Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en En TitanHQ SpamTitan (CVE-2019-6800)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
En TitanHQ SpamTitan hasta 7.03, existe una vulnerabilidad en la función de actualización de la regla de spam. Las actualizaciones se descargan a través de HTTP, incluidos los scripts que posteriormente se ejecutan con permisos de root. Un atacante con una posición de red privilegiada puede, de manera trivial, inyectar comandos arbitrarios.
Vulnerabilidad en Prima Systems FlexAir (CVE-2019-7671)
Gravedad:
BajaBaja
Publication date: 05/06/2019
Last modified:
10/02/2020
Descripción:
Prima Systems FlexAir, versiones 2.3.38 y anteriores. Los parámetros enviados a los scripts no se desinfectan correctamente antes de devolverse al usuario, lo que puede permitir que un atacante ejecute código arbitrario en la sesión del navegador de un usuario en el contexto de un sitio afectado.
Vulnerabilidad en Prima Systems FlexAir (CVE-2019-7672)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
31/07/2019
Descripción:
Los dispositivos Prima Systems FlexAir, versiones 2.3.38 y anteriores. La versión flash de la interfaz web contiene un nombre de usuario y contraseña codificados, lo que puede permitir que un atacante autenticado aumente los privilegios.
Vulnerabilidad en CMS Made Simple (CVE-2019-11226)
Gravedad:
BajaBaja
Publication date: 05/06/2019
Last modified:
05/06/2019
Descripción:
CMS Made Simple 2.2.10 tiene XSS a través del parámetro m1_name en "Agregar artículo" en Contenido -> Administrador de contenido -> Noticias.
Vulnerabilidad en la función /client/api/json/v2/nfareports/compareReport (CVE-2019-12196)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
07/06/2019
Descripción:
Una vulnerabilidad de inyección SQL en la función /client/api/json/v2/nfareports/compareReport en Zoho ManageEngine NetFlow Analyzer versión 12.3, permite a los atacantes ejecutar comandos SQL arbitrarios por medio del parámetro DeviceID.
Vulnerabilidad en ikiwiki (CVE-2019-9187)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
17/07/2019
Descripción:
ikiwiki anterior a versión 3.20170111.1 y versión 3.2018x y versión 3.2019x anterior a 3.20190228, permite SSRF por medio del plugin aggregate. El impacto también incluye la lectura de archivos locales por medio de archivos: URIs.
Vulnerabilidad en Prima Systems FlexAir (CVE-2019-9189)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
31/07/2019
Descripción:
En los dispositivos Prima Systems FlexAir, versiones 2.4.9api3 y anteriores. La aplicación permite la carga de scripts arbitrarios de Python al configurar el controlador central principal. Estos scripts pueden ejecutarse inmediatamente debido a la ejecución del código raíz, no como un usuario del servidor web, lo que permite que un atacante autenticado obtenga acceso completo al sistema.
Vulnerabilidad en la validación incorrecta de los argumentos en la implementación interna (CVE-2019-12553)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
En SweetScape 010 Editor 9.0.1, la validación incorrecta de los argumentos en la implementación interna de la función StrCat (proporcionada por el motor de scripting) permite que un atacante sobrescriba la memoria arbitraria, lo que podría llevar a la ejecución del código.
Vulnerabilidad en En SweetScape 010 Editor (CVE-2019-12554)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
En SweetScape 010 Editor 9.0.1, la validación incorrecta de los argumentos en la implementación interna de la función WSubStr (proporcionada por el motor de secuencias de comandos) permite que un atacante provoque una denegación de servicio al bloquear la aplicación.
Vulnerabilidad en En SweetScape 010 Editor 9.0.1 (CVE-2019-12555)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
En SweetScape 010 Editor 9.0.1, la validación incorrecta de los argumentos en la implementación interna de la función SubStr (proporcionada por el motor de secuencias de comandos) permite que un atacante provoque una denegación de servicio al bloquear la aplicación.
Vulnerabilidad en archivo proxy.php en el componente pydio-core (CVE-2019-9642)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
05/06/2019
Descripción:
Fue encontrado un problema en el archivo proxy.php en el componente pydio-core en Pydio hasta versión 8.2.2. por medio de una petición no identificada, es posible evaluar el código PHP malicioso colocándolo en la cuarta línea de un archivo .php, como es demostrado por un PoC.php creado por la cuenta del invitado, con ejecución por medio de una petición proxy.php?hash=../../../../../var/lib/pydio/data/personal/guest/PoC.php. Esto está relacionado a plugins/action.share/src/Store/ShareStore.php.
Vulnerabilidad en los dispositivos Marvell SSD Controller (CVE-2019-10637)
Gravedad:
BajaBaja
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Los dispositivos Marvell SSD Controller (88SS1074, 88SS1079, 88SS1080, 88SS1093, 88SS1092, 88SS1095, 88SS9174, 88SS9175, 88SS9187, 88SS9188, 88SS9189, 88SS9190, 88SS1085, 88SS1087, 88SS1090, 88SS1100, 88SS1084, 88SS1088, & 88SS1098) son vulnerables al manipular una combinación de pines IO para omitir el mecanismo de protección de arranque seguro (secure boot ).
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11949)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11950)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11951)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11952)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11953)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11954)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11957)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11958)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11959)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11960)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11961)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11962)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11980)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11985)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11986)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en Bludit (CVE-2019-12742)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Bludit anterior a 3.9.1 le permite a un usuario sin privilegios cambiar la contraseña de cualquier cuenta, incluido admin. Esto ocurre debido a la Referencia de objeto directo inseguro de bl-kernel / admin / controllers / user-password.php (un parámetro POST de nombre de usuario modificado).
Vulnerabilidad en Gila CMS (CVE-2019-9647)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Gila CMS tiene Cross-Site Scripting (XSS) en la versión 1.9.1
Vulnerabilidad en Citrix XenMobile Server (CVE-2018-18571)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
11/09/2019
Descripción:
Fue encontrada una vulnerabilidad de control de acceso incorrecto en Citrix XenMobile Server versión 10.8.0 anterior a Rolling Patch 6 y 10.9.0 anterior a Rolling Patch 3. Un atacante puede suplantar y tomar acciones en nombre de cualquier dispositivo inscrito en Mobile Application Management (MAM).
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2018-7121)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2018-7122)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad de divulgación remota de información en HPE Intelligent Management Center (IMC) PLAT anterior a la versión 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2018-7123)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad remota de denegación de servicio en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2018-7124)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2018-7125)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11941)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11942)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11943)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11944)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11945)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11946)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad revelación de credenciales remota en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11947)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se identificó una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT anterior a la versión 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-11948)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en Istio (CVE-2019-12243)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Istio desde la versión 1.1.x hasta la versión 1.1.6 presenta un control de acceso incorrecto.
Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus (CVE-2019-12538)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se descubrió un problema en Zoho ManageEngine ServiceDesk Plus 9.3. Hay XSS a través del campo de búsqueda SiteLookup.do.
Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus (CVE-2019-12541)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se descubrió un problema en Zoho ManageEngine ServiceDesk Plus 9.3. Hay XSS a través del parámetro SolutionSearch.do searchText.
Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus (CVE-2019-12542)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se descubrió un problema en Zoho ManageEngine ServiceDesk Plus 9.3. Hay XSS a través del parámetro UserConfigID de SearchN.do.
Vulnerabilidad en Zoho ManageEngine ServiceDesk (CVE-2019-12543)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se descubrió un problema en Zoho ManageEngine ServiceDesk Plus 9.3. Hay XSS a través del parámetro PurchaseRequest.do serviceRequestId.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5338)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5339)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5340)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5341)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5342)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5343)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5344)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5345)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5346)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5347)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de omisión de autenticación remota en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5348)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5349)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5350)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5351)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5352)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5353)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
CVE-2019-5354
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5355)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad remota de denegación de servicio en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5356)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5357)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
06/06/2019
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5358)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5359)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5360)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5361)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5362)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5363)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5364)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5365)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5366)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5367)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5368)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5369)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5370)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5371)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5372)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5373)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5374)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5375)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5376)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5377)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5378)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5379)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5380)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5381)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5382)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5383)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5385)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5386)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5387)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5388)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5389)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de ejecución remota de código en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5390)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
04/01/2020
Descripción:
Se ha identificado una vulnerabilidad de inyección remota de comandos en HPE Intelligent Management Center (IMC) PLAT en versiones anteriores a 7.3 E0506P09.
Vulnerabilidad en HPE Intelligent Management Center (IMC) PLAT (CVE-2019-5391)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de desbordamiento de búfer basado en pila en HPE Intelligent Management Center (IMC) PLAT anterior a la versión 7.3 E0506P09.
