Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en múltiples productos de Mozilla (CVE-2019-9801)
Gravedad:
MediaMedia
Publication date: 26/04/2019
Last modified:
29/04/2019
Descripción:
Firefox aceptará cualquier ID de programa registrado como gestor de protocolo externo y ofrecerá lanzar esta aplicación local cuando se le proporcione una URL correspondiente en los sistemas operativos Windows. Esto sólo debería ocurrir si el programa se ha registrado específicamente como un "manejador de URL" en el registro de Windows. *Nota: Este problema sólo afecta a los sistemas operativos Windows. Otros sistemas operativos no se ven afectados.*. Esta vulnerabilidad afecta a Thunderbird
Vulnerabilidad en Firefox en SO Android (CVE-2019-9798)
Gravedad:
MediaMedia
Publication date: 26/04/2019
Last modified:
24/08/2020
Descripción:
En los sistemas Android, Firefox puede cargar una libreria de APITRACE_LIB, que puede ser escrita por todos los usuarios y aplicaciones. Esto podría permitir que las aplicaciones maliciosas de terceros ejecuten un ataque man-in-the-middle si se ha escrito un código malicioso en esa ubicación y se ha cargado. *Nota: Este problema sólo afecta a Android. Otros sistemas operativos no se ven afectados.*. Esta vulnerabilidad afecta a Firefox versiones anteriores a 66.
Vulnerabilidad en Firefox (CVE-2019-9797)
Gravedad:
MediaMedia
Publication date: 26/04/2019
Last modified:
10/06/2019
Descripción:
Las imágenes de origen cruzado se pueden leer infringiendo la política del mismo origen al exportar una imagen después de utilizar createImageBitmap para leer la imagen y luego renderizar la imagen de mapa de bits resultante dentro de un elemento canvas. Esta vulnerabilidad afecta a Firefox, versiones anteriores a 66.
Vulnerabilidad en Thunderbird, Firefox ESR y Firefox (CVE-2019-9788)
Gravedad:
AltaAlta
Publication date: 26/04/2019
Last modified:
13/05/2019
Descripción:
Desarrolladores de Mozilla y miembros de la comunidad reportaron bugs en seguridad de memoria presentes en Firefox 65, Firefox ESR 60.5, y Thunderbird 60.5. Algunos de los bugs mostraron evidencias de corrupción de memoria y asumimos que con el suficiente esfuerzo esto podría ser explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Thunderbird
Vulnerabilidad en productos Pulse Secure (CVE-2019-11543)
Gravedad:
MediaMedia
Publication date: 26/04/2019
Last modified:
29/04/2020
Descripción:
Existe una vulnerabilidad Cross-site scripting (XSS), en la consola web de administración de Pulse Secure Pulse Connect Secure (PCS) versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, y versiones 8.1RX anteriores a 8.1R15.1; Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2, versiones 5.4RX anteriores a 5.4R7.1, y versiones 5.2RX anteriores a 5.2R12.1
Vulnerabilidad en productos Pulse Secure (CVE-2019-11542)
Gravedad:
MediaMedia
Publication date: 26/04/2019
Last modified:
24/08/2020
Descripción:
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, versiones 8.2RX anteriores a 8.2R12.1, y versiones 8.1RX anteriores a 8.1R15.1; Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2, versiones 5.4RX anteriores a 5.4R7.1, versiones 5.3RX anteriores a 5.3R12.1, versiones 5.2RX anteriores a 5.2R12.1, y versiones 5.1RX anteriores a 5.1R15.1, un atacante autenticado (a través de la interfaz web de administración) puede enviar un mensaje especialmente diseñado que resulte en un desbordamiento de búfer basado en pila .
Vulnerabilidad en productos Pulse Secure (CVE-2019-11539)
Gravedad:
MediaMedia
Publication date: 26/04/2019
Last modified:
24/08/2020
Descripción:
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, versiones 8.2RX anteriores a 8.2R12.1, y versiones 8.1RX anteriores a 8.1R15.1; Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2, versiones 5.4RX anteriores a 5.4R7.1, versiones 5.3RX anteriores a 5.3R12.1, versiones 5.2RX anteriores a 5.2R12.1, y versiones 5.1RX anteriores a 5.1R15.1, la interfaz web de administración permite a un atacante autenticado inyectar y ejecutar comandos.
