Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en GNU recutils (CVE-2019-11640)
Gravedad:
MediaMedia
Publication date: 01/05/2019
Last modified:
24/08/2020
Descripción:
Se descubrió un problema en GNU recutils versión 1.8. Hay un desbordamiento de búfer basado en memoria dinámica (heap) en la función rec_fex_parse_str_simple en rec-fex.c en librec.a.
Vulnerabilidad en GNU recutils (CVE-2019-11639)
Gravedad:
MediaMedia
Publication date: 01/05/2019
Last modified:
24/08/2020
Descripción:
Se descubrió un problema en GNU recutils versión 1.8. Hay un desbordamiento de búfer basado en pila en la función rec_type_check_enum en rec-types.c en librec.a.
Vulnerabilidad en GNU recutils (CVE-2019-11638)
Gravedad:
MediaMedia
Publication date: 01/05/2019
Last modified:
01/05/2019
Descripción:
Se descubrió un problema en GNU recutils versión 1.8. Hay una desreferencia de un puntero NULL en la función rec_field_name_equal_p en rec-field-name.c en librec.a, lo que conduce a un cierre inesperado
Vulnerabilidad en GNU recutils (CVE-2019-11637)
Gravedad:
MediaMedia
Publication date: 01/05/2019
Last modified:
01/05/2019
Descripción:
Se descubrió un problema en GNU recutils versión 1.8. Hay una desreferencia de un puntero NULL en la función rec_rset_get_props en rec-rset.c en librec.a, lo que conduce a un cierre inesperado
Vulnerabilidad en Apache (CVE-2019-0213)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
En Apache Archiva anterior a versión 2.2.4, puede ser posible almacenar código XSS malicioso en entradas de configuración central, es decir, la URL logo. La vulnerabilidad es considerada un riesgo menor, ya que solo los usuarios con rol de administrador pueden cambiar la configuración, o la comunicación entre el navegador y el servidor Archiva debe verse comprometida.
Vulnerabilidad en Apache Archiva (CVE-2019-0214)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
03/05/2019
Descripción:
En Apache Archiva versiones desde la 2.0.0 hasta la 2.2.3, es posible escribir archivos en archiva server, en ubicaciones arbitrarias utilizando el mecanismo artifact upload. Los archivos existentes pueden sobrescribirse, si el usuario de la ejecución de archiva tiene el permiso apropiado en el sistema de archivos para el archivo de destino.
Vulnerabilidad en doorGets (CVE-2019-11626)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
routers/ajaxRouter.php in doorGets versión 7.0 tiene una vulnerabilidad de fuga de ruta física en el sitio web, como lo demuestra una solicitud ajax/index.php?uri=1234%5c.
Vulnerabilidad en doorGets (CVE-2019-11623)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
doorGets 7.0 tiene una vulnerabilidad de inyección SQL en /doorgets/app/requests/user/configurationRequest.php cuando action=siteweb. Un usuario con privilegios de administrador de fondo remoto (o un usuario con permiso para administrar la configuración de siteweb) podría explotar la vulnerabilidad para obtener información confidencial de la base de datos.
Vulnerabilidad en doorGets (CVE-2019-11622)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
doorGets 7.0 tiene una vulnerabilidad de inyección SQL en /doorgets/app/requests/user/modulecategoryRequest.php. Un usuario con privilegios de administrador remoto en segundo plano (o un usuario con permiso para gestionar modulecategory) podría explotar la vulnerabilidad para obtener información confidencial de la base de datos a través de modulecategory_edit_titre.
Vulnerabilidad en doorGets (CVE-2019-11621)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
doorGets 7.0 tiene una vulnerabilidad de inyección SQL en /doorgets/app/requests/user/configurationRequest.php cuando action=network. Un usuario con privilegios de administrador de fondo remoto (o un usuario con permiso para administrar la configuración de la red) podría explotar la vulnerabilidad para obtener información confidencial de la base de datos.
Vulnerabilidad en doorGets (CVE-2019-11620)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
doorGets 7.0 tiene una vulnerabilidad de inyección SQL en /doorgets/app/requests/user/modulecategoryRequest.php. Un usuario con privilegios de administrador remoto en segundo plano (o un usuario con permiso para gestionar modulecategory) podría explotar la vulnerabilidad para obtener información confidencial de la base de datos a través de modulecategory_add_titre.