CVE-2017-6261
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
07/06/2019
Descripción:
Las versiones 1.1, 2.0 y 2.2 de Vibrante Linux de NVIDIA presenta una vulnerabilidad en el controlador de espacio de usuario en la que los mecanismos de protección son insuficientes, lo que conllevaría a la Denegación de Servicio o a la Divulgación de Información
Vulnerabilidad en el archivo getchar.c en (CVE-2019-12735)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
13/06/2019
Descripción:
El archivo getchar.c en Vim anterior a versión 8.1.1365 y Neovim anterior a versión 0.3.6 permite a los atacantes remotos ejecutar comandos arbitrarios del sistema operativo por medio de: comando source! en el componente modeline, como es demostrado por la ejecución en Vim, y assert_fails o nvim_input en Neovim.
Vulnerabilidad en Hay un problema presente en Apache ZooKeeper (CVE-2019-0201)
Gravedad:
MediaMedia
Publication date: 23/05/2019
Last modified:
20/10/2020
Descripción:
Hay un problema presente en Apache ZooKeeper 1.0.0 a 3.4.13 y 3.5.0-alpha a 3.5.4-beta. El comando getACL () de ZooKeeper no verifica ningún permiso cuando recupera las ACL del nodo solicitado y devuelve toda la información contenida en el campo Id. De ACL como cadena de texto sin formato. DigestAuthenticationProvider sobrecarga el campo Id con el valor hash que se utiliza para la autenticación del usuario. Como consecuencia, si la autenticación implícita está en uso, el valor hash sin sal será revelado por la solicitud getACL () para usuarios no autenticados o no privilegiados.
Vulnerabilidad en Apache Sanselan (CVE-2018-17201)
Gravedad:
MediaMedia
Publication date: 06/05/2019
Last modified:
24/08/2020
Descripción:
Ciertos archivos de entrada podrían hacer que el código se cuelgue cuando Apache Sanselan 0.97-incubator fue usado para analizarlos, lo que podría usarse en un ataque DoS. Tenga en cuenta que Apache Sanselan (incubating) cambió su nombre a Apache Commons Imaging.
Vulnerabilidad en Apache Sanselan (CVE-2018-17202)
Gravedad:
MediaMedia
Publication date: 06/05/2019
Last modified:
02/10/2019
Descripción:
Ciertos archivos de entrada podrían hacer que el código entrara en un bucle infinito cuando se usa Apache Sanselan versión 0.97-incubator para analizarlos, que podría ser usado en un ataque DoS. Tenga en cuenta que Apache Sanselan (incubating) cambió su nombre a Apache Commons Imaging.
Vulnerabilidad en Thrift de Go Facebook en Facebook Thrift (CVE-2019-3564)
Gravedad:
MediaMedia
Publication date: 06/05/2019
Last modified:
09/10/2019
Descripción:
Los servidores Thrift de Go Facebook no emitirían errores al recibir mensajes con contenedores de campos de tipo desconocido. En consecuencia, los clientes maliciosos podrían enviar mensajes cortos, lo que llevaría mucho tiempo para que el servidor los analice, esto conllevaría a una Denegación de Servicio. Este problema afecta a Facebook Thrift antes de versión 2019.03.04.00.
Vulnerabilidad en interfaz de administración basada en web del software Adaptive Security Appliance (CVE-2019-1713)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web del software Adaptive Security Appliance (ASA) de Cisco, podría permitir a un atacante remoto no identificado dirigir un ataque de tipo cross-site request forgery (CSRF) en un sistema afectado. La vulnerabilidad es debido a las insuficientes protecciones de CSRF para la interfaz de administración basada en web en un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz a seguir un enlace malicioso. Una operación con éxito podría permitir al atacante ejecutar acciones arbitrarias con el nivel de privilegio del usuario afectado. Si el usuario tiene privilegios administrativos, el atacante podría alterar la configuración, extraer información o la recarga de un dispositivo afectado.
Vulnerabilidad en la interfaz de usuario web en Cisco Small Business RV320 y RV325 Dual Gigabit (CVE-2019-1724)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la funcionalidad de administración de sesión (session management) de la interfaz basada en web para Cisco Small Business RV320 y RV325 Dual Gigabit WAN VPN Routers, podría permitir que un atacante remoto no identificado pirateé una sesión de usuario válida en un sistema afectado. Un atacante podría usar esta sesión suplantada para crear una nueva cuenta de usuario o, de lo contrario, controlar el dispositivo con los privilegios de la sesión pirateada. La vulnerabilidad es debido a controles inapropiados en la administración de sesión. Un atacante podría aprovechar esta vulnerabilidad enviando una petición HTTP creada a un dispositivo específico. Una operación éxito podría permitir al atacante tomar el control de una sesión de usuario existente en el dispositivo. La función de la vulnerabilidad requiere que una sesión de usuario autorizado esté activa y que el atacante pueda crear una petición HTTP para suplantar esa sesión.
Vulnerabilidad en Panel Umbrella de Cisco (CVE-2019-1807)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la funcionalidad de administración de sesión (session management) de la interfaz de usuario web para el Panel Umbrella de Cisco, podría permitir que un atacante remoto identificado acceda al Panel por medio de una sesión de usuario activa. La vulnerabilidad existe debido a que la aplicación afectada no incorporando una sesión existente cuando un usuario se identifica en la aplicación y cambia las credenciales de los usuarios mediante otra sesión autorizada. Un atacante podría aprovechar esta vulnerabilidad usando una sesión activa, autorizada y separada para conectarse a la aplicación por medio de la interfaz de usuario web. Una operación con éxito podría permitir al atacante mantener el acceso al panel por medio de una sesión de navegador autorizada del usuario. Cisco ha abordado esta vulnerabilidad en el Panel Umbrella de Cisco. No es requerida ninguna acción del usuario.
Vulnerabilidad en Cisco Web Security Appliance (WSA) (CVE-2019-1816)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el subsistema de Subscripción de Registro (log subscription) de Cisco Web Security Appliance (WSA) podría permitir a un atacante local autorizado ejecutar la inyección de comandos y elevar los privilegios a root. La vulnerabilidad es debido a la comprobación insuficiente de la entrada suministrada por el usuario en la web y en la interfaz de línea de comandos. Un atacante podría aprovechar esta vulnerabilidad al identificarse en el dispositivo afectado e inyectar comandos de scripting en el ámbito del subsistema de suscripción de registro. Una operación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente y elevar los privilegios a root.
Vulnerabilidad en Cisco AsyncOS Software (CVE-2019-1817)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la funcionalidad web proxy de Cisco AsyncOS Software para Cisco Web Security Appliance, podría permitir que un atacante remoto no identificado cause una condición de Denegación de Servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido a la comprobación inapropiada de las peticiones HTTP y HTTPS. Un atacante podría aprovechar esta vulnerabilidad mediante el envio de una petición HTTP o HTTPS malformada a un dispositivo afectado. Una operación con éxito podría permitir al atacante causar un reinicio del proceso web proxy, resultando en una condición de DoS temporal.
Vulnerabilidad en HyperFlex HX-Series de Cisco (CVE-2019-1857)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
06/05/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de HyperFlex HX-Series de Cisco, podría permitir a un atacante remoto no identificado dirija un ataque de tipo cross-site request forgery (CSRF) y ejecute acciones arbitrarias en un sistema afectado. La vulnerabilidad es debido a las insuficientes protecciones de CSRF para la interfaz de administración basada en web del programa afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que siga un enlace creado. Una operación éxito podría permitir al atacante realizar acciones arbitrarias en un sistema afectado mediante el uso de un navegador web y con privilegios del usuario.
Vulnerabilidad en la CLI del software Firepower Threat Defense (CVE-2019-1699)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la CLI del software Firepower Threat Defense (FTD) de Cisco, podría permitir a un atacante local identificado ejecutar un ataque de inyección de comando. La vulnerabilidad es debido a la insuficiente comprobación de entrada. Un atacante podría aprovechar esta vulnerabilidad al inyectar comandos dentro de argumentos para un comando específico. Una operación con éxito podría permitir al atacante ejecutar comandos con privilegios root.
Vulnerabilidad en la funcionalidad interna de procesamiento de paquetes (packet-processing) del software Firepower Threat Defense (CVE-2019-1703)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
07/10/2020
Descripción:
Una vulnerabilidad en la funcionalidad interna de procesamiento de paquetes (packet-processing) del software Firepower Threat Defense (FTD) de Cisco para Firepower 2100 Series de Cisco, podría permitir que un atacante remoto no identificado cause que un dispositivo afectado detenga el procesamiento del tráfico, resultando una condición de Denegación de Servicio (DoS). La vulnerabilidad es debido a un error lógico, que puede evitar que los buffers de ingreso se repongan bajo condiciones de tráfico específicas. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de paquetes creados a un dispositivo afectado. Una operación éxito podría permitir al atacante consumir todos los buffers de entrada, que se comparten entre todas las interfaces, lo que deriva a una condición de cola de segmentos en todas las interfaces activas. Esta situación causaría que un dispositivo afectado detenga el procesamiento del tráfico entrante y conlleva a una condición DoS hasta que el dispositivo vuelva a cargarse manualmente.
