-9675)
Gravedad:
MediaMedia
Publication date: 11/03/2019
Last modified:
03/06/2019
Descripción:
** EN DISPUTA ** Se ha detectado un fallo en PHP, en las versiones 7.x anteriores a la 7.1.27 y en las 7.3.x anteriores a la 7.3.3. phar_tar_writeheaders_int tiene un desbordamiento de búfer mediante un valor de enlace largo. NOTA: el fabricante indica que el valor de enlace se utiliza solamente cuando un archivo contiene un symlink, algo que actualmente no puede ocurrir: "Este fallo facilita el compromiso teórico de la seguridad. Sin embargo, un ataque práctico es normalmente imposible."
Vulnerabilidad en PHP (CVE-2019-9641)
Gravedad:
AltaAlta
Publication date: 08/03/2019
Last modified:
18/06/2019
Descripción:
Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura no inicializada en exif_process_IFD_in_TIFF.
Vulnerabilidad en PHP (CVE-2019-9640)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
03/06/2019
Descripción:
Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura inválida en exif_process_SOFn.
Vulnerabilidad en PHP (CVE-2019-9639)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
03/06/2019
Descripción:
Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura no inicializada en exif_process_IFD_in_MAKERNOTE debido a la mala gestión de la variable data_len.
Vulnerabilidad en PHP (CVE-2019-9638)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
03/06/2019
Descripción:
Se ha detectado un fallo en el componente EXIF en PHP, en versiones anteriores a la 7.1.27, en las 7.2.x anteriores a la 7.2.16 y en las 7.3.x anteriores a la 7.3.3. Hay una lectura no inicializada en exif_process_IFD_in_MAKERNOTE debido a la mala gestión de maker_note->offset relationship en value_len.
Vulnerabilidad en Artifex Ghostscript (CVE-2018-19477)
Gravedad:
MediaMedia
Publication date: 23/11/2018
Last modified:
25/04/2019
Descripción:
psi/zfjbig2.c en Artifex Ghostscript en versiones anteriores a la 9.26 permite a los atacantes remotos omitir las restricciones de acceso planeadas debido a una confusión del tipo JBIG2Decode.
Vulnerabilidad en Aritifex Ghostscript (CVE-2018-19476)
Gravedad:
MediaMedia
Publication date: 23/11/2018
Last modified:
25/04/2019
Descripción:
psi/zicc.c en Artifex Ghostscript en versiones anteriores a la 9.26 permite a los atacantes remotos omitir las restricciones de acceso planeadas debido a una confusión del tipo setcolorspace.
Vulnerabilidad en Artifex Ghostscript (CVE-2018-19475)
Gravedad:
MediaMedia
Publication date: 23/11/2018
Last modified:
02/10/2019
Descripción:
psi/zdevice2.c en Artifex Ghostscript en versiones anteriores a la 9.26 permite a los atacantes remotos omitir las restricciones de acceso planeadas debido a que el espacio de pila disponible no se comprueba cuando el dispositivo no cambia.
Vulnerabilidad en Artifex Ghostscript (CVE-2018-16540)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
25/04/2019
Descripción:
En Artifex Ghostscript en versiones anteriores a la 9.24, los atacantes que puedan proporcionar archivos PostScript manipulados al convertidor PDF14 integrado podrían emplear un uso de memoria previamente liberada en el manejo de copydevice para provocar el cierre inesperado del intérprete u otro tipo de impacto sin especificar.
Vulnerabilidad en MIT krb5 (CVE-2018-5729)
Gravedad:
MediaMedia
Publication date: 06/03/2018
Last modified:
21/01/2020
Descripción:
MIT krb5, en versiones 1.6 o posteriores, permite que un kadmin autenticado con permiso para añadir entidades de seguridad a una base de datos LDAP Kerberos provoque una denegación de servicio (desreferencia de puntero NULL) u omita una comprobación de contenedor DN proporcionando datos etiquetados internos del módulo de la base de datos.
Vulnerabilidad en MIT krb5 (CVE-2018-5730)
Gravedad:
MediaMedia
Publication date: 06/03/2018
Last modified:
21/01/2020
Descripción:
MIT krb5, en versiones 1.6 o posteriores, permite que un kadmin autenticado con permiso para añadir entidades de seguridad a una base de datos LDAP Kerberos sortee una comprobación de containership DN proporcionando argumentos "linkdn" y "containerdn" de la base de datos, o proporcionando una cadena DN, que es una extensión a la izquierda de una cadena DN de contenedor pero que, jerárquicamente, no está dentro del contenedor DN.