Vulnerabilidad en productos Pulse Secure (CVE-2019-11538)
Gravedad:
MediaMedia
Publication date: 26/04/2019
Last modified:
24/08/2020
Descripción:
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, versiones 8.2RX anteriores a 8.2R12.1, y versiones 8.1RX anteriores a 8.1R15.1, un problema NFS podría permitir a un atacante autenticado acceder al contenido de archivos arbitrarios en el dispositivo afectado.
Vulnerabilidad en Zoho ManageEngine ADSelfService Plus (CVE-2019-11511)
Gravedad:
MediaMedia
Publication date: 25/04/2019
Last modified:
03/06/2019
Descripción:
Zoho ManageEngine ADSelfService Plus, en versiones anteriores del build 5708, es vulnerable a un XSS a través de la API de aplicaciones móviles.
Vulnerabilidad en múltiples productos de TIBCO (CVE-2019-8995)
Gravedad:
MediaMedia
Publication date: 24/04/2019
Last modified:
09/10/2019
Descripción:
El cliente de espacio de trabajo, el cliente de espacio abierto y el cliente de desarrollo de aplicaciones de TIBCO Software Inc. de TIBCO ActiveMatrix BPM, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric y TIBCO Silver Fabric Enabler para ActiveMatrix BPM contienen una vulnerabilidad en la que una URL maliciosa podría engañar a un usuario para que visite un sitio web elegido por el atacante. Las versiones afectadas son TIBCO Software Inc.'s TIBCO ActiveMatrix BPM: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix BPM Distribution for TIBCO Silver Fabric: versiones hasta 4.2.0 inclusive, y TIBCO Silver Fabric Enabler for ActiveMatrix BPM: versiones hasta 1.4.1 inclusive.
Vulnerabilidad en múltiples productos de TIBCO (CVE-2019-11203)
Gravedad:
MediaMedia
Publication date: 24/04/2019
Last modified:
24/08/2020
Descripción:
El cliente de espacio de trabajo, el cliente de espacio abierto, el cliente de desarrollo de aplicaciones y la API REST de TIBCO Software Inc. de TIBCO ActiveMatrix BPM, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric y TIBCO Silver Fabric Enabler para ActiveMatrix BPM contienen vulnerabilidades de XSS y CSRF. Las versiones afectadas son TIBCO Software Inc.'s TIBCO ActiveMatrix BPM: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix BPM Distribution for TIBCO Silver Fabric: versiones hasta 4.2.0 inclusive, y TIBCO Silver Fabric Enabler for ActiveMatrix BPM: versiones hasta 1.4.1 inclusive.
Vulnerabilidad en múltiples productos de TIBCO (CVE-2019-8991)
Gravedad:
MediaMedia
Publication date: 24/04/2019
Last modified:
24/08/2020
Descripción:
La interfaz web de administrador de TIBCO Software Inc. para TIBCO ActiveMatrix BPM, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric, TIBCO ActiveMatrix Policy Director, TIBCO ActiveMatrix Service Bus, TIBCO ActiveMatrix Service Grid, TIBCO Silver Fabric Enabler para ActiveMatrix BPM y TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid contienen múltiples vulnerabilidades que pueden permitir ataques XSS y CSRF. Las versiones afectadas son TIBCO Software Inc., TIBCO ActiveMatrix BPM: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix Policy Director: versiones hasta 1.1.0 inclusive, TIBCO ActiveMatrix Service Bus: versiones hasta 3.3.0 inclusive, TIBCO ActiveMatrix Service Grid: versiones hasta 3.3.1 inclusive, TIBCO Silver Fabric Enabler para ActiveMatrix BPM: versiones hasta 1.4.1 inclusive y TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid: versiones hasta 1.3.1 inclusive.
Vulnerabilidad en múltiples productos de TIBCO (CVE-2019-8992)
Gravedad:
MediaMedia
Publication date: 24/04/2019
Last modified:
09/10/2019
Descripción:
El componente de servidor administrativo de TIBCO Software Inc.TIBCO ActiveMatrix BPM, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric, TIBCO ActiveMatrix Policy Director, TIBCO ActiveMatrix Service Bus, TIBCO ActiveMatrix Service Grid, TIBCO ActiveMatrix Service Grid Distribution para TIBCO Silver Fabric, TIBCO Silver Fabric Enabler para ActiveMatrix BPM, y TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid contiene una vulnerabilidad en la que un usuario sin privilegios para cargar archivos de aplicaciones distribuidos (permiso "Upload DAA") puede teóricamente cargar código arbitrario y, en algunas circunstancias, ejecutar ese código en nodos de ActiveMatrix Service Grid. Las versiones afectadas son TIBCO Software Inc.'s TIBCO ActiveMatrix BPM: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix Policy Director: versiones hasta 1.1.0 inclusive, TIBCO ActiveMatrix Service Bus: versiones hasta 3.3.0 inclusive, TIBCO ActiveMatrix Service Grid: versiones hasta 3.3.1 inclusive, TIBCO ActiveMatrix Service Grid Distribution para TIBCO Silver Fabric: versiones hasta 3.3.0 inclusive, TIBCO Silver Fabric Enabler para ActiveMatrix BPM: versiones hasta 1.4.1 inclusive y TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid: versiones hasta 1.3.1 inclusive.
