Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Oracle VM VirtualBox (CVE-2019-2723)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones soportadas que se ven afectadas son las anteriores a la 5.2.28 y las anteriores a la 6.0.6. La vulnerabilidad fácilmente explotable permite a los atacantes con bajos privilegios acceder a la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden tener un impacto significativo en productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la adquisición de Oracle VM VirtualBox. CVSS 3.0 Base Score 8.8 (Impactos de Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en componente Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2722)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones soportadas que se ven afectadas son anteriores a la 5.2.28 y anteriores a la 6.0.6. La vulnerabilidad, que es fácilmente explotable, permite a los atacantes con privilegios bajos acceder a la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden tener un impacto significativo en productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Base Score 8.8 ((impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en componente Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2721)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones soportadas que se ven afectadas son anteriores a la 5.2.28 y anteriores a la 6.0.6. La vulnerabilidad, que es fácilmente explotable, permite a los atacantes con privilegios bajos acceder a la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden tener un impacto significativo en productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Base Score 8.8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en el plugin WP Statistics de WordPress (CVE-2019-10864)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
06/05/2019
Descripción:
El plugin WP Statistics en la versión 12.6.2 para WordPress tiene una vulnerabilidad XSS, permitiendo a un atacante remoto inyectar scripts web arbitrarios o HTML a través del Referer de cabecera mediante una petición GET.
Vulnerabilidad en Apache Zeppelin (CVE-2018-1328)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
Apache Zeppelin,versión anterior a 0.8.0, tenía un problema de XSS almacenado a través de los permisos de Note. Número publicado por "Josna Joseph".
Vulnerabilidad en coders/xwd.c en GraphicsMagick (CVE-2019-11474)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
coders/xwd.c en GraphicsMagick 1.3.31, permite a los atacantes causar una denegación de servicio (excepción en coma flotante y un cierre inesperado de la aplicación) al crear un archivo de imagen XWD, una vulnerabilidad diferente a CVE-2019-11008 y CVE-2019-11009.
Vulnerabilidad en coders/xwd.c en GraphicsMagick (CVE-2019-11473)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
22/05/2019
Descripción:
coders/xwd.c en GraphicsMagick 1.3.31 permite a los atacantes causar una denegación de servicio (lectura fuera de límites y el cierre inesperado de aplicaciones) al crear un archivo de imagen XWD, una vulnerabilidad diferente a CVE-2019-11008 y CVE-2019-11009.
Vulnerabilidad en ReadXWDImage (CVE-2019-11472)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
18/08/2020
Descripción:
ReadXWDImage en coders/xwd.c en el componente de análisis de imágenes XWD de ImageMagick 7.0.8-41 Q16 permite a los atacantes causar una denegación de servicio (error de división por cero) al crear un archivo de imagen XWD en el que el encabezado indica ni LSB primero ni MSB primero.
Vulnerabilidad en libheif (CVE-2019-11471)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
libheif 1.4.0 tiene un uso de memoria después de liberación en heif::HeifContext::Imagen::set_alpha_channel en heif_context.h porque heif_context.cc maneja mal las referencias a imágenes alfa no existentes.
Vulnerabilidad en ImageMagick (CVE-2019-11470)
Gravedad:
AltaAlta
Publication date: 23/04/2019
Last modified:
18/08/2020
Descripción:
El componente de análisis de cineon en ImageMagick 7.0.8-26 Q16, permite a los atacantes provocar una denegación de servicio (consumo incontrolado de recursos) creando una imagen Cineon con un tamaño de imagen declarado incorrecto. Esto se debe a que ReadCINImage en coders/cin.c carece de una comprobación de datos de imagen insuficientes en un archivo.
Vulnerabilidad en LibSass (CVE-2018-20822)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
LibSass 3.5.4 permite a los atacantes causar una denegación de servicio (recursión incontrolada en Sass::Complex_Selector::perform en ast.hpp y Sass::Inspect::operator en inspect.cpp).
Vulnerabilidad en Zoho ManageEngine Applications Manager (CVE-2019-11469)
Gravedad:
AltaAlta
Publication date: 23/04/2019
Last modified:
26/04/2019
Descripción:
Zoho ManageEngine Applications Manager, versiones desde 12 hasta 14, permite la inyección de SQL del resourceid FaultTemplateOptions.jsp. Posteriormente, un usuario no autenticado puede obtener la autoridad de SYSTEM en el servidor cargando un archivo malicioso a través de la función "Ejecutar acción(es) de programa".