Vulnerabilidad en doorGets (CVE-2019-11618)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets 7.0 tiene una vulnerabilidad predeterminada de credenciales de administrador. Un atacante remoto puede utilizar esta vulnerabilidad para obtener privilegios de administrador para la creación y modificación de artículos a través de un access_token H0XZlT44FcN1j9LTdFc5XRXhlF30UaGe1g3cZY6i1K9 en un uri=blog&action=index&controller=blog action to /api/index.php.
Vulnerabilidad en doorGets (CVE-2019-11617)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
doorGets 7.0 tiene una vulnerabilidad CSRF en /doorgets/app/requests/user/configurationRequest.php. Un atacante remoto puede aprovechar esta vulnerabilidad para modificar el "código de Google Analytics".
Vulnerabilidad en doorGets (CVE-2019-11616)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets 7.0 tiene una vulnerabilidad de divulgación de información sensible en /setup/temp/admin.php y /setup/temp/database.php. Un atacante remoto no autenticado podría explotar esta vulnerabilidad para obtener la contraseña de administrador.
Vulnerabilidad en doorGets (CVE-2019-11615)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
/fileman/php/upload.php en doorGets versión 7.0 tiene una vulnerabilidad de carga de archivos arbitraria. Un usuario normal autenticado y en remoto puede utilizar esta vulnerabilidad para cargar archivos de puerta trasera y controlar el servidor.
Vulnerabilidad en doorGets (CVE-2019-11614)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/05/2019
Descripción:
doorGets 7.0 tiene una vulnerabilidad de inyección SQL en /doorgets/app/views/ajax/commentView.php. Un atacante remoto no autorizado podría explotar la vulnerabilidad para obtener información confidencial de la base de datos.
Vulnerabilidad en doorGets (CVE-2019-11611)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets 7.0 tiene una vulnerabilidad de divulgación de información sensible en /fileman/php/download.php. Un atacante remoto no autenticado puede explotar esta vulnerabilidad para obtener información sensible al servidor.
Vulnerabilidad en doorGets (CVE-2019-11610)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets versión 7.0 tiene una vulnerabilidad de divulgación de información sensible en /fileman/php/copyfile.php. Un atacante remoto no autenticado puede explotar esta vulnerabilidad para obtener información sensible del servidor.
Vulnerabilidad en doorGets (CVE-2019-11609)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets versión 7.0 tiene una vulnerabilidad de divulgación de información sensible en /fileman/php/movefile.php. Un atacante remoto no autenticado puede explotar esta vulnerabilidad para obtener información sensible del servidor o hacer el servidor inservible.
Vulnerabilidad en doorGets (CVE-2019-11608)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets 7.0 tiene una vulnerabilidad de divulgación de información sensible en /fileman/php/renamefile.php. Un atacante remoto no autenticado puede explotar esta vulnerabilidad para obtener información confidencial del servidor o hacer que el servidor no funcione.
Vulnerabilidad en doorGets (CVE-2019-11607)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets versión 7.0 tiene una vulnerabilidad de divulgación de información sensible en /fileman/php/copydir.php. Un atacante remoto no autenticado puede explotar esta vulnerabilidad para obtener información sensible del servidor.
Vulnerabilidad en doorGets (CVE-2019-11606)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
doorGets versión 7.0 tiene una vulnerabilidad de divulgación de información sensible en /fileman/php/copyfile.php. Un atacante remoto no autenticado puede explotar esta vulnerabilidad para obtener información sensible del servidor.
Vulnerabilidad en Xiaomi (CVE-2018-20823)
Gravedad:
MediaMedia
Publication date: 25/04/2019
Last modified:
01/05/2019
Descripción:
El giroscopio en los dispositivos Xiaomi Mi 5s permite a los atacantes causar una denegación de servicio (resonancia y datos falsos) a través de una señal de audio de 20.4 kHz, también conocido como ataque de ultrasonido MEMS.
Vulnerabilidad en nopCommerce (CVE-2019-11519)
Gravedad:
MediaMedia
Publication date: 25/04/2019
Last modified:
01/05/2019
Descripción:
Libraries/Nop.Services/Localization/LocalizationService.cs en nopCommerce en la versión 4.10, permite XEE a través de la pantalla "Configurations -> Languages -> Edit Language -> Import Resources -> Upload XML file".
