Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en IBM Tivoli Storage Productivity Center (CVE-2019-4137)
Gravedad:
MediaMedia
Publication date: 29/05/2019
Last modified:
03/06/2019
Descripción:
IBM Tivoli Storage Productivity Center versión 5.2.13 hasta 5.3.0.1, es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la web UI, y en consecuencia, alterar la funcionalidad deseada que conllevaría a la revelación de credenciales dentro de una sesión confianza. ID de IBM X-Force: 158333.
Vulnerabilidad en IBM Tivoli Storage Productivity Center (CVE-2019-4138)
Gravedad:
MediaMedia
Publication date: 29/05/2019
Last modified:
24/08/2020
Descripción:
IBM Tivoli Storage Productivity Center versión 5.2.13 hasta 5.3.0.1, podría permitir a un atacante remoto conseguir información confidencial, generada por el hecho de no habilitar apropiadamente HTTP Strict Transport Security. Un atacante podría aprovechar esta vulnerabilidad para conseguir información confidencial utilizando técnicas de tipo "man in the middle". X-Force ID: 158334.
Vulnerabilidad en interfaz XML-RPC en Apache Roller (CVE-2018-17198)
Gravedad:
AltaAlta
Publication date: 28/05/2019
Last modified:
11/06/2019
Descripción:
Vulnerabilidad de falsificación de peticiónes (SSRF) y de enumeración de archivos en el lado del servidor en Apache Roller versión 5.2.1, 5.2.0 y anteriores no compatibles, se basa en Java SAX Parser para implementar su interfaz XML-RPC y, por defecto, este analizador admite entidades externas en XML DOCTYPE, que expone a Roller a la vulnerabilidad de tipo SSRF o enumeración de archivos. Es importante indicar que esta vulnerabilidad se presenta incluso si la interfaz Roller XML-RPC está deshabilitada por medio de la interfaz de usuario administrador de Roller Web. Mitigación: se presenta un par de formas en que se puede solucionar esta vulnerabilidad: 1) Actualice a la última versión de Roller, que ahora es versión 5.2.2 2) o, edite el archivo Roller web.xml y comente el mapeo Servlet XML-RPC como se indica a continuación:
Vulnerabilidad en Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708)
Gravedad:
AltaAlta
Publication date: 16/05/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código en Remote Desktop Services, anteriormente conocido como Terminal Services, cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía peticiones especialmente diseñadas, conocida como 'Remote Desktop Services Remote Code Execution Vulnerability'.
Vulnerabilidad en la urllib3 library para Python (CVE-2019-11324)
Gravedad:
MediaMedia
Publication date: 18/04/2019
Last modified:
14/09/2019
Descripción:
La urllib3 library versión anterior a 1.24.2 para Python maneja de forma incorrecta ciertos casos en los que el ajuste deseado de certificados de CA es diferente del almacén del sistema operativo de certificados de CA, lo que da como resultado que las conexiones SSL tengan éxito en situaciones en las que una falla de comprobación sea el resultado correcto. Esto está relacionado con el uso de los argumentos ssl_context, ca_certs o ca_certs_dir.
Vulnerabilidad en Fortinet FortiClientWindows (CVE-2018-9190)
Gravedad:
MediaMedia
Publication date: 08/02/2019
Last modified:
03/06/2019
Descripción:
Una vulnerabilidad de desreferencia de puntero NULL en Fortinet FortiClientWindows, en versiones 6.0.2 y anteriores, permite que los atacantes provoquen una denegación de servicio (DoS) mediante el controlador del minipuerto NDIS.
Vulnerabilidad en systemd-journald (CVE-2018-16865)
Gravedad:
MediaMedia
Publication date: 11/01/2019
Last modified:
18/09/2020
Descripción:
Se ha descubierto una asignación de memoria sin límites que podría resultar en que la pila choque con otra región de memoria, en systemd-journald, cuando se envían muchas entradas al socket de journal. Un atacante local, o uno remoto si se emplea systemd-journal-remote, podría emplear este error para provocar el cierre inesperado de systemd-journald o ejecutar código con privilegios de journald. Son vulnerables las versiones hasta la v240.
Vulnerabilidad en Skia en Google Chrome (CVE-2018-18356)
Gravedad:
MediaMedia
Publication date: 11/12/2018
Last modified:
24/08/2020
Descripción:
Un desbordamiento de enteros en el manejo de rutas conduce a un uso de memoria previamente liberada en Skia en Google Chrome en versiones anteriores a la 71.0.3578.80 permitía que un atacante remoto pudiese explotar una corrupción de memoria dinámica (heap) mediante una página HTML manipulada.
Vulnerabilidad en Oracle Database Server (CVE-2018-3110)
Gravedad:
MediaMedia
Publication date: 10/08/2018
Last modified:
02/10/2019
Descripción:
Se ha descubierto una vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles que se han visto afectadas son la 11.2.0.4, 12.1.0.2, 12.2.0.1 y la 18. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios y con permisos Create Session que tenga acceso a red por medio de Oracle Net comprometa la seguridad de Java VM. Aunque la vulnerabilidad está presente en Java VM, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java VM. CVSS 3.0 Base Score 9.9 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en Kitura (CVE-2018-1000181)
Gravedad:
MediaMedia
Publication date: 05/06/2018
Last modified:
03/06/2019
Descripción:
Kitura en versiones 2.3.0 y anteriores tiene un acceso de lectura no esperado a archivos y carpetas no autorizados que se puede explotar mediante un URL manipulado, lo que resulta en una divulgación de información.
Vulnerabilidad en Oracle MySQL, MariaDB y Percona Server (CVE-2016-6662)
Gravedad:
AltaAlta
Publication date: 20/09/2016
Last modified:
03/06/2019
Descripción:
Oracle MySQL hasta la versión 5.5.52, 5.6.x hasta la versión 5.6.33 y 5.7.x hasta la versión 5.7.15; MariaDB en versiones anteriores a 5.5.51, 10.0.x en versiones anteriores a 10.0.27 y 10.1.x en versiones anteriores a 10.1.17; y Percona Server en versiones anteriores a 5.5.51-38.1, 5.6.x en versiones anteriores a 5.6.32-78.0 y 5.7.x en versiones anteriores a 5.7.14-7 permiten a usuarios locales crear configuraciones arbitrarias y eludir ciertos mecanismos de protección estableciendo general_log_file a una configuración my.cnf NOTA: esto puede ser aprovechado para ejecutar código arbitrario con privilegios root estableciendo malloc_lib. NOTA: la información sobre la versión de MySQL afectada es de la CPU de Octubre de 2016 de Oracle. Oracle no ha comentado sobre las reclamaciones de terceros que el problema fue parcheado silenciosamente en MySQL 5.5.52, 5.6.33 y 5.7.15.
Vulnerabilidad en IBM Java 8 (CVE-2015-0192)
Gravedad:
AltaAlta
Publication date: 02/07/2015
Last modified:
03/06/2019
Descripción:
Vulnerabilidad no especificada en IBM Java 8 anterior a SR1, 7 R1 anterior a SR2 FP11, 7 anterior a SR9, 6 R1 anterior a SR8 FP4, 6 anterior a SR16 FP4, y 5.0 anterior a SR16 FP10 permite a atacantes remotos ganar privilegios a través de vectores desconocidos relacionados con Java Virtual Machine.