Vulnerabilidad en múltiples productos de TIBCO (CVE-2019-8993)
Gravedad:
MediaMedia
Publication date: 24/04/2019
Last modified:
24/08/2020
Descripción:
El componente de servidor web administrativo de TIBCO Software Inc.TIBCO ActiveMatrix BPM, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric, TIBCO ActiveMatrix Policy Director, TIBCO ActiveMatrix Service Bus, TIBCO ActiveMatrix Service Grid, TIBCO ActiveMatrix Service Grid Distribution para TIBCO Silver Fabric, TIBCO Silver Fabric Enabler para ActiveMatrix BPM y TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid contienen una vulnerabilidad que teóricamente podría permitir a un usuario no autenticado descargar un archivo con información de credenciales. Las versiones afectadas son TIBCO Software Inc.'s TIBCO ActiveMatrix BPM: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix BPM Distribution para TIBCO Silver Fabric: versiones hasta 4.2.0 inclusive, TIBCO ActiveMatrix Policy Director: versiones hasta 1.1.0 inclusive, TIBCO ActiveMatrix Service Bus: versiones hasta 3.3.0 inclusive, TIBCO ActiveMatrix Service Grid: versiones hasta 3.3.1 inclusive, TIBCO ActiveMatrix Service Grid Distribution para TIBCO Silver Fabric: versiones hasta 3.3.0 inclusive, TIBCO Silver Fabric Enabler para ActiveMatrix BPM: versiones hasta 1.4.1 inclusive y TIBCO Silver Fabric Enabler para ActiveMatrix Service Grid: versiones hasta 1.3.1 inclusive.
Vulnerabilidad en Oracle MySQL (CVE-2019-2683)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Options). Las versiones compatibles que se han visto afectadas son la 5.6.43 y anteriores, la 5.7.25 y anteriores y la 8.0.15 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2019-2627)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Security: Privileges). Las versiones compatibles que se han visto afectadas son la 5.6.43 y anteriores, la 5.7.25 y anteriores y la 8.0.15 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2019-2614)
Gravedad:
BajaBaja
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Replication). Las versiones compatibles que se han visto afectadas son la 5.6.43 y anteriores, la 5.7.25 y anteriores y la 8.0.15 y anteriores. Una vulnerabilidad difícilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.4 (impactos de disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2019-2581)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Optimizer). Las versiones compatibles que se han visto afectadas son la 5.7.25 y anteriores y la 8.0.15 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2019-2566)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Audit Plug-in). Las versiones compatibles que se han visto afectadas son la 5.7.25 y anteriores y la 8.0.15 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa el servidor MySQL. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Mercurial (CVE-2019-3902)
Gravedad:
MediaMedia
Publication date: 22/04/2019
Last modified:
31/07/2020
Descripción:
Se encontró un defecto en Mercurial, en versiones anteriores a la 4.9. Era posible utilizar enlaces simbólicos y subrepositorios para acabar con la lógica de comprobación de rutas de Mercurial y escribir archivos fuera de un repositorio.
Vulnerabilidad en libvirt (CVE-2019-3886)
Gravedad:
MediaMedia
Publication date: 04/04/2019
Last modified:
19/06/2019
Descripción:
Se ha descubierto una comprobación de permisos incorrecta en versiones de libvirt 4.8.0 y superiores. Se ha permitido que el permiso de solo lectura invoque API dependiendo del agente invitado, lo que podría conducir a una potencial divulgación de información no intencionada o una denegación de servicio (DoS) provocando un bloqueo de libvirt.
Vulnerabilidad en API REST de ovirt (CVE-2019-3879)
Gravedad:
MediaMedia
Publication date: 25/03/2019
Last modified:
09/10/2019
Descripción:
Se ha observado que en la API REST de ovirt, en versiones anteriores a la 4.3.2.1, RemoveDiskCommand se activa como un comando interno, haciendo que se omita la validación del permiso que se debería ejecutar en el usuario que hace la llamada. Un usuario con bajos privilegios (p. ej., Basic Operations) podría explotar este error para eliminar discos conectados a invitados.
