Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Windows (CVE-2019-11888)
Gravedad:
AltaAlta
Publication date: 13/05/2019
Last modified:
24/08/2020
Descripción:
Repase la sección 1.12.5 de Windows, que trata mal la creación de procesos con un entorno nulo en combinación con un token no nulo, que permite a los atacantes obtener información confidencial u obtener privilegios.
Vulnerabilidad en módulo harp npm (CVE-2019-5438)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
09/10/2019
Descripción:
Salto de directorio utilizando symlink en versiones de módulo harp npm versiones
Vulnerabilidad en el módulo harp de npm (CVE-2019-5437)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
09/10/2019
Descripción:
La exposición de la información a través del listado de directorios en el módulo harp de npm permite acceder a archivos que se supone deben ser ignorados de acuerdo con las reglas del servidor harp. Las versiones vulnerables son las anteriores e incluyendo 0.29.0 y no se aplicó ninguna corrección en nuestro conocimiento.
Vulnerabilidad en kernel de Linux (CVE-2019-11884)
Gravedad:
BajaBaja
Publication date: 10/05/2019
Last modified:
24/08/2020
Descripción:
La función do_hidp_sock_ioctl en net/bluetooth/hidp/sock.c en el kernel de Linux, versiones anteriores a 5.0.15, permite a un usuario local obtener información potencialmente sensible de la memoria de la pila del kernel a través de un comando HIDPCONNNADD, ya que un campo de nombre puede no terminar con un carácter ` \0'.
Vulnerabilidad en driver NVIDIA Windows GPU Display (CVE-2019-5677)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
24/08/2020
Descripción:
El software NVIDIA Windows GPU Display driver para Windows (todas las versiones) contiene una vulnerabilidad en el controlador de la capa de modo del núcleo (nvlddmkm.sys) para DeviceIoControl, donde el software lee desde un búfer utilizando mecanismos de acceso al búfer como índices o punteros que hacen referencia a las ubicaciones de la memoria después del búfer en cuestión, lo que puede provocar la denegación de servicio.
Vulnerabilidad en GPU NVIDIA Windows Display (CVE-2019-5676)
Gravedad:
AltaAlta
Publication date: 10/05/2019
Last modified:
30/05/2019
Descripción:
El software controlador de la GPU NVIDIA Windows Display para Windows (todas las versiones) contiene una vulnerabilidad en la que carga incorrectamente las DLL del sistema Windows sin validar la ruta o la firma (también conocido como ataque de colocación de binarios o ataque de precarga de DLL), lo que provoca una escalada de privilegios a través de la ejecución de código.
Vulnerabilidad en driver NVIDIA Windows GPU Display para Windows (CVE-2019-5675)
Gravedad:
AltaAlta
Publication date: 10/05/2019
Last modified:
13/05/2019
Descripción:
El driver NVIDIA Windows GPU Display para Windows (todas las versiones) contiene una vulnerabilidad en el controlador de la capa de modo de kernel (nvlddmkm.sys) para DxgkDdiEscape, en la que el producto no sincroniza correctamente los datos compartidos, como las variables estáticas en los subprocesos, lo que puede provocar un comportamiento indefinido y cambios impredecibles en los datos, lo que puede provocar denegación de servicio, escalada de privilegios o divulgación de información.
Vulnerabilidad en WhatsApp para Android y en WhatsApp Business (CVE-2019-3566)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
15/05/2019
Descripción:
Se descubrió un error en la lógica de mensajería de WhatsApp para Android que permitiría potencialmente que un individuo malicioso que se haya encargado de la cuenta de un usuario de WhatsApp recupere los mensajes enviados anteriormente. Este comportamiento requiere un conocimiento independiente de los metadatos para los mensajes anteriores, que no están disponibles públicamente. Este problema afecta a WhatsApp para Android versión 2.19.52 y versión 2.19.54 - 2.19.103, así como a WhatsApp Business para Android comenzando en la versión v2.19.22 hasta v2.19.38.