Vulnerabilidad en CLI del software Firepower Threat Defense (CVE-2019-1709)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
"Una vulnerabilidad en la CLI del software Firepower Threat Defense (FTD) de Cisco podría permitir a un atacante local identificado ejecutar un ataque de inyección de comando. La vulnerabilidad es debido a la insuficiente comprobación de entrada. Un atacante podría aprovechar esta vulnerabilidad al inyectar comandos dentro de argumentos para un comando específico. Una operación éxito podría permitir al atacante ejecutar comandos con privilegios root.
Vulnerabilidad en Adaptive Security Appliance (ASA) (CVE-2018-15388)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el proceso de inicio de sesión (login) en la WebVPN de los software Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) de Cisco, podría permitir que un atacante remoto no identificado cause un aumento en la utilización de la CPU en un dispositivo afectado. La vulnerabilidad es debido a una carga de procesamiento excesiva para las operaciones de inicio de sesión de WebVPN existentes. Un atacante podría aprovechar esta vulnerabilidad enviando múltiples peticiones de inicio de sesión desde WebVPN al dispositivo. Una operación con éxito podría permitir al atacante incrementar la carga de la CPU en el dispositivo, dando como resultado una condición de Denegación de Servicio (DoS).
Vulnerabilidad en Application Policy Infrastructure Controller (APIC) de Cisco. (CVE-2019-1586)
Gravedad:
BajaBaja
Publication date: 03/05/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el software Application Policy Infrastructure Controller (APIC) de Cisco, podría permitir que un atacante local no identificado con acceso físico obtenga información confidencial de un dispositivo afectado. La vulnerabilidad es debido a la eliminación no segura de las claves de cifrado de texto no encriptado almacenadas en particiones locales en el disco duro de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad recuperando datos del disco físico en la(s) partición(es) afectada(s). Una operación éxito podría permitir al atacante recuperar claves de cifrado, posiblemente permitiendo que el atacante descifre otros datos e información confidencial en el dispositivo, lo que conllevaría a la revelación de información confidencial.
Vulnerabilidad en los Nexus 9000 Series Fabric de Cisco (CVE-2019-1587)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
13/10/2020
Descripción:
Una vulnerabilidad en los Nexus 9000 Series Fabric de Cisco en modo Application Centric Infrastructure (ACI), podría permitir que un atacante remoto identificado acceda a información confidencial. La vulnerabilidad se produce porque el software afectado no comprueba correctamente la entrada suministrada por el usuario. Un atacante podría aprovechar esta vulnerabilidad al emitir ciertos comandos con resultados de petición filtrados en el dispositivo. Esta acción puede causar que los mensajes devueltos muestren información confidencial del sistema. Una operación éxito podría permitirle al atacante leer información confidencial en el dispositivo.
Vulnerabilidad en Session Initiation Protocol (SIP) (CVE-2019-1635)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
16/10/2020
Descripción:
Una vulnerabilidad en la funcionalidad de manejo de llamadas (call-handling) del Software Session Initiation Protocol (SIP) para teléfonos IP 7800 Series y 8800 Series de Cisco, podría permitir que un atacante remoto no identificado haga que un teléfono afectado se recargue inesperadamente, resultando en una condición de Denegación de Servicio (DoS ) temporal. La vulnerabilidad es debido a un manejo de errores incompleto cuando los datos XML dentro de un paquete SIP son analizados. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete SIP que contiene una carga XML maliciosa a un teléfono afectado. Una operación éxito podría permitir al atacante hacer que el teléfono afectado se recargue inesperadamente, resultando en una condición DoS temporal.
Vulnerabilidad en la funcionalidad del sistema de archivos FUSE (FUSE filesystem) para el software Application Policy (CVE-2019-1682)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
07/10/2020
Descripción:
Una vulnerabilidad en la funcionalidad del sistema de archivos FUSE (FUSE filesystem) para el software Application Policy Infrastructure Controller (APIC) de Cisco, podría permitir a un atacante local identificado escalar privilegios a root en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente para ciertas cadenas de comando emitidas en la CLI del dispositivo afectado. Un atacante con permisos de escritura para archivos dentro de una carpeta legible en el dispositivo podría alterar ciertas definiciones en el archivo afectado. Una operación con éxito podría permitir a un atacante causar que el controlador FUSE subyacente ejecute dichos comandos creados, elevando los privilegios del atacante a root en un dispositivo afectado.
Vulnerabilidad en Adaptive Security Appliance (ASA) (CVE-2019-1687)
Gravedad:
AltaAlta
Publication date: 03/05/2019
Last modified:
07/05/2019
Descripción:
Una vulnerabilidad en la funcionalidad de proxy TCP para el software Adaptive Security Appliance (ASA) de Cisco y el software Firepower Threat Defense (FTD) de Cisco, podría permitir que un atacante remoto no identificado cause que el dispositivo se reinicie inesperadamente, dando como resultado una condición de Denegación de Servicio (DoS) . La vulnerabilidad es debido a un error en la inspección de paquetes basados en TCP, lo que podría causar que el paquete TCP tenga un encabezado formateado de capa 2 (L2) no válido. Un atacante podría aprovechar esta vulnerabilidad enviando una secuencia de paquetes TCP creada hacia el dispositivo de destino. Una operación con éxito podría permitir al atacante causar una condición DoS.
Vulnerabilidad en la interfaz de administración basada en web del software Cisco Application Policy (CVE-2019-1692)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
07/10/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Application Policy Infrastructure Controller (APIC) de Cisco, podría permitir que un atacante remoto no identificado acceda a la información confidencial acerca del uso del sistema. La vulnerabilidad es debido a la falta de mecanismos apropiados de protección de datos para ciertos componentes en la Application Centric Infrastructure (ACI) subyacente. Un atacante podría aprovechar esta vulnerabilidad si intenta observar cierto tráfico de red durante el acceso al APIC. Una operación con éxito podría permitir al atacante acceder y recabar ciertos datos de seguimiento y estadísticas de uso en un dispositivo afectado.
Vulnerabilidad en Adaptive Security Appliance (ASA) (CVE-2019-1695)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
07/10/2020
Descripción:
Una vulnerabilidad en el motor de detección del software Adaptive Security Appliance (ASA) de Cisco y el software Firepower Threat Defense (FTD) de Cisco, podría permitir que un atacante adyacente no identificado envíe datos directamente hacia el kernel de un dispositivo afectado. La vulnerabilidad se presenta porque el software filtra incorrectamente las tramas de Ethernet enviadas a un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de paquetes creados a la interfaz de administración de un dispositivo afectado. Una operación con éxito podría permitir al atacante omitir los filtros de Capa 2 (L2) y enviar datos directamente hacia el kernel del dispositivo afectado. Una trama maliciosa entregada con éxito haría que el dispositivo de destino generara una entrada syslog específica.
Vulnerabilidad en detección del preprocesador del Protocolo Server Message Block (CVE-2019-1696)
Gravedad:
BajaBaja
Publication date: 03/05/2019
Last modified:
07/05/2019
Descripción:
Múltiples vulnerabilidades en el motor de detección del preprocesador del Protocolo Server Message Block (SMB) para el software Firepower Threat Defense (FTD) Cisco, podrían permitir a un atacante no identificado, adyacente o remoto, causar una condición de Denegación de Servicio (DoS). Para más información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso.
Vulnerabilidad en la función gen_rand_uuid en el archivo lib / uuid.c (CVE-2019-11690)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
06/05/2019
Descripción:
La función gen_rand_uuid en el archivo lib / uuid.c en Das U-Boot versión 2014.04 hasta 2019.04, carece de una llamada srand, que permite a los atacantes determinar valores UUID en escenarios donde CONFIG_RANDOM_UUID está habilitado, y Das U-Boot se basa en los valores UUID de una tabla de particiones GUID de un dispositivo de arranque.
Vulnerabilidad en el router P660HN-T1A v1 TCLinux Fw $7.3.15.0 v001 (CVE-2017-18368)
Gravedad:
AltaAlta
Publication date: 02/05/2019
Last modified:
02/10/2019
Descripción:
El router P660HN-T1A v1 TCLinux Fw $7.3.15.0 v001 / 3.40(ULM.0)b31 de ZyXEL distribuido por TrueOnline tiene una vulnerabilidad de inyección de comandos en la función de reenvío de registro del sistema remoto (Remote System Log forwarding), que es accesible por un usuario identificado. La vulnerabilidad está en la página ViewLog.asp y puede ser aprovechada por medio del parámetro remote_host.