Vulnerabilidad en Grafana (CVE-2018-12099)
Gravedad:
MediaMedia
Publication date: 11/06/2018
Last modified:
29/04/2019
Descripción:
Grafana en versiones anteriores a la 5.2.0-beta1 tiene vulnerabilidades Cross-Site Scripting (XSS) en los enlaces del cuadro de mandos.
Vulnerabilidad en Ansible Tower (CVE-2018-1104)
Gravedad:
MediaMedia
Publication date: 02/05/2018
Last modified:
09/10/2019
Descripción:
Ansible Tower hasta la versión 3.2.3 tiene una vulnerabilidad que permite que usuarios que solo tienen acceso para definir variables para una plantilla de trabajo ejecuten código arbitrario en el servidor Tower.
Vulnerabilidad en Oracle MySQL (CVE-2018-2818)
Gravedad:
MediaMedia
Publication date: 19/04/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Security: Privileges). Las versiones compatibles que se han visto afectadas son la 05/05/1959 y anteriores, 05/06/1939 y anteriores, y la 05/07/2021 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2018-2817)
Gravedad:
MediaMedia
Publication date: 19/04/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: DDL). Las versiones compatibles que se han visto afectadas son la 05/05/1959 y anteriores, 05/06/1939 y anteriores, y la 05/07/2021 y anteriores. Un vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de MySQL Server. CVSS 3.0 Base Score 6.5 (Impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2018-2816)
Gravedad:
MediaMedia
Publication date: 19/04/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Optimizer). Las versiones compatibles que se han visto afectadas son la 05/07/2021 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle MySQL (CVE-2018-2813)
Gravedad:
MediaMedia
Publication date: 19/04/2018
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: DDL). Las versiones compatibles que se han visto afectadas son la 05/05/1959 y anteriores, 05/06/1939 y anteriores, y la 05/07/2021 y anteriores. Un vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de MySQL Server. CVSS 3.0 Base Score 4.3 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle MySQL (CVE-2018-2812)
Gravedad:
MediaMedia
Publication date: 19/04/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Optimizer). Las versiones compatibles que se han visto afectadas son la 05/07/2021 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de MySQL Server, así como la actualización, inserción o supresión sin autorización de algunos de los datos accesibles de MySQL Server. CVSS 3.0 Base Score 5.5 (impactos en la integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H).
Vulnerabilidad en systemd (CVE-2018-1049)
Gravedad:
MediaMedia
Publication date: 16/02/2018
Last modified:
09/10/2019
Descripción:
En systemd en versiones anteriores a la 234, existe una condición de carrera entre las unidades .mount y .automount, de forma que las peticiones automount del kernel podrían no ser ofrecidas por systemd. Esto resulta en que el kernel retiene el mountpoint y cualquier proceso que intente emplear este mount se bloqueará. Una condición de carrera como esta podría conducir a una denegación de servicio (DoS) hasta que los puntos de montaje se desmonten.
Vulnerabilidad en Atlassian Bamboo (CVE-2017-18042)
Gravedad:
MediaMedia
Publication date: 02/02/2018
Last modified:
29/04/2019
Descripción:
El recurso de actualización de administración de usuarios en Atlassian Bamboo, en versiones anteriores a la 6.3.1, permite que atacantes remotos modifiquen los datos de usuario, incluyendo las contraseñas, mediante una vulnerabilidad de Cross-Site Request Forgery (CSRF).
Vulnerabilidad en Atlassian Jira (CVE-2017-18039)
Gravedad:
MediaMedia
Publication date: 02/02/2018
Last modified:
29/04/2019
Descripción:
El recurso IncomingMailServers en Atlassian Jira desde la versión 6.2.1 hasta antes de la versión 7.4.4 permite que atacantes remotos inyecten HTML o JavaScript arbitrario mediante una vulnerabilidad cross-Site Scripting (XSS) en el parámetro messagesThreshold.
Vulnerabilidad en systemd-tmpfiles en systemd (CVE-2017-18078)
Gravedad:
MediaMedia
Publication date: 29/01/2018
Last modified:
02/10/2019
Descripción:
systemd-tmpfiles en systemd en versiones anteriores a la 237 intenta soportar cambios de propiedad/permisos en archivos con vínculos permanentes incluso aunque el sysctl fs.protected_hardlinks esté apagado. Esto permite que usuarios locales omitan las restricciones de acceso planeadas mediante vectores relacionados con un enlace permanente a un archivo para el que el usuario no tiene acceso de escritura, tal y como demuestra el cambio de propiedad del archivo /etc/passwd.