Vulnerabilidad en Msvod (CVE-2019-11375)
Gravedad:
MediaMedia
Publication date: 20/04/2019
Last modified:
26/04/2019
Descripción:
Msvod v10 tiene una vulnerabilidad CSRF, para cambiar la información del usuario a través de admin/member/edit.html URI.
Vulnerabilidad en 74CMS (CVE-2019-11374)
Gravedad:
MediaMedia
Publication date: 20/04/2019
Last modified:
26/04/2019
Descripción:
74CMS v5.0.1 tiene una vulnerabilidad CSRF, para agregar un nuevo usuario administrador a través de index.php?m=Admin&c=admin&a=add URI.
Vulnerabilidad en Pacemaker (CVE-2019-3885)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
27/05/2019
Descripción:
En el software Pacemaker hasta la versión 2.0.1 inclusive, se encontró un defecto de uso que podía provocar la filtración de cierta información sensible a través de los registros del sistema.
Vulnerabilidad en Pacemaker (CVE-2018-16878)
Gravedad:
BajaBaja
Publication date: 18/04/2019
Last modified:
27/05/2019
Descripción:
Se encontró un fallo en el software Pacemaker hasta la versión 2.0.1 inclusive. Una verificación insuficiente de los procesos preferentes no controlados puede llevar a una condición de denegación de servicios (DoS).
Vulnerabilidad en Pacemaker (CVE-2018-16877)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
02/10/2019
Descripción:
Se encontró un fallo en la forma en que se implementó la autenticación cliente-servidor del software Pacemaker, en versiones hasta la 2.0.0 inclusive. Un atacante local podría utilizar este fallo, y combinarlo con otras debilidades del IPC, para lograr una escalada de privilegios locales.
Vulnerabilidad en Jenkins ontrack (CVE-2019-10306)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
02/10/2020
Descripción:
Una vulnerabilidad de bypass en una sandbox de Jenkins ontrack Plugin 3.4 y anteriores permitía a los atacantes con control sobre las definiciones DSL de ontrack ejecutar código arbitrario en la JVM maestra de Jenkins.
Vulnerabilidad en el plugin XebiaLabs XL de Jenkins (CVE-2019-10305)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
02/10/2020
Descripción:
Una falta de comprobación de permisos en el plugin de despliegue XebiaLabs XL de Jenkins en el método de validación de formulario Credential#doValidateUserNamePassword permite a los atacantes con permiso Overall/Read iniciar una conexión con un servidor especificado por el atacante.
Vulnerabilidad en el plugin XebiaLabs XL Deploy de Jenkins (CVE-2019-10304)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad ross-site request forgery en el plugin XebiaLabs XL Deploy de Jenkins, en el método de validación de formulario Credential#doValidateUserNamePassword permite a los atacantes iniciar una conexión con un servidor especificado por el atacante.
Vulnerabilidad en Jenkins Azure (CVE-2019-10303)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
02/10/2020
Descripción:
Jenkins Azure PublisherSettings Credentials Plugin version 1.2 y anteriores, tiene las credenciales almacenadas sin cifrar en el archivo credenciales.xml en el servidor maestro de Jenkins donde pueden ser vistas por los usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en Jenkins (CVE-2019-10302)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
02/10/2020
Descripción:
Jenkins jira-ext Plugin 0.8 y anteriores, contiente credenciales almacenadas sin cifrar en su archivo de configuración global en el servidor maestro de Jenkins donde pueden ser vistos por los usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en Jenkins (CVE-2019-10301)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
01/10/2020
Descripción:
Una falta de comprobación de permisos en Jenkins GitLab Plugin versión 1.5.11 y anteriores, en el método de validación de formulario GitLabConnectionConnectionConfig#doTestConnection permitió a los atacantes con permiso Overall/Read conectarse a una URL especificada por el atacante, utilizando ID de credenciales especificadas por el atacante, y que fueron obtenidas por otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en Artifex Ghostscript (CVE-2018-16513)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
05/11/2019
Descripción:
En Artifex Ghostscript en versiones anteriores a la 9.24, los atacantes que puedan proporcionar archivos PostScript manipulados podrían emplear una confusión de tipos en la función setcolor para provocar el cierre inesperado del intérprete u otro tipo de impacto sin especificar.
Vulnerabilidad en Artifex Ghostscript (CVE-2018-15910)
Gravedad:
MediaMedia
Publication date: 27/08/2018
Last modified:
05/11/2019
Descripción:
En Artifex Ghostscript en versiones anteriores a la 9.24, los atacantes que puedan proporcionar archivos PostScript manipulados podrían emplear una confusión de tipos en el parámetro LockDistillerParams para provocar el cierre inesperado del intérprete o ejecutar código.