Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Google TensorFlow (CVE-2018-7576)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
25/04/2019
Descripción:
Google TensorFlow, versiones 1.6.x y anteriores, se ve afectado por: Desreferencia de puntero nulo. El tipo de explotación es: dependiente del contexto.
Vulnerabilidad en Google TensorFlow (CVE-2018-8825)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
25/04/2019
Descripción:
Google TensorFlow, versión 1.7 y anteriores, se ve afectado por: Desbordamiento de búfer. El impacto es: ejecutar código arbitrario (local).
Vulnerabilidad en NICE Engage (CVE-2019-7727)
Gravedad:
AltaAlta
Publication date: 23/04/2019
Last modified:
25/04/2019
Descripción:
En NICE Engage hasta la versión 6.5, la configuración predeterminada vincula una interfaz JMX/RMI no autenticada a todas las interfaces de red, sin restringir el registro de MBeans, lo que permite a los atacantes remotos ejecutar código arbitrario a través del protocolo RMI utilizando el conector JMX. El puerto TCP afectado es el 6338 pero, en función de la configuración del producto, podría ser otro el vulnerable.
Vulnerabilidad en el componente Oracle Knowledge de Oracle Siebel CRM (CVE-2019-2719)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
25/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Knowledge de Oracle Siebel CRM (subcomponente: Aplicaciones Web (InfoCenter)). Las versiones soportadas afectadas son 8.5.1.0 - 8.5.1.7, 8.6.0 y 8.6.1. La vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro Oracle Knowledge. Los ataques con éxito requieren la interacción humana de una persona que no sea el atacante y, aunque la vulnerabilidad está en Oracle Knowledge, los ataques pueden tener un impacto significativo en otros productos. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación no autorizada de algunos de los datos accesibles de Oracle Knowledge, así como en el acceso no autorizado de lectura a un subconjunto de datos accesibles de Oracle Knowledge. CVSS 3.0 Base Score 6.1 (impactos de Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Data Integrator de Oracle Fusion Middleware (CVE-2019-2720)
Gravedad:
BajaBaja
Publication date: 23/04/2019
Last modified:
25/04/2019
Descripción:
Vulnerabilidad en el componente Oracle Data Integrator de Oracle Fusion Middleware (subcomponente: ODI Tools). Las versiones compatibles afectadas son la 11.1.1.9.0 y la 12.2.1.3.0. La dificultad para explotar la vulnerabilidad permite que un atacante con un nivel bajo de privilegios y con acceso a la red a través de HTTP comprometa a Oracle Data Integrator. Los ataques con éxito de esta vulnerabilidad pueden dar lugar a un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Data Integrator. CVSS 3.0 Base Score 3.1 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N).
CVE-2019-10305
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
09/10/2019
Descripción:
Una falta de comprobación de permisos en el plugin de despliegue XebiaLabs XL de Jenkins en el método de validación de formulario Credential#doValidateUserNamePassword permite a los atacantes con permiso Overall/Read iniciar una conexión con un servidor especificado por el atacante.
Vulnerabilidad en urllib3 (CVE-2018-20060)
Gravedad:
MediaMedia
Publication date: 11/12/2018
Last modified:
02/10/2019
Descripción:
urllib3 en versiones anteriores a la 1.23 no elimina la cabecera HTTP Authorization al seguir una redirección cross-origin (i.e., una redirección que difiere en host, puerto o esquema). Esto puede permitir que las credenciales de la cabecera Authorization se expongan a hosts no planeados o se transmitan en texto claro.