Vulnerabilidad en dovecot (CVE-2017-15132)
Gravedad:
MediaMedia
Publication date: 25/01/2018
Last modified:
09/10/2019
Descripción:
Se ha detectado un fallo en dovecot desde la versión 2.0 hasta la 2.2.33 y 2.3.0. El aborto de una autenticación SASL resulta en una fuga de memoria en el cliente de autenticación de dovecot utilizado por los procesos de inicio de sesión. La fuga provoca un impacto en la configuración de alto rendimiento en donde los mismos procesos de inicio de sesión se reutilizan y pueden provocar que el proceso se cierre de manera inesperada al agotarse la memoria.
Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2017-1665)
Gravedad:
MediaMedia
Publication date: 04/01/2018
Last modified:
29/04/2019
Descripción:
IBM Tivoli Key Lifecycle Manager 2.5, 2.6 y 2.7 utiliza algoritmos criptográficos más débiles de lo esperado que podrían permitir que un atacante descifre información altamente sensible. IBM X-Force ID: 133559.
Vulnerabilidad en Open Ticket Request System (CVE-2017-16854)
Gravedad:
MediaMedia
Publication date: 08/12/2017
Last modified:
29/04/2019
Descripción:
En Open Ticket Request System (OTRS) hasta la versión 3.3.20; en las versiones 4 hasta la 4.0.26; en las versiones 5 hasta la 5.0.24 y en las versiones 6 hasta la 6.0.1, un atacante que ha iniciado sesión como cliente puede emplear el formulario de búsqueda de tickets para revelar información interna de artículos de sus tickets de cliente.
Vulnerabilidad en Fluentd (CVE-2017-10906)
Gravedad:
AltaAlta
Publication date: 08/12/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de inyección de secuencias de escape en Fluentd en las versiones 0.12.29 hasta la 0.12.40 podría permitir que un atacante cambie la interfaz de usuario del terminal o ejecute comandos arbitrarios en el dispositivo mediante vectores sin especificar.
Vulnerabilidad en Konversation (CVE-2017-15923)
Gravedad:
MediaMedia
Publication date: 15/11/2017
Last modified:
02/10/2019
Descripción:
Las versiones 1.4.x, 1.5.x, 1.6.x y las versiones 1.7.x anteriores a la 1.7.3 de Konversation permiten que atacantes remotos provoquen una denegación de servicio (cierre inesperado) mediante vectores relacionados con el análisis sintáctico de códigos IRC de formato de color.
Vulnerabilidad en Internet Explorer en productos Microsoft (CVE-2017-11855)
Gravedad:
AltaAlta
Publication date: 15/11/2017
Last modified:
29/04/2019
Descripción:
Internet Explorer en Microsoft Windows 7 SP1, Windows Server 2008 SP2 y R2 SP1, Windows 8.1 y Windows RT 8.1, Windows Server 2012 y R2, Windows 10 Gold, 1511, 1607, 1703, 1709, Windows Server 2016 y Windows Server en su versión 1709 permite que un atacante obtenga los mismos derechos de usuario que el usuario actual debido a la manera en la que Internet Explorer gestiona los objetos en la memoria. Esta vulnerabilidad también se conoce como "Internet Explorer Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2017-11856.
Vulnerabilidad en el componente "Messages" en productos Apple (CVE-2017-13844)
Gravedad:
BajaBaja
Publication date: 13/11/2017
Last modified:
29/04/2019
Descripción:
Se ha descubierto un problema en algunos productos Apple. Las versiones de iOS anteriores a la 11.1 se han visto afectadas. El problema afecta al componente "Messages". Permite que los atacantes próximos físicamente visualicen fotos arbitrarias mediante una acción Reply With Message en el estado de bloqueo de pantalla.
Vulnerabilidad en GraphicsMagick (CVE-2017-16669)
Gravedad:
MediaMedia
Publication date: 08/11/2017
Last modified:
27/01/2020
Descripción:
coders/wpg.c en GraphicsMagick 7.0.6 permite que atacantes remotos provoquen una denegación de servicio (desbordamiento de búfer basado en memoria dinámica o heap y cierre inesperado de aplicación) o, probablemente, causen cualquier otro tipo de problema mediante un archivo manipulado. Esto está relacionado con la función AcquireCacheNexus en magick/pixel_cache.c.