Vulnerabilidad en openid.php en LightOpenID (CVE-2019-11066)
Gravedad:
AltaAlta
Publication date: 10/05/2019
Last modified:
13/05/2019
Descripción:
openid.php en LightOpenID hasta la versión 1.3.1 permite SSRF a través de una petición de aserción OpenID 2.0 creada utilizando el método HTTP GET.
Vulnerabilidad en U-Boot 2016.11-rc1 (CVE-2019-11059)
Gravedad:
AltaAlta
Publication date: 10/05/2019
Last modified:
13/05/2019
Descripción:
U-Boot 2016.11-rc1 hasta la versión 2019.04 maneja mal la extensión ext4 de 64 bits, resultando en un desbordamiento del buffer.
Vulnerabilidad en GitLab Enterprise Edition (CVE-2019-11000)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
24/08/2020
Descripción:
Se descubrió un problema en GitLab Enterprise Edition antes de la versión 11.7.11, 11.8.x anterior a la versión 11.8.7, y 11.9.x anterior a 11.9.7. Permite la Divulgación de Información.
Vulnerabilidad en Sqlite3 3.26.0 (CVE-2019-5018)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
21/05/2019
Descripción:
Existe una vulnerabilidad de uso de memoria previamente liberada en la función de ventana de Sqlite3 3.26.0. Un comando SQL especialmente diseñado puede causar un uso de memoria previamente liberada, resultando en la ejecución remota del código. Un atacante puede enviar un comando SQL malicioso para activar esta vulnerabilidad.
Vulnerabilidad en Dataset API en DKPro Core (CVE-2019-11082)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
10/05/2019
Descripción:
core/api/datasets/internal/actions/Explode.java en Dataset API en DKPro Core hasta 1.10.0 permite salto de directorio, lo que resulta en sobrescribir archivos locales con el contenido de un archivo.
Vulnerabilidad en OX Software GmbH App Suite (CVE-2017-12884)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
10/05/2019
Descripción:
OX Software GmbH App Suite 7.8.4 y anteriores se ve afectada por: Divulgación de información
Vulnerabilidad en IBM Business Automation Workflow (CVE-2019-4204)
Gravedad:
BajaBaja
Publication date: 10/05/2019
Last modified:
15/05/2019
Descripción:
IBM Business Automation Workflow, versiones 18.0.0.0.0.0, 18.0.0.1, 18.0.0.2 y 19.0.0.1, es vulnerable a los ataques XSS. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario de la Web, alterando así la funcionalidad prevista que puede conducir a la divulgación de credenciales dentro de una sesión de confianza. IBM X-Force ID: 159125.
Vulnerabilidad en IBM Cloud App Management (CVE-2018-1990)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
15/05/2019
Descripción:
IBM Cloud App Management V2018.2.0, V2018.4.0 y V2018.4.1 podría permitir a un atacante obtener información de configuración sensible utilizando una petición HTTP especialmente diseñada. IBM X-Force ID: 154283.
Vulnerabilidad en IBM Financial Transaction Manager (CVE-2018-1790)
Gravedad:
MediaMedia
Publication date: 10/05/2019
Last modified:
09/10/2019
Descripción:
IBM Financial Transaction Manager for Digital Payments for Multi-Platform 3.0.2 es vulnerable a ataques CSRF, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que confía el sitio web. IBM X-Force ID: 148944.
Vulnerabilidad en OpenMRS openmrs-module-htmlformormentry (CVE-2017-12795)
Gravedad:
AltaAlta
Publication date: 10/05/2019
Last modified:
10/05/2019
Descripción:
OpenMRS openmrs-module-htmlformormentry 3.3.2 se ve afectado por: (Verificación de entrada incorrecta)
Vulnerabilidad en Pulse Secure Pulse Connect Secure (PCS) (CVE-2019-11510)
Gravedad:
AltaAlta
Publication date: 08/05/2019
Last modified:
24/08/2020
Descripción:
En Pulse Secure Pulse Connect Secure (PCS) versión 8.2 en versiones anteriores a la 8.2R12.1, versión 8.3 en versiones anteriores a la 8.3R7.1 y versión 9.0 en versiones anteriores a la 9.0R3.4, un atacante remoto no autenticado puede enviar una URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria.