Vulnerabilidad en CMS SOY (CVE-2019-11376)
Gravedad:
MediaMedia
Publication date: 20/04/2019
Last modified:
22/04/2019
Descripción:
** EN DISPUTA ** CMS SOY, versión 3.0.2, permite a los atacantes remotos ejecutar código PHP arbitrario a través de una subcadena en el segundo cuadro de texto
Vulnerabilidad en la extensión PHP EXIF (CVE-2019-11035)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
03/06/2019
Descripción:
Al procesar ciertos archivos, la extensión PHP EXIF en las versiones 7.1.x anteriores a la 7.1.28, 7.2.x anteriores a la 7.2.17 y 7.3.x anteriores a la 7.3.4 puede hacer que se lea el búfer asignado en la función exif_iif_add_value. Esto puede conducir a la revelación de información o a un cierre inesperado.
Vulnerabilidad en la extensión PHP EXIF (CVE-2019-11034)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
03/06/2019
Descripción:
Al procesar ciertos archivos, la extensión PHP EXIF en las versiones 7.1.x anteriores a la 7.1.28, 7.2.x anteriores a la 7.2.17 y 7.3.x anteriores a la 7.3.4 puede hacer que se lea el buffer asignado en la función exif_process_IFD_TAG. Esto puede conducir a la revelación de información o a un cierre inesperado.
Vulnerabilidad en libvirt-domain.c en libvirt (CVE-2016-10746)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
01/05/2019
Descripción:
libvirt-domain.c en libvirt versiones anteriores a la 1.3.1 soporta las llamadas a la API virDomainGetTime por agentes invitados con una conexión RO, aunque se suponía que se requería una conexión RW, es una vulnerabilidad diferente de CVE-2019-3886.
Vulnerabilidad en En PostgreSQL,la función "COPIAR HACIA / DESDE EL PROGRAMA" (CVE-2019-9193)
Gravedad:
AltaAlta
Publication date: 01/04/2019
Last modified:
10/02/2020
Descripción:
** EN DISPUTA ** En PostgreSQL 9.3 a 11.2, la función "COPIAR HACIA / DESDE EL PROGRAMA" permite a los superusuarios y usuarios en el grupo 'pg_execute_server_program' ejecutar código arbitrario en el contexto del usuario del sistema operativo de la base de datos. Esta funcionalidad está habilitada de manera predeterminada y se puede abusar para ejecutar comandos arbitrarios del sistema operativo en Windows, Linux y macOS. NOTA: Los terceros reclaman / afirman que esto no es un problema porque la funcionalidad de PostgreSQL para "COPIAR HACIA / DESDE EL PROGRAMA" está actuando según lo previsto. Las referencias indican que en PostgreSQL, un superusuario puede ejecutar comandos como usuario del servidor sin usar la "COPIA DEL PROGRAMA".
Vulnerabilidad en Microstrategy Analytics (CVE-2018-18696)
Gravedad:
MediaMedia
Publication date: 28/12/2018
Last modified:
15/05/2019
Descripción:
** EN DISPUTA ** main.aspx en Microstrategy Analytics 10.4.0026.0049 y anteriores tiene Cross-Site Request Forgery (CSRF). NOTA: El fabricante alega que ha provisto documentación para prevenir un ataque CSRF (https://community.microstrategy.com/s/article/KB37643-New-security-feature-introduced-in-MicroStrategy-Web-9-0?language=en_US) y no está conforme con que este fallo sea catalogado como una vulnerabilidad. También alega que MicroStrategy nunca fue debidamente informada de este fallo a través de los canales normales o la página de reporte de vulnerabilidades en su sitio web, por lo que no pudieron evaluar el informe o explicar cómo es que esto es algo que sus clientes ven como una característica y no como una vulnerabilidad de seguridad.
Vulnerabilidad en nc-cms (CVE-2018-18290)
Gravedad:
BajaBaja
Publication date: 14/10/2018
Last modified:
04/12/2018
Descripción:
** EN DISPUTA ** Se ha descubierto un problema en nc-cms hasta el 10/03/2017. index.php?action=edit_htmlname=home_content permite Cross-Site Scripting (XSS) mediante el editor de código fuente HTML. Nota: el proveedor indica que el formulario requiere privilegios de administrador, y la introducción de JavaScript es compatible con la funcionalidad.