Vulnerabilidad en Remote System Log forwarding en el router 5200W-T 1.02b.rc5.dt49 de Billion (CVE-2017-18369)
Gravedad:
AltaAlta
Publication date: 02/05/2019
Last modified:
02/10/2019
Descripción:
El router 5200W-T 1.02b.rc5.dt49 de Billion distribuido por TrueOnline tiene una vulnerabilidad de inyección de comandos en la función de reenvío de registro del sistema remoto (Remote System Log forwarding), que es accesible por un usuario identificado. La vulnerabilidad está en la página adv_remotelog.asp y puede ser aprovechada por medio del parámetro syslogServerAddr.
Vulnerabilidad en Remote System Log forwarding en el router P660HN-T1A (CVE-2017-18370)
Gravedad:
AltaAlta
Publication date: 02/05/2019
Last modified:
02/10/2019
Descripción:
El router P660HN-T1A v2 TCLinux Fw # 7.3.37.6 de ZyXEL distribuido por TrueOnline tiene una vulnerabilidad de inyección de comandos en la función de reenvío de registro del sistema remoto (Remote System Log forwarding), que solo es accesible por un usuario identificado. La vulnerabilidad está en la página logSet.asp y puede ser aprovechada por medio del parámetro ServerIP. La autorización se puede lograr mediante la función de CVE-2017-18371.
Vulnerabilidad en el routerP660HN-T1A v2 TCLinux Fw (CVE-2017-18371)
Gravedad:
AltaAlta
Publication date: 02/05/2019
Last modified:
03/05/2019
Descripción:
El router P660HN-T1A v2 TCLinux Fw # 7.3.37.6 de ZyXEL distribuido por TrueOnline, tiene tres cuentas de usuario con contraseñas por defecto, incluidas dos cuentas de servicio codificadas: una con el nombre de usuario y contraseña auténticos, y otro con el nombre de usuario supervisor y la contraseña zyad1234. Estas cuentas pueden ser usadas para iniciar sesión en la interfaz web, aprovechar inyecciones de comandos identificadas y cambiar la configuración del router para fines maliciosos.
Vulnerabilidad en router 5200W-TTCLinux Fw (CVE-2017-18372)
Gravedad:
AltaAlta
Publication date: 02/05/2019
Last modified:
02/10/2019
Descripción:
El router 5200W-TTCLinux Fw $ 7.3.8.0 versión 008 130603 de Billion distribuido por TrueOnline, tiene una vulnerabilidad de inyección de comandos en la función de configuración de tiempo (Time Setting), que solo es accesible por un usuario identificado. La vulnerabilidad está en la página tools_time.asp y puede ser aprovechada por medio del parámetro uiViewSNTPServer. La identificación puede ser logrado mediante la operación de CVE-2017-18373.
Vulnerabilidad en router 5200W-T TCLinux Fw (CVE-2017-18373)
Gravedad:
AltaAlta
Publication date: 02/05/2019
Last modified:
03/05/2019
Descripción:
El router 5200W-T TCLinux Fw $ 7.3.8.0 versión 008 130603 de Billion distribuido por TrueOnline tiene tres cuentas de usuario con contraseñas por defecto, incluyendo dos cuentas de servicio codificadas: una con el nombre de usuario y contraseña auténtico, y el otro con el nombre de usuario user3 y una contraseña larga que consiste en una repetición de la cadena 0123456789. Estas cuentas pueden ser usadas para iniciar sesión en la interfaz web, aprovechar inyecciones de comandos identificadas y cambiar la configuración del router para fines maliciosos.
Vulnerabilidad en NSS (CVE-2018-12404)
Gravedad:
MediaMedia
Publication date: 02/05/2019
Last modified:
30/09/2020
Descripción:
Un ataque de canal lateral en caché durante transacciones usando RSA podría permitir el descifrado de contenido encriptado. Esta es una variante del ataque Adaptive Chosen Ciphertext (conocido como ataque Bleichenbacher) y afecta a todas las versiones de NSS anteriores a NSS 3.41.
Vulnerabilidad en en el componente Netstorage de Open Enterprise Server (CVE-2019-3490)
Gravedad:
MediaMedia
Publication date: 02/05/2019
Last modified:
06/05/2019
Descripción:
Se identificó una vulnerabilidad de tipo XSS basada en DOM en el componente Netstorage de Open Enterprise Server (OES) que permite a un atacante remoto ejecutar javascript en el navegador de víctimas engañando al usuario para que haga clic en un enlace especialmente creado. Esto afecta a las versiones de OES OES2015SP1, OES2018 y OES2018SP1. Las versiones anteriores pueden verse afectadas pero no fueron puestos a prueba porque están fuera de soporte.
Vulnerabilidad en IBM API Connect (CVE-2018-2015)
Gravedad:
MediaMedia
Publication date: 02/05/2019
Last modified:
06/05/2019
Descripción:
IBM API Connect versiones 2018.1 y 2018.4.1.4, podría permitir a un atacante remoto piratear la acción de hacer clic de la víctima. Al persuadir a una víctima que visite un sitio web malicioso, un atacante remoto podría aprovechar esta vulnerabilidad para piratear las acciones de cliqueo de la víctima y posiblemente lanzar más ataques contra la víctima. ID de IBM X-Force: 155195.
Vulnerabilidad en Anomali Agave (anteriormente Drupot) (CVE-2019-11641)
Gravedad:
MediaMedia
Publication date: 01/05/2019
Last modified:
24/08/2020
Descripción:
Anomali Agave (anteriormente Drupot) hasta versión 1.0.0 falla al evitar las huellas digitales mediante la inclusión de datos predecibles y una variación mínima en el tamaño de las plantillas HTML, lo que brinda a los atacantes la capacidad de detectar y evitar este sistema.
Vulnerabilidad en En Octopus Deploy (CVE-2019-11632)
Gravedad:
MediaMedia
Publication date: 01/05/2019
Last modified:
24/08/2020
Descripción:
En Octopus Deploy versión 2019.1.0 hasta 2019.3.1 y versión 2019.4.0 hasta 2019.4.5, un usuario identificado con el permiso VariableViewUnscoped o VariableEditUnscoped con alcance para un proyecto específico podría ver o editar variables sin ámbito de un proyecto diferente. (Estos permisos son solo usados en roles de usuario personalizados y no afectan a los roles de usuario integrados).
Vulnerabilidad en En HoneyPress a través 2016-09-27 (CVE-2019-11633)
Gravedad:
MediaMedia
Publication date: 01/05/2019
Last modified:
24/08/2020
Descripción:
En HoneyPress a través del 2016-09-27 los atacantes pueden tomar las huellas dactilares debido a los complejos y diferentes nombres de host www.atxsec.com y ayylmao.wpengine.com dentro de plantillas falsas WordPress. Esto permite a los atacantes descubrir y evitar este sistema honeypot.
Vulnerabilidad en Apache (CVE-2019-0213)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
En Apache Archiva anterior a versión 2.2.4, puede ser posible almacenar código XSS malicioso en entradas de configuración central, es decir, la URL logo. La vulnerabilidad es considerada un riesgo menor, ya que solo los usuarios con rol de administrador pueden cambiar la configuración, o la comunicación entre el navegador y el servidor Archiva debe verse comprometida.
Vulnerabilidad en Crestron AM-100 con firmware 1.6.0.2 y AM- (CVE-2019-3927)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
16/10/2020
Descripción:
En Crestron AM-100 con versión de firmware 1.6.0.2 y AM-101 con el firmware versión 2.7.0.2 cualquiera puede cambiar las contraseñas de administrador y moderador por medio la OID iso.3.6.1.4.1.3212.100.3.2.8.1 y iso.3.6.1.4.1.3212.100.3.2.8.2. Un atacante remoto sin identificar puede usar esta vulnerabilidad para cambiar la contraseña del usuario administrador o moderador y obtener acceso a áreas restringidas en la interfaz HTTP.
Vulnerabilidad en Crestron AM-100 con la versión firmware (CVE-2019-3928)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
09/10/2019
Descripción:
Crestron AM-100 con versión de firmware 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 permite a cualquier usuario obtener el código de acceso de presentación por medio de la OID iso.3.6.1.4.1.3212.100.3.2.7.4. Un atacante remoto sin identificar puede usar esta vulnerabilidad para acceder a una presentación restringida o para convertirse en presentador.
Vulnerabilidad en el endpoint HTTP file_transfer.cgi en el firmware (CVE-2019-3929)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
16/10/2020
Descripción:
El firmware Crestron AM-100 versión 1.6.0.2, el firmware Crestron AM-101 versión 2.7.0.1, Barco wePresent WiPG-1000P firmware versión 2.3.0.10, Barco wePresent WiPG-1600W antes del firmware versión 2.4.1.19, Extron ShareLink 200/250 firmware versión 2.0.3.4, Teq AV IT WIPS710 firmware versión 1.1.0.7, SHARP PN-L703WA firmware versión 1.4.2.3, Optoma WPS-Pro firmware versión 1.0.0.5, Blackbox HD WPS firmware versión 1.0.0.5, InFocus LiteShow3 firmware versión 1.0.16 e InFocus LiteShow4 versión 2.0.0.7 son vulnerables para ordenar la inyección por medio del endpoint HTTP file_transfer.cgi. Un atacante remoto no identificado puede usar esta vulnerabilidad para ejecutar comandos del sistema operativo como root.