Vulnerabilidad en Network Time Protocol (NTP) (CVE-2019-11331)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
24/08/2020
Descripción:
Network Time Protocol (NTP), tal y como se especifica en el RFC 5905, utiliza el puerto 123 incluso para los modos en los que no se requiere un número de puerto fijo, lo que facilita a los atacantes remotos la realización de ataques fuera de ruta.
Vulnerabilidad en Adobe Acrobat Reader (CVE-2017-3124)
Gravedad:
AltaAlta
Publication date: 11/08/2017
Last modified:
21/08/2019
Descripción:
Adobe Acrobat Reader 2017.009.20058 y anteriores, 2017.008.30051 y anteriores, 2015.006.30306 y anteriores, y 11.0.20 y anteriores tiene una vulnerabilidad de corrupción de memoria en el módulo de parseo de formato de archivo picture exchange (PCX). La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe Acrobat Reader (CVE-2017-3123)
Gravedad:
AltaAlta
Publication date: 11/08/2017
Last modified:
21/08/2019
Descripción:
Adobe Acrobat Reader 2017.009.20058 y anteriores, 2017.008.30051 y anteriores, 2015.006.30306 y anteriores, y 11.0.20 y anteriores tiene una vulnerabilidad de corrupción de memoria en el motor de conversión de imagen cuando procesa datos de definición de posición de dibujo Enhanced Metafile Format (EMF). La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe Acrobat Reader (CVE-2017-3122)
Gravedad:
MediaMedia
Publication date: 11/08/2017
Last modified:
02/10/2019
Descripción:
Adobe Acrobat Reader 2017.009.20058 y anteriores, 2017.008.30051 y anteriores, 2015.006.30306 y anteriores, y 11.0.20 y anteriores tiene una vulnerabilidad de corrupción de memoria en el motor de conversión de imagen cuando procesa datos Enhanced Metafile Format (EMF) relacionados con las curvas Bezier. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe Acrobat Reader (CVE-2017-3121)
Gravedad:
AltaAlta
Publication date: 11/08/2017
Last modified:
21/08/2019
Descripción:
Adobe Acrobat Reader 2017.009.20058 y anteriores, 2017.008.30051 y anteriores, 2015.006.30306 y anteriores, y 11.0.20 y anteriores tiene una vulnerabilidad de corrupción de memoria en el parser Enhanced Metafile Format (EMF). La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe Acrobat Reader (CVE-2017-3120)
Gravedad:
AltaAlta
Publication date: 11/08/2017
Last modified:
21/08/2019
Descripción:
Adobe Acrobat Reader 2017.009.20058 y anteriores, 2017.008.30051 y anteriores, 2015.006.30306 y anteriores, y 11.0.20 y anteriores tiene una vulnerabilidad de uso de memoria antes de liberación (use after free) en el motor de parseo XFA cuando gestiona ciertos tipos de instrucciones internas. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe Acrobat Reader (CVE-2017-3119)
Gravedad:
MediaMedia
Publication date: 11/08/2017
Last modified:
21/08/2019
Descripción:
Adobe Acrobat Reader 2017.009.20058 y anteriores, 2017.008.30051 y anteriores, 2015.006.30306 y anteriores, y 11.0.20 y anteriores tiene una vulnerabilidad de corrupción de memoria en el motor Acrobat/Reader 11.0.19. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en winhlp32.exe (CVE-2004-1306)
Gravedad:
MediaMedia
Publication date: 31/12/2004
Last modified:
30/04/2019
Descripción:
El desbordamiento de búfer basado en memoria dinámica (heap) en winhlp32.exe en Windows NT, Windows 2000 a SP4, Windows XP a SP2 y Windows 2003 permite a los atacantes remotos ejecutar código arbitrario a través de un archivo.hlp diseñado.