Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Sierra Wireless AirLink ES450 (CVE-2018-4071)
Gravedad:
MediaMedia
Publication date: 06/05/2019
Last modified:
08/05/2019
Descripción:
Existe una vulnerabilidad explotable de divulgación de información en la funcionalidad de ACEManager EmbeddedAceGet_Task.cgi de Sierra Wireless AirLink ES450 FW 4.9.3. El ejecutable EmbeddedAceTLGet_Task.cgi se utiliza para recuperar los valores de configuración MSCII dentro del gestor de configuración del AirLink ES450. Este binario no tiene ninguna configuración restringida, por lo que una vez que se descubre el MSCIID, cualquier usuario autenticado puede enviar cambios de configuración utilizando el endpoint /cgi-bin/Embedded_Ace_TLGet_Task.cgi.
Vulnerabilidad en Sierra Wireless AirLink ES450 (CVE-2018-4073)
Gravedad:
MediaMedia
Publication date: 06/05/2019
Last modified:
02/10/2019
Descripción:
Existe una vulnerabilidad explotable de Asignación de Permisos en la funcionalidad de ACEManager EmbeddedAceSet_Task.cgi de Sierra Wireless AirLink ES450 FW 4.9.3. El binario del endpoint /cgi-bin/Embeded_Ace_TLSet_Task.cgi es muy similar al endpoint que está diseñado para usar la tabla de valores de configuración que puede causar la escritura de ajustes aleatorios, resultando en cambios no verificados en cualquier configuración del sistema. Un atacante puede realizar una petición HTTP autenticada, o ejecutar el binario como cualquier usuario, para activar esta vulnerabilidad.
Vulnerabilidad en ElytronManagedThread del subsistemas Wildfly's Elytron (CVE-2019-3894)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
15/10/2020
Descripción:
Se descubrió que ElytronManagedThread del subsistemas Wildfly's Elytron en versiones desde 11 hasta la 16 almacena un SecurityIdentity para ejecutar el hilo. Estos hilos no necesariamente terminan si el tiempo de mantener activos no ha expirado. Esto podría permitir compartir el hilo para emplear una identidad de seguridad incorrecta al ejecutarse.