Vulnerabilidad en PARSERtoCHAR (CVE-2019-3930)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
16/10/2020
Descripción:
El firmware Crestron AM-100 versión 1.6.0.2, el firmware Crestron AM-101 versión 2.7.0.1, Barco wePresent WiPG-1000P firmware versión 2.3.0.10, Barco wePresent WiPG-1600W antes del firmware versión 2.4.1.19, Extron ShareLink 200/250 firmware versión 2.0.3.4, Teq AV IT WIPS710 firmware versión 1.1.0.7, SHARP PN-L703WA firmware versión 1.4.2.3, Optoma WPS-Pro firmware versión 1.0.0.5, Blackbox HD WPS firmware versión 1.0.0.5, InFocus LiteShow3 firmware versión 1.0.16 e InFocus LiteShow4 versión 2.0.0.7 son vulnerables a un desbordamiento de búfer de pila en la función PARSERtoCHAR de libAwgCgi.so. Un atacante remoto no autenticado puede usar esta vulnerabilidad para ejecutar código arbitrario como root por medio de una petición creada para el endpoint return.cgi.
Vulnerabilidad en Crestron AM-100 (CVE-2019-3931)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
16/10/2020
Descripción:
Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 son vulnerables a la inyección de argumentos en el binario curl por medio de peticiones HTTP creadas para el archivo return.cgi. Un atacante remoto y identificado puede usar esta vulnerabilidad para cargar archivos en el dispositivo y finalmente ejecutar el código como root.
Vulnerabilidad en archivo return.tgi en Crestron AM-100 con firmware (CVE-2019-3932)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
09/10/2019
Descripción:
Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 son vulnerables a la omisión de identificación debido a una contraseña codificada en el archivo return.tgi. Un atacante remoto no autorizado puede usar esta vulnerabilidad para controlar dispositivos externos por medio del uart_bridge.
Vulnerabilidad en el archivo /images/browserslide.jpg en Crestro (CVE-2019-3933)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
16/10/2020
Descripción:
Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 permite a cualquiera omitir el código de presentación simplemente solicitando el archivo /images/browserslide.jpg por medio de HTTP. Un atacante remoto no autenticado puede usar esta vulnerabilidad para ver una presentación de diapositivas sin conocer el código de acceso.
Vulnerabilidad en login.cgi en Crestron AM-100 con firmware con firmware (CVE-2019-3934)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
16/10/2020
Descripción:
Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 permite que cualquiera pueda omitir el código de presentación enviando una petición HTTP POST creada para el archivo login.cgi. Un atacante remoto no identificado puede usar esta vulnerabilidad para descargar la imagen de diapositiva actual sin conocer el código de acceso.
Vulnerabilidad en Crestron AM-100 (CVE-2019-3935)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
09/10/2019
Descripción:
Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 permite a cualquier persona actuar como moderador de una presentación de diapositivas por medio de peticiones HTTP POST creadas para el archivo conference.cgi. Un atacante remoto no identificado puede usar esta vulnerabilidad para iniciar, detener y desconectar presentaciones de diapositivas activas.
Vulnerabilidad en TCP 389 en Crestron AM-100 con firmware (CVE-2019-3936)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
09/10/2019
Descripción:
Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 es vulnerable a la Denegación de Servicio mediante una petición creada al puerto TCP 389. La petición forzará a la presentación de diapositivas a pasar a un estado "stopped". Un atacante remoto no autenticado puede usar esta vulnerabilidad para detener una presentación activa.
Vulnerabilidad en el archivo /tmp/scfgdndf en Crestron (CVE-2019-3937)
Gravedad:
BajaBaja
Publication date: 30/04/2019
Last modified:
16/10/2020
Descripción:
"Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 almacena nombres de usuario, contraseñas, código de acceso a presentación de diapositivas y otras opciones de configuración en texto no cifrado en el archivo /tmp/scfgdndf. Un atacante local puede usar esta vulnerabilidad para recuperar datos confidenciales. "
Vulnerabilidad en la función "export configuration" en Crestron (CVE-2019-3938)
Gravedad:
BajaBaja
Publication date: 30/04/2019
Last modified:
09/10/2019
Descripción:
Crestron AM-100 con firmware versión 1.6.0.2 y AM-101 con firmware versión 2.7.0.2 almacena nombres de usuario, contraseñas y otras opciones de configuración en el archivo generado por medio de la función "export configuration". El archivo de configuración es encriptado usando el binario awenc. El mismo binario puede ser usado para descifrar cualquier archivo de configuración, ya que toda la lógica de cifrado está codificada. Un atacante local puede usar esta vulnerabilidad para conseguir acceso a los nombres de usuario y contraseñas de los dispositivos.
Vulnerabilidad en FT Intellect Core Banking (CVE-2018-14874)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
03/05/2019
Descripción:
Un problema fue descubierto en Polaris FT Intellect Core Banking versión 9.7.1. La entrada pasada por medio del parámetro Code en tres páginas como collaterals/colexe3t. jsp y /References/refsuppu.jsp y /References/refbranu.jsp es manipulada antes de ser usada en peticiones SQL, permitiendo la inyección de SQL con una sesión autorizada.
Vulnerabilidad en Polaris FT Intellect Core Banking (CVE-2018-14875)
Gravedad:
BajaBaja
Publication date: 30/04/2019
Last modified:
03/05/2019
Descripción:
Fue encontrado un problema de tipo Reflected XSS en Polaris FT Intellect Core Banking versión 9.7.1. existe con una sesión autorizada por medio de los parámetros CustomerID, formName, FrameId o MODE.
Vulnerabilidad en Polaris FT Intellect Core Banking (CVE-2018-14931)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
03/05/2019
Descripción:
Fue encontrado un problema en Polaris FT Intellect Core Banking versión 9.7.1. Una redirección abierta existe por medio de /Intelectmain.jsp?Intelectsystem=URI.
Vulnerabilidad en el componente FileManager en InfinitumIT (CVE-2019-11193)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
El FileManager en InfinitumIT DirectAdmin a través de la versión 1.561 presenta XSS de CMD_FILE_MANAGER, CMD_SHOW_USER y CMD_SHOW_RESELLER; un atacante puede omitir la protección CSRF con esto, y tomar el control del panel de administración.
Vulnerabilidad en HiDriveMaintenanceService en STRATO HiDrive Desktop Client (CVE-2019-9486)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
STRATO HiDrive Desktop Client versión 5.0.1.0 para Windows sufre una vulnerabilidad de escalada de privilegios SYSTEM por medio del servicio HiDriveMaintenanceService. Este servicio establece un endpoint NetNamedPipe que permite a las aplicaciones conectarse y llamar a métodos expuestos públicamente. Un atacante puede inyectar y ejecutar un código mediante el pirateo de comunicaciones no seguras con el servicio. Esta vulnerabilidad también afecta a Telekom MagentaCLOUD a través de la versión 5.7.0.0 y 1&1 Online Storage a través de la versión 6.1.0.0.
Vulnerabilidad en ujifilm FCR Capsula X/ Carbon X/ FCR XC-2 en (CVE-2019-10948)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
09/10/2019
Descripción:
Fujifilm FCR Capsula X/Carbon X/FCR XC-2, versiones del modelo CR-IR 357 FCR Carbon X, CR-IR 357 FCR XC-2, FCR-IR 357 FCR Capsula X son susceptibles a una condición de denegación de servicio como resultado de un desbordamiento de paquetes TCP, lo que requiere que el dispositivo se reinicie manualmente.
Vulnerabilidad en Fujifilm FCR Capsula X/ Carbon X/ FCR XC-2 (CVE-2019-10950)
Gravedad:
AltaAlta
Publication date: 30/04/2019
Last modified:
02/10/2020
Descripción:
Vulnerabilidad en Fujifilm FCR Capsula X/Carbon X/FCR XC-2, versiones modelo CR-IR 357 FCR Carbon X, CR-IR 357 FCR XC-2, FCR-IR 357 FCR capsula X proporcionan servicios Telnet no seguros que carecen de requisitos de identificación. Un atacante que realice una operación con éxito a esta vulnerabilidad puede tener acceso al sistema operativo subyacente.
Vulnerabilidad en IMFForceDelete.sys (CVE-2019-6494)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
24/08/2020
Descripción:
En la biblioteca IMFForceDelete.sys en IObit Malware Fighter versión 6.2 permite a un usuario con pocos privilegios enviar IOCTL 0x8016E000 junto con una cadena definida por el usuario hacia un archivo; ese archivo se eliminará rápidamente, independientemente de los controles de acceso.