Vulnerabilidad en Wave_read._read_fmt_chunk en Python (CVE-2017-18207)
Gravedad:
MediaMedia
Publication date: 01/03/2018
Last modified:
21/01/2020
Descripción:
** EN DISPUTA ** La función Wave_read._read_fmt_chunk en Lib/wave.py en Python, hasta la versión 3.6.4, no garantiza un valor de canal nonzero, lo que permite que atacantes remotos provoquen una denegación de servicio (error de división entre cero y cierre inesperado de la aplicación) mediante un archivo de audio wav manipulado. NOTA: el vendedor informa que las aplicaciones de Python "necesitan estar preparadas para manejar una amplia variedad de excepciones".
Vulnerabilidad en el método where en Ruby on Rails (CVE-2017-17917)
Gravedad:
MediaMedia
Publication date: 29/12/2017
Last modified:
10/01/2018
Descripción:
** EN DISPUTA ** Vulnerabilidad de inyección SQL en el método "where" en Ruby on Rails 5.1.4 y anteriores permite que atacantes remotos ejecuten comandos SQL arbitrarios mediante el parámetro "id". NOTA: El proveedor defiende que la documentación indica que este método no está diseñado para ser utilizado con datos no confiables.
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9851)
Gravedad:
MediaMedia
Publication date: 05/08/2017
Last modified:
02/10/2019
Descripción:
** EN DISPUTA** Se ha descubierto un problema en productos SMA Solar Technology. La aplicación puede bloquearse mediante el envío de datos sin sentido o configurando una sesión TELNET al puerto de la base de datos de Sunny Explorer. NOTA: El proveedor informa de que el máximo daño posible es un fallo de comunicación. Además, sólo Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30 podrían verse afectados.
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9858)
Gravedad:
MediaMedia
Publication date: 05/08/2017
Last modified:
21/08/2017
Descripción:
**EN DISPUTA** Se ha descubierto un problema en productos SMA Solar Technology. Se pueden determinar cuáles son las cuentas de usuario activas e inactivas mediante el envío de paquetes manipulados a un inversor y observando la respuesta. Esto sirve de ayuda en ataques posteriores (como los ataques de fuerza bruta), ya que el atacante puede conocer exactamente qué usuarios existen y cuáles no. NOTA: La posición del fabricante es que "no es una brecha de seguridad per se." También, únicamente podrían estar potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9857)
Gravedad:
MediaMedia
Publication date: 05/08/2017
Last modified:
21/08/2017
Descripción:
**EN DISPUTA** Se ha descubierto un problema en productos SMA Solar Technology. El protocolo de comunicación SMAdata2+ no emplea correctamente la autenticación con cifrado, por lo que es vulnerable a ataques Man-in-the-Middle, inyección de paquetes y ataques de replay. Cualquier cambio de configuración, paquete de autenticación, paquete de rastreo, etc., puede ser reproducido, inyectado o empleado para un Man-in-the-Middle. Todas las funcionalidades disponibles en Sunny Explorer pueden realizarse correctamente desde cualquier parte de la red siempre y cuando el atacante configure correctamente el paquete. Esto incluye el proceso de autenticación para todos los niveles de acceso (incluyendo aquellos que están ocultos) y el cambio de configuraciones según lo establecido por los derechos de acceso adquiridos. Además, debido al hecho de que el canal de comunicación SMAdata2+ no está cifrado, un atacante que entienda el protocolo será capaz de escuchar comunicaciones. NOTA: La posición del vendedor que la autenticación con cifrado no es requerida en una red aislada. También, únicamente podrían estar potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30.
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9856)
Gravedad:
MediaMedia
Publication date: 05/08/2017
Last modified:
02/10/2019
Descripción:
**EN DISPUTA** Se ha descubierto un problema en productos SMA Solar Technology. Las contraseñas interceptadas que se encuentran en de la comunicación SMAdata2+ se pueden descifrar con suma facilidad. Estas contraseñas se "cifran" empleando un algoritmo de cifrado muy sencillo. Esto permite que un atacante encuentre las contraseñas en texto plano y se autentique en el dispositivo. NOTA: El vendedor informa que únicamente podrían estar potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9860)
Gravedad:
AltaAlta
Publication date: 05/08/2017
Last modified:
02/10/2019
Descripción:
** EN DISPUTA ** Se ha descubierto un problema en productos SMA Solar Technology. Un atacante puede emplear Sunny Explorer o el protocolo de red SMAdata2+ para actualizar el dispositivo sin tener que autenticarse. Si un atacante es capaz de crear una versión personalizada del firmware que sea aceptada por el inversor, dicho inversor se volverá completamente vulnerable. Esto le permite al atacante hacer prácticamente cualquier cosa: dar acceso al sistema operativo local, crear una botnet, emplear los inversores como punto de entrada a una empresa, etc. NOTA: El vendedor informa que este ataque siempre ha sido bloqueado por "una comprobación final de integridad y compatibilidad". También, únicamente están potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30.
