Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Cloud Foundry UAA (CVE-2019-3788)
Gravedad:
MediaMedia
Publication date: 25/04/2019
Last modified:
09/10/2019
Descripción:
La versión UAA de Cloud Foundry, en versiones anteriores a la 71.0, permite a los clientes ser configurados con un uri de redirección inseguro. Dado que un cliente UAA se configuró con un comodín en el subdominio de redirección de uri, un usuario remoto malicioso no autenticado puede crear un enlace de phishing para obtener un código de acceso UAA de la víctima.
Vulnerabilidad en AudioCodes 405HD (CVE-2018-16216)
Gravedad:
AltaAlta
Publication date: 25/04/2019
Last modified:
02/10/2019
Descripción:
Una inyección de comando (falta de validación de entrada, escapado) en la monitorización o interfaz web de estado de la memoria en el teléfono VoIP AudioCodes 405HD (firmware 2.2.12) permite que un atacante remoto autenticado en la misma red que el dispositivo active comandos del sistema operativo (como iniciar telnetd o abrir un shell inverso) a través de una solicitud POST al servidor web. En combinación con otro ataque (cambio de contraseña no autenticada), el atacante puede eludir el requisito de autenticación.
Vulnerabilidad en Imperva SecureSphere (CVE-2018-16660)
Gravedad:
AltaAlta
Publication date: 25/04/2019
Last modified:
29/04/2019
Descripción:
Una vulnerabilidad de inyección de comandos en PWS en Imperva SecureSphere versión 13.0.0.10 y 13.1.0.10 Gateway, permite a un atacante con acceso autenticado ejecutar comandos arbitrarios del SO en una instalación vulnerable.
Vulnerabilidad en jQuery (CVE-2015-9251)
Gravedad:
MediaMedia
Publication date: 18/01/2018
Last modified:
10/06/2019
Descripción:
jQuery en versiones anteriores a la 3.0.0 es vulnerable a ataques de Cross-site Scripting (XSS) cuando se realiza una petición Ajax de dominios cruzados sin la opción dataType. Esto provoca que se ejecuten respuestas de texto/javascript.