Vulnerabilidad en el Plugin Static Analysis Utilities (CVE-2019-10307)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
06/05/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en el Plugin Static Analysis Utilities de Jenkins versión 1.95 y anteriores, en el método de controlador de formulario DefaultGraphConfigurationView#doSave permitía a los atacantes cambiar la configuración de gráfico por defecto por trabajo para todos los usuarios.
Vulnerabilidad en el Plugin Static Analysis Utilities de Jenkins (CVE-2019-10308)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
02/10/2020
Descripción:
Una falta de comprobación de permiso en el Plugin Static Analysis Utilities de Jenkins versión 1.95 y anteriores, en el método controlador de formulario DefaultGraphConfigurationView#doSave permitía a los atacantes con permiso General y Lectura para cambiar la configuración de gráfico por defecto per-job para todos los usuarios.
Vulnerabilidad en lugin Self-Organizing Swarm y Modules (CVE-2019-10309)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
06/05/2019
Descripción:
En los Plugin Self-Organizing Swarm y Modules de Jenkins, clientes que usan difusión UDP para encontrar servidores maestros Jenkins no impiden el procesamiento de entidades externas XML al procesar las respuestas, lo que permite a los atacantes no autorizados de la misma red leer de manera arbitraria archivos de clientes Swarm.
Vulnerabilidad en el metodo TowerInstallation.TowerInstallationDes (CVE-2019-10310)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
06/05/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Ansible Tower Plugin versión 0.9.1 y anteriores en el método de comprobación de formulario TowerInstallation.TowerInstallationDescriptor#doTestTowerConnection permitía a los atacantes permiso para conectarse a un URL especificada por el atacante mediante los identificadores de credenciales especificados por el atacante obtenidos por otro método, capturando las credenciales almacenadas en Jenkins
Vulnerabilidad en Ansible Tower Plugin (CVE-2019-10311)
Gravedad:
MediaMedia
Publication date: 30/04/2019
Last modified:
01/10/2020
Descripción:
Una falta de comprobación de permiso en Jenkins Ansible Tower plugin versión 0.9.1 y versiones anteriores en el método de comprobación de formulario TowerInstallationDescriptor#doTestTowerConnection permitía a los atacantes con permiso general y de lectura conectarse a un URL especificada por el atacante usando identificadores de credenciales especificados por el atacante obtenidos por otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en NSS 3.39 (CVE-2018-12384)
Gravedad:
MediaMedia
Publication date: 29/04/2019
Last modified:
24/08/2020
Descripción:
Cuando se maneja una petición ClientHello compatible con SSLv2, el servidor no genera un nuevo valor aleatorio, sino que envía un valor All-Zero en su lugar. Esto conlleva a una maleabilidad completa del ClientHello para SSLv2 usado para TLS 1.2 en todas las versiones anteriores a NSS 3.39. Esto no afecta a TLS 1.3.
Vulnerabilidad en AuthenticationClient::VerifySignature (CVE-2018-19442)
Gravedad:
AltaAlta
Publication date: 25/04/2019
Last modified:
22/01/2020
Descripción:
Un desbordamiento de búfer en Network::AuthenticationClient::VerifySignature en /bin/Astro en Neato Botvac Connected versión 2.2.0 permite a un atacante remoto ejecutar código arbitrario con privilegios de root por medio de una petición POST creada para un URI Neato Cloud de vendors/neato/robots/[robot_serial]/messages en el sitio web nucleo.neatocloud.com (puerto 4443).
Vulnerabilidad en Zoho ManageEngine ServiceDesk (CVE-2019-10008)
Gravedad:
MediaMedia
Publication date: 24/04/2019
Last modified:
25/04/2019
Descripción:
Zoho ManageEngine ServiceDesk versión 9.3 permite el secuestro de sesión y la escalada de privilegios porque una sesión de invitado establecida se convierte automáticamente en una sesión de administrador establecida cuando el usuario invitado ingresa el nombre de usuario del administrador, con un contraseña incorrecta arbitraria, en un intento mc/login dentro de una pestaña diferente del navegador.
Vulnerabilidad en DataPump de Oracle Database Server. (CVE-2019-2571)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Hay una vulnerabilidad en el componente RDBMS DataPump de Oracle Database Server. Las versiones compatibles que se ven afectadas son 11.2.0.4, 12.1.0.2, 12.2.0.1 y versión 18c. La vulnerabilidad difícil de explotar permite que un atacante de alto privilegio tenga privilegios de rol de DBA con acceso a la red por medio de Oracle Net para comprometer el DataBump de RDBMS. Los ataques con éxito de esta vulnerabilidad pueden resultar en la adquisición de RDBMS DataPump. CVSS versión 3.0 Puntuación Base 6.6 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/ A:H).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2574)
Gravedad:
BajaBaja
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Hay una vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponent: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. Una vulnerabilidad fácilmente aprovechable permite que un atacante con pocos privilegios inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 6.5 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N).
Vulnerabilidad en Oracle AutoVue 3D Professional Advanced de Oracle Supply Chain Products Suite (CVE-2019-2575)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Hay una vulnerabilidad en el componente Oracle AutoVue 3D Professional Advanced de Oracle Supply Chain Products Suite (subcomponent: Format Handling - 2D). Las versiones compatibles que se ven afectadas son 21.0.0 y versión 21.0.1. Una vulnerabilidad fácilmente aprovechable permite que un atacante no identificado con acceso a la red por medio de HTTP comprometa a Oracle AutoVue 3D Professional Advanced. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle AutoVue 3D Professional Advanced. CVSS versión 3.0 Puntuación Base 5.3 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en en Oracle Service Bus de Oracle Fusion Middleware (CVE-2019-2576)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Hay una vulnerabilidad en el componente Oracle Service Bus de Oracle Fusion Middleware (subcomponent: Web Container). Las versiones compatibles que se ven afectadas son 11.1.1.9.0,versión 12.1.3.0.0 y versión 12.2.1.3.0. Una vulnerabilidad fácilmente aprovechable permite que un atacante no identificado con acceso a la red por medio de HTTP comprometa a Oracle Service Bus. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (partial DOS) de Oracle Service Bus. CVSS versión 3.0 Puntuación Base 5.3 (Impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el componente PeopleSoft Enterprise (CVE-2019-2586)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente PeopleSoft Enterprise PT PeopleTools de Oracle PeopleSoft Products (subcomponent: RemoteCalll). Las versiones admitidas que se ven afectadas son 8.55, 8.56 y 8.57. Vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios con acceso a la red HTTP para comprometer PeopleSoft Enterprise PT PeopleTools. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PT PeopleTools. CVSS 3.0 puntuación base 4.3 (impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el componente PeopleSoft Enterprise (CVE-2019-2590)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente PeopleSoft Enterprise HCM Talent Acquisition Manager de Oracle PeopleSoft Products (subcomponent: Job Opening). La versión afectada es la 9,2. Vulnerabilidad fácilmente explotable permite a un atacante sin autenticar con acceso a la red HTTP comprometer a PeopleSoft Enterprise HCM Talent Acquisition Manager. Los ataques exitosos requieren la interacción humana de una persona que no sea el atacante y mientras que la vulnerabilidad está en PeopleSoft Enterprise HCM Talent Acquisition Manager, los ataques pueden afectar significativamente a los productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de PeopleSoft Enterprise HCM Talent Acquisition Manager, así como a la actualización no autorizada, inserción o eliminación de acceso a algunos de Datos accesibles del gestor de adquisición de talentos PeopleSoft Enterprise HCM. CVSS 3.0 puntuación base 8.2 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en PeopleSoft Enterprise HRMS (CVE-2019-2591)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente PeopleSoft Enterprise HRMS de Oracle PeopleSoft Products (subcomponent: Candidate Gateway). La versión afectada es la 9.2. Vulnerabilidad fácilmente explotable permite a un atacante sin autenticar con acceso a la red HTTP para comprometer PeopleSoft Enterprise HRMS. Los ataques exitosos requieren la interacción humana de una persona que no sea el atacante y mientras que la vulnerabilidad está en PeopleSoft Enterprise HRMS, los ataques pueden afectar significativamente a los productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización no autorizada, inserción o eliminación de acceso a algunos de los datos accesibles de PeopleSoft Enterprise HRMS, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise HRMS. CVSS 3.0 puntuación base 6.1 (impactos de confidencialidad e integridad). Vector CVSS: CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle PeopleSoft (CVE-2019-2594)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente PeopleSoft Enterprise PT PeopleTools de Oracle PeopleSoft Products (subcomponent: Application Server). Las versiones admitidas que se ven afectadas son 8.55, 8.56 y 8.57. La vulnerabilidad de difícil explotación permite a un atacante con pocos privilegios con acceso a la red HTTP para comprometer PeopleSoft Enterprise PT PeopleTools. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de acceso a datos críticos o a todos los datos accesibles de PeopleSoft Enterprise PT PeopleTools, así como acceso no autorizado a datos críticos o acceso completo a todos los Datos accesibles de PeopleSoft Enterprise PT PeopleTools. CVSS 3.0 puntuación base 6.8 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en PeopleSoft Enterprise PeopleTools (CVE-2019-2597)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft Products (subcomponent: PIA Core Technology). Las versiones admitidas que se ven afectadas son 8.55, 8.56 y 8.57. Vulnerabilidad fácilmente operable permite a un atacante sin identificar con acceso a la red HTTP para comprometer PeopleSoft Enterprise PeopleTools. Los ataques con éxito requieren la interacción humana de una persona que no sea el atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización no autorizada, inserción o eliminación de acceso a algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools . CVSS 3.0 puntuación base 5.4 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N).