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9859)
Gravedad:
MediaMedia
Publication date: 05/08/2017
Last modified:
02/10/2019
Descripción:
**EN DISPUTA** Se ha descubierto un problema en productos SMA Solar Technology. Los inversores emplean un algoritmo de hash débil para cifrar la contraseña de peticiones REGISTER. Este algoritmo de hash se puede romper con relativa facilidad. Lo más probable es que un atacante sea capaz de descubrir la contraseña empleando crackers offline. Esta contraseña descubierta podrá emplearse para registrarse en los servidores SMA. NOTA: La posición del fabricante es que "nosotros consideramos que la probabilidad de algún tipo de manipulación exitosa es extremadamente baja." También, únicamente podrían estar potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9863)
Gravedad:
MediaMedia
Publication date: 05/08/2017
Last modified:
21/08/2017
Descripción:
** EN DISPUTA ** Se ha descubierto un problema en productos SMA Solar Technology. Si un usuario está ejecutando Sunny Explorer y, al mismo tiempo, visita un host malicioso, se puede usar el cross-site request forgery para cambiar la configuración en los inversores (por ejemplo, lanzando una petición POST para cambiar la contraseña de usuario). Todos los ajustes de Sunny Explorer disponibles para un usuario autenticado también lo estarán para el atacante. (En algunos casos, esto también incluye la modificación de ajustes a los que el usuario no puede acceder). Esto podría dar como resultado un dispositivo completamente comprometido. NOTA: El fabricante informa que esta explotación es improbable porque Sunny Explorer se utiliza en raras ocasiones. También, solamente se encuentran potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30.
Vulnerabilidad en porductos SMA Solar Technology (CVE-2017-9862)
Gravedad:
MediaMedia
Publication date: 05/08/2017
Last modified:
21/08/2017
Descripción:
** EN DISPUTA ** Se ha descubierto un problema en productos SMA Solar Technology. Cuando se inicia sesión en Sunny Explorer con una contraseña incorrecta, es posible crear un informe de depuración que contiene información relacionada con la aplicación y que permite que el atacante cree y guarde un archivo .txt con el contenido que estime oportuno. Un atacante podría emplear esta vulnerabilidad para divulgar información o para escribir un archivo en lugares normalmente inaccesibles del sistema local. NOTA: El fabricante reporta que "la información contenida en el informe de depuración tiene una importancia menor". También, solo podrían estar potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30
Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9861)
Gravedad:
AltaAlta
Publication date: 05/08/2017
Last modified:
21/08/2017
Descripción:
** EN DISPUTA ** Se ha descubierto un problema en productos SMA Solar Technology. La implementación SIP no emplea correctamente la autenticación con encriptación: es vulnerable a ataques de replay, ataques de inyección de paquetes o ataques Man-in-the-Middle. Un atacante es capaz de emplear SIP con éxito para comunicarse con el dispositivo desde cualquier lugar de la red LAN. El atacante podría emplear esta vulnerabilidad para bloquear el dispositivo, hacer que deje de comunicarse con los servidores SMA, explotar vulnerabilidades SIP conocidas o encontrar información sensible en las comunicaciones SIP. Además, debido al hecho de que el canal de comunicación SIP no está cifrado, un atacante que entienda el protocolo será capaz de escuchar comunicaciones. Por ejemplo, se pueden extraer las contraseñas. NOTA: La posición del vendedor es que la auntenticación con cifrado no es requerida en una red aislada. También, únicamente podrían estar potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30.
Vulnerabilidad en función PHP (CVE-2017-6441)
Gravedad:
MediaMedia
Publication date: 03/04/2017
Last modified:
10/04/2017
Descripción:
** EN DISPUTA ** El _zval_get_long_func_ex en Zend/zend_operators.c en PHP 7.1.2 permite a atacantes provocar una denegación de servicio (referencia al puntero NULL y caída de la aplicación) a través del uso manipulado de "declare(ticks=" en el script PHP. NOTA:El proveedor disputará la clasificación de esto como una vulnerabilidad, declarando: "Por favor, no solicite CVEs para los errores ordinarios. CVEs son relevantes sólo para problemas de seguridad".