Vulnerabilidad en el componente PeopleSoft Enterprise PeopleTools (CVE-2019-2598)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft Products (subcomponente: SQR). Las versiones admitidas que se ven afectadas son 8.55, 8.56 y 8.57. Vulnerabilidad fácilmente operable permite a los atacantes con privilegios elevados con acceso a la red HTTP comprometer PeopleSoft Enterprise PeopleTools. Aunque la vulnerabilidad está en PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a los productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de acceso a datos críticos o a todos los datos accesibles de PeopleSoft Enterprise PeopleTools, así como acceso no autorizado a datos críticos o acceso completo a todos los PeopleSoft Enterprise PeopleTools datos accesibles. CVSS 3.0 puntuación base 8.7 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N).
Vulnerabilidad en Oracle Business Intelligence Enterprise Edition (CVE-2019-2605)
Gravedad:
BajaBaja
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (subcomponent: Web Catalog). Las versiones admitidas que se ven afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Vulnerabilidad de difícil operación permite al atacante sin identificar con acceso a la red HTTP comprometer Oracle Business Intelligence Enterprise Edition. Los ataques con éxito requieren la interacción humana de una persona que no sea el atacante y mientras que la vulnerabilidad está en Oracle Business Intelligence Enterprise Edition, los ataques pueden afectar significativamente a los productos adicionales. Los ataques éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 puntuación base 3.4 (impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N).
Vulnerabilidad en Oracle outside in Technology (CVE-2019-2608)
Gravedad:
AltaAlta
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle outside in Technology de Oracle Fusion Middleware (subcomponent: Outside In Filters). Las versiones admitidas que se ven afectadas son 8.5.3 y 8.5.4. Vulnerabilidad fácilmente operable permite a un atacante sin identificar con acceso a la red HTTP para comprometer Oracle outside in Technology. Los ataques con éxito de esta vulnerabilidad pueden provocar la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle outside in Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle outside in Technology y capacidad no autorizada para causar una denegación de servicio parcial (partial DOS) de Oracle outside in Technology. Nota: outside in Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código outside in Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al exterior en el código de tecnología, pero si los datos no se reciben mediante la red, la puntuación CVSS puede ser menor. CVSS versión 3.0 puntuación base 7.3 (impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en Oracle outside in Technology (CVE-2019-2609)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle outside in Technology de Oracle Fusion Middleware (subcomponent: Outside In Filters). Las versiones admitidas que se ven afectadas son 8.5.3 y 8.5.4. Vulnerabilidad de fácil funcionamiento permite a un atacante sin identificar con acceso a la red HTTP para comprometer Oracle outside in Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle outside in Technology y a la capacidad no autorizada de provocar una denegación de servicio parcial (partial DOS) de Oracle outside in Technology. Nota: outside in Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código outside in Technology. La puntuación CVSS asume que el software pasa los datos recibidos mediante una red directamente al exterior en el código de tecnología, pero si los datos no se reciben por medio de una red, la puntuación CVSS puede ser menor. CVSS 3.0 puntuación base 6.5 (impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L).
Vulnerabilidad en el componente Oracle outside in Technology (CVE-2019-2610)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle outside in Technology de Oracle Fusion Middleware (subcomponent: Outside In Filters). Las versiones admitidas que se ven afectadas son 8.5.3 y 8.5.4. Vulnerabilidad fácilmente aprovechable permite a un atacante sin identificar con acceso a la red HTTP para comprometer Oracle outside in Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle outside in Technology y a la capacidad no autorizada de provocar una denegación de servicio parcial (partial DOS) de Oracle outside in Technology. Nota: outside in Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código outside in Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al exterior en el código de tecnología, pero si los datos no se reciben mediante la red, la puntuación CVSS puede ser menor. CVSS 3.0 puntuación base 6.5 (impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L).
Vulnerabilidad en el componente Oracle outside in Technology (CVE-2019-2611)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle outside in Technology de Oracle Fusion Middleware (subcomponent: Outside In Filters). Las versiones admitidas que se ven afectadas son 8.5.3 y 8.5.4. Vulnerabilidad fácilmente aprovechable permite a un atacante sin identificar con acceso a la red HTTP para comprometer Oracle outside in Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle outside in Technology y a la capacidad no autorizada de provocar una denegación de servicio parcial (partial DOS) de Oracle outside in Technology. Nota: outside in Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código outside in Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al exterior en el código de tecnología, pero si los datos no se reciben a mediante una red, la puntuación CVSS puede ser menor. CVSS 3.0 puntuación base 6.5 (impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L).
Vulnerabilidad en el componente Oracle outside in Technology (CVE-2019-2612)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle outside in Technology de Oracle Fusion Middleware (subcomponent: Outside In Filters). Las versiones admitidas que se ven afectadas son 8.5.3 y 8.5.4. Vulnerabilidad fácilmente aprovechable permite a un atacante sin autorizar con acceso a la red HTTP para comprometer Oracle outside in Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle outside in Technology y a la capacidad no autorizada de provocar una denegación de servicio parcial (partial DOS) de Oracle outside in Technology. Nota: outside in Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código outside in Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al exterior en el código de tecnología, pero si los datos no se reciben a mediante la red, la puntuación CVSS puede ser menor. CVSS 3.0 puntuación base 6.5 (impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L).
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (CVE-2019-2613)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle outside in Technology de Oracle Fusion Middleware (subcomponent: Outside In Filters). Las versiones admitidas que se ven afectadas son 8.5.3 y 8.5.4. Vulnerabilidad fácilmente aprovechable permite a un atacante sin identificar con acceso a la red HTTP para comprometer Oracle outside in Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle outside in Technology y a la capacidad no autorizada de causar una denegación de servicio parcial (partial DOS) de Oracle outside in Technology. Nota: outside in Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código outside in Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al exterior en el código de tecnología, pero si los datos no se reciben a través de una red, la puntuación CVSS puede ser menor. CVSS 3.0 puntuación base 6.5 (impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L).
Vulnerabilidad en Oracle WebLogic Server (CVE-2019-2615)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponent: WLS Core Components). Las versiones admitidas que se ven afectadas son 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0. Vulnerabilidad fácilmente aprovechable permite a un atacante con privilegios elevados con acceso a la red HTTP para comprometer Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden ocasionar un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 4.9 (Impactos de Confidencialidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en el componente Work in Process de Oracle de Oracle E-Business Suite (CVE-2019-2633)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Work in Process de Oracle de Oracle E-Business Suite (subcomponent: Messages). Las versiones admitidas que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios con acceso a la red HTTP para comprometer el componente Work in Process de Oracle. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación sin autorización de acceso a datos críticos o a todos los datos accesibles de Oracle Work in Process. CVSS 3.0 Puntuación Base 9.9 (Impactos de Confidencialidad, integridad y disponibilidad.). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L).
Vulnerabilidad en el componente Oracle General Ledger de Oracle E-Business Suite (CVE-2019-2638)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle General Ledger de Oracle E-Business Suite (subcomponent: Consolidation Hierarchy Viewer). Las versiones admitidas que se ven afectadas son 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 y 12.2.8. Vulnerabilidad fácilmente aprovechable permite a un atacante con pocos privilegios con acceso a la red de HTTP para comprometer Oracle General Ledger. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de acceso a datos críticos o a todos los datos accesibles de Oracle General Ledger, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle General Ledger. CVSS 3.0 Puntuación Base 9.9 (Impactos de Confidencialidad, integridad y disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2690)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
Hay una vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponent: Core). Las versiones compatibles que se ven afectadas son anteriores a 5.2.28 y anteriores a 6.0.6. La vulnerabilidad difícil de explotar permite que un atacante con pocos privilegios inicie sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS versión 3.0 Puntuación Base 7.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en read_ujpg en jpgcoder.cc en Dropbox (CVE-2018-20820)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/04/2019
Descripción:
En read_ujpg en jpgcoder.cc en Dropbox Lepton versión 1.2.1 hay una vulnerabilidad que permite a los atacantes provocar una denegación de servicio (bloqueo de tiempo de ejecución de la aplicación debido a un desbordamiento de enteros) por medio de un archivo creado
Vulnerabilidad en LibSass (CVE-2018-20821)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
24/08/2020
Descripción:
El componente de análisis en LibSass versión hasta 3.5.5 permite a los atacantes causar una denegación de servicio (recursión no controlada Sass::Parser::parse_css_variable_value in parser.cpp).
Vulnerabilidad en SiteServer CMS (CVE-2019-11401)
Gravedad:
MediaMedia
Publication date: 22/04/2019
Last modified:
24/04/2019
Descripción:
Fue encontrado un problema en SiteServer CMS versión 6.9.0. Permite a los atacantes remotos ejecutar un código arbitrario porque un administrador puede agregar la extensión de archivo permitida .aassp, que se convierte en .asp porque se elimina la subcadena "as".
Vulnerabilidad en el Plugin GitLab de Jenkins (CVE-2019-10300)
Gravedad:
BajaBaja
Publication date: 18/04/2019
Last modified:
06/05/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en el Plugin GitLab de Jenkins versión 1.5.11 y anteriores en el método de validación del formulario GitLabConnectionConfig#doTestConnection permitió a los atacantes conectarse a una URL especificada por el atacante utilizando las ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando credenciales almacenadas en Jenkins
Vulnerabilidad en Check Point ZoneAlarm (CVE-2019-8455)
Gravedad:
BajaBaja
Publication date: 17/04/2019
Last modified:
22/10/2020
Descripción:
Un enlace físico creado a partir del archivo de registro de Check Point ZoneAlarm versión hasta 15.4.062, cualquier archivo en el sistema cambiará su permiso para que todos los usuarios puedan acceder a ese archivo vinculado. Hacer esto en archivos con acceso limitado le otorga al atacante local mayores privilegios para el archivo.
CVE-2019-3883
Gravedad:
MediaMedia
Publication date: 17/04/2019
Last modified:
13/11/2020
Descripción:
En 389-ds-base hasta la versión 1.4.1.2, las peticiones son manejadas por hilos de trabajo. Cada conexión será esperada mediante el trabajador durante un máximo de segundos de 'ioblocktimeout'. Sin embargo, este tiempo de espera se aplica solo para peticiones sin cifrar. Las conexiones que usan SSL/TLS no toman en cuenta este tiempo de espera durante l
Vulnerabilidad en las plataformas iSeries. En estas plataformas, en BIG-IP (CVE-2019-6609)
Gravedad:
MediaMedia
Publication date: 15/04/2019
Last modified:
24/08/2020
Descripción:
Existe una debilidad dependiente de la plataforma. Este problema sólo afecta a las plataformas iSeries. En estas plataformas, en BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) versiones 14.0.0-versión 14.1.0.1,versión 13.0.0-versión 13.1.1.3 y versión 12.1.1 HF2-12.1.4, el atributo secureKeyCapable no se configuró, lo que hace que la bóveda de seguridad no use el soporte de hardware F5 para almacenar la clave de la unidad. En su lugar, la clave de la unidad se almacena en texto plano que se encuentra en el disco como sería el caso de los sistemas Z100. Además, esto hace que la clave de la unidad se almacene en los archivos UCS tomados en estas plataformas.
Vulnerabilidad en Odoo Community (CVE-2018-15631)
Gravedad:
MediaMedia
Publication date: 09/04/2019
Last modified:
16/09/2020
Descripción:
El control de acceso inadecuado en la aplicación de discusión de Odoo Community 12.0 y anterior, y Odoo Enterprise 12.0 y anterior permite a los atacantes identificados remotos enviarse por correo electrónico archivos arbitrarios de la base de datos, a través de una petición RPC diseñada.
Vulnerabilidad en Oracle Applications Manager (CVE-2019-2546)
Gravedad:
MediaMedia
Publication date: 16/01/2019
Last modified:
24/08/2020
Descripción:
Hay una vulnerabilidad en el componente Oracle Applications Manager de Oracle E-Business Suite (subcomponent: SQL Extensions). Las versiones compatibles que se ven afectadas son 12.1.1,versión 12.1.2,versión 12.1.3,versión 12.2.3,versión 12.2.4, versión 12.2.5,versión 12.2.6,versión 12.2.7 y versión 12.2.8. Una vulnerabilidad fácilmente aprovechable permite que un atacante no identificado con acceso a la red por medio de HTTP comprometa a Oracle Applications Manager. Los ataques con éxito requieren la interacción humana de una persona que no sea el atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Applications Manager. CVSS versión 3.0 Puntuación Base 8.1 (Impactos de integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H).
Vulnerabilidad en Telligent Community (CVE-2018-16235)
Gravedad:
MediaMedia
Publication date: 23/10/2018
Last modified:
25/04/2019
Descripción:
Telligent Community versión 6.x,versión 7.x,versión 8.x, versión 9.x anterior a 9.2.10.11796,versión 10.1.x anterior a 10.1.10.11792, y versión 10.2.x anterior a 10.2.3.4725 tiene una vulnerabilidad de tipo Cross-Site Scripting (XSS) por medio del widget Feed RSS.
Vulnerabilidad en en IBM WebSphere (CVE-2017-1382)
Gravedad:
BajaBaja
Publication date: 24/07/2017
Last modified:
02/10/2019
Descripción:
IBM WebSphere Application Server versión 7.0,versión 8.0,versión 8.5 y versión 9.0 podría crear archivos usando los permisos por defecto en lugar de los permisos personalizados cuando se usan scripts de inicio personalizados. Un atacante local podría explotar esto para obtener acceso a archivos con un impacto desconocido. ID de IBM X-Force: 127153.
Vulnerabilidad en IBM Security Guardium (CVE-2017-1267)
Gravedad:
MediaMedia
Publication date: 21/07/2017
Last modified:
03/05/2019
Descripción:
IBM Security Guardium versión 10.0 y versión 10.1 procesa parches, copias de seguridad de imágenes y otras actualizaciones sin suficiente comprobación del origen y la integridad del código. ID de IBM X-Force: 124742.
Vulnerabilidad en IBM WebSphere Application Server Proxy Server (CVE-2017-1381)
Gravedad:
BajaBaja
Publication date: 21/07/2017
Last modified:
03/05/2019
Descripción:
IBM WebSphere Application Server Proxy Server o On-demand-router (ODR) versión 7.0,versión 8.0,versión 8.5,versión 9.0 podría permitir a un atacante local obtener información confidencial, causada por el almacenamiento de datos antiguos. ID de IBM X-Force: 127152.
Vulnerabilidad en productos de Apple. iTunes versión (CVE-2017-7053)
Gravedad:
AltaAlta
Publication date: 20/07/2017
Last modified:
02/10/2019
Descripción:
Fue detectado un problema en ciertos productos de Apple. iTunes versión anterior a 12.6.2 en Windows se ve afectado. El tema involucra el componente "iTunes". Permite a los atacantes ejecutar un código arbitrario en un contexto privilegiado por medio de una aplicación creada.
Vulnerabilidad en el descovery-debug en Foreman (CVE-2016-4996)
Gravedad:
BajaBaja
Publication date: 17/07/2017
Last modified:
06/05/2019
Descripción:
Se ha descubierto una vulnerabilidad en el descovery-debug en Foreman versión anterior a 6.2 cuando el servicio ssh se ha habilitado en los nodos descubiertos muestra la contraseña de tipo root en texto plano del sistema cuando se usa para iniciar sesión, lo que permite a los usuarios locales con acceso al System Journal puedan obtener la contraseña de tipo root leyendo El System Journal, o haciendo clic en Registros en la consola.
Vulnerabilidad en La clase DiskFileItem en Apache Wicket (CVE-2016-6793)
Gravedad:
MediaMedia
Publication date: 17/07/2017
Last modified:
06/05/2019
Descripción:
La clase de DiskFileItem en Apache Wicket versión 6.x anterior a 6.25.0 y versión 1.5.x anterior a 1.5.17 permite a los atacantes remotos causar una denegación de servicio (infinite loop) escribir, mover y eliminar archivos con los permisos de DiskFileItem, y Si se ejecuta en una máquina virtual Java versión anterior a la 1.3.1, ejecute un código arbitrario por medio de un objeto Java serializado creado.
Vulnerabilidad en Oracle, GlassFish Server Open Source (CVE-2017-1000028)
Gravedad:
MediaMedia
Publication date: 17/07/2017
Last modified:
03/05/2019
Descripción:
Oracle, GlassFish Server Open Source Edition versión 4.1 es vulnerable a directorios identificados y no autorizados, que puede operarse emitiendo una petición GET de HTTP especialmente creada.
Vulnerabilidad en IBM InfoSphere Information (CVE-2017-1321)
Gravedad:
MediaMedia
Publication date: 12/07/2017
Last modified:
29/10/2019
Descripción:
IBM InfoSphere Information Server versión 9.1,versión 11.3 y versión 11.5 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite a los usuarios insertar un código JavaScript arbitrario en la interfaz del usuario web, por lo tanto, alterar la funcionalidad deseada que podría conducir a la divulgación de credenciales dentro de una sesión segura. ID de IBM X-Force: 125916.