Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Controllers/LetsEncryptController.cs en la función LetsEncryptController (CVE-2019-12276)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
24/06/2019
Descripción:
Una vulnerabilidad de tipo Path Traversal en el archivo Controllers/LetsEncryptController.cs en la función LetsEncryptController en GrandNode versión 4.40, permite a atacantes remotos no identificados, recuperar archivos arbitrarios en el servidor web por medio de peticiones HTTP de LetsEncrypt/Index?FileName= . Se realizó un parche para este problema el -30-05-2019 en GrandNode versión 4.40.
Vulnerabilidad en HPE Integrated Lights-Out 4 (iLO 4) (CVE-2019-11982)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
07/06/2019
Descripción:
Fue encontrada una vulnerabilidad de tipo cross site scripting remota en HPE Integrated Lights-Out 4 (iLO 4) anterior a la versión 2.61b para servidores Gen9 e Integrated Lights-Out 5 (iLO 5) para servidores Gen10 anteriores a la versión 1.39.
Vulnerabilidad en HPE Integrated Lights-Out 4 (iLO 4) (CVE-2019-11983)
Gravedad:
AltaAlta
Publication date: 05/06/2019
Last modified:
07/06/2019
Descripción:
Fue encontrada una vulnerabilidad de desbordamiento de búfer remoto en HPE Integrated Lights-Out 4 (iLO 4) anterior a versión 2.61b para servidores Gen9 e Integrated Lights-Out 5 (iLO 5) para servidores Gen10 anteriores a la versión versión 1.39.
Vulnerabilidad en la función de autenticación Secure Shell (SSH) (CVE-2019-1842)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
10/06/2019
Descripción:
Una vulnerabilidad en la función de identificación Secure Shell (SSH) del software IOS XR de Cisco, podría permitir a un atacante remoto identificado iniciar sesión correctamente en un dispositivo afectado usando dos nombres de usuario distintos. La vulnerabilidad es debido a un error lógico que puede ocurrir cuando ciertas secuencias de acciones son procesadas durante un evento de inicio de sesión SSH en el dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad mediante el inicio de una sesión SSH en el dispositivo con una secuencia específica que presenta los dos nombres de usuario. Una operación con éxtio podría resultar en el registro de datos falsos, enumeración de usuarios o, en ciertas circunstancias, una omisión de la autorización de comandos. Vea la sección de Detalles para más información.
Vulnerabilidad en Cisco Unified Communications Manager IM and Presence (Unified CM IM&P) Service, Cisco TelePresence Video Communication Server (VCS), and Cisco Expressway Series (CVE-2019-1845)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el servicio de identificación de Cisco Unified Communications Manager IM and Presence (Unified CM IM&P) Service, Cisco TelePresence Video Communication Server (VCS), and Cisco Expressway Series, podría permitir a un atacante remoto no identificado causar una interrupción del servicio para usuarios que intentan autenticarse, lo que resulta en una condición de Denegación de Servicio (DoS). La vulnerabilidad es debido a controles insuficientes para operaciones de memoria específicas. Un atacante podría explotar esta vulnerabilidad mediante el envió de una petición de autorización malformada de tipo Extensible Messaging and Presence Protocol (XMPP) hacia un sistema afectado. Una operación con éxito podría permitir al atacante causar un reinicio inesperado del servicio de autenticación, que evitaría que los usuarios identificarse correctamente. La explotación de esta vulnerabilidad no afecta a los usuarios que se autenticaron anterior a un ataque.
Vulnerabilidad en interfaz de administración basada en web de Cisco Webex Meetings Server (CVE-2019-1868)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Webex Meetings Server podría permitir que un atacante remoto no autorizado acceda a información confidencial del sistema. La vulnerabilidad se debe a un control de acceso inadecuado a los archivos dentro de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud maliciosa a un dispositivo afectado. Una operación con éxito podría permitir al atacante acceder a información confidencial del sistema.
Vulnerabilidad en la interfaz de administración basada en la web del Centro de Cisco (CVE-2019-1870)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web del Centro de Cisco Enterprise Chat and Email (ECE) podría permitir que un atacante remoto no identificado realice un ataque de scripts entre sitios (XSS) contra un usuario de la interfaz de administración basada en la web de un de un dispositivo afectado. La vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por la interfaz de administración basada en web de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un enlace creado. Una operación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz web o permitir que el atacante acceda a información confidencial basada en el navegador.
Vulnerabilidad en TelePresence Video Communication Server (VCS) y Expressway Series de Cisco (CVE-2019-1872)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en los programas TelePresence Video Communication Server (VCS) y Expressway Series de Cisco, podría permitir a un atacante remoto no identificado causar que un sistema afectado envíe peticiones de red arbitrarias. La vulnerabilidad es debido a restricciones inapropiadas en los servicios de red en el programa afectado. Un atacante podría explotar esta vulnerabilidad mediante el envió de peticiones maliciosas al sistema afectado. Una operación con éxito podría permitir al atacante enviar peticiones de red arbitrarias provenientes del sistema afectado.
Vulnerabilidad en la interfaz de administración basada en la web de Cisco Industrial Network Director (CVE-2019-1881)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en la web de Cisco Industrial Network Director (IND) podría permitir a un atacante remoto no autorizado realizar un ataque de falsificación de solicitudes entre sitios (CSRF) y realizar acciones arbitrarias en un dispositivo afectado. La vulnerabilidad se debe a las insuficientes protecciones CSRF para la interfaz de administración basada en web del dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que siga un enlace malicioso. Una operación con éxito podría permitir al atacante utilizar un navegador web y los privilegios del usuario para realizar acciones arbitrarias en un dispositivo afectado. Para obtener más información sobre los ataques CSRF y las posibles mitigaciones, consulte Descripción de vectores de amenazas de falsificación de solicitudes entre sitios.
Vulnerabilidad en Cisco Industrial Network Director (CVE-2019-1882)
Gravedad:
BajaBaja
Publication date: 05/06/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en Cisco Industrial Network Director podría permitir a un atacante remoto identificado dirigir ataques de tipo cross-site scripting (XSS) almacenados. La vulnerabilidad es debido a la comprobación inapropiada del contenido enviado a la aplicación afectada. Un atacante podría explotar esta vulnerabilidad mediante el envió de peticiones que contengan valores maliciosos al sistema afectado. Una operación con éxito podría permitir al atacante dirigir ataques XSS.
Vulnerabilidad en el archivo /bin/ntfs-3g en ntfs (CVE-2019-9755)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
26/07/2020
Descripción:
Existe un problema de desbordamiento de enteros en ntfs-3g versión 2017.3.23. Un atacante local podría potencialmente aprovechar esto mediante la ejecución del archivo /bin/ntfs-3g con argumentos especialmente creados desde un directorio especialmente creado para causar un desbordamiento del búfer de la pila, lo que resulta en un bloqueo o la capacidad de ejecutar código arbitrario. En instalaciones donde /bin/ntfs-3g es un binario setuid-root, esto podría conllevar a una escalada local de privilegios.
Vulnerabilidad en la extensión PHP EXIF (CVE-2019-11036)
Gravedad:
MediaMedia
Publication date: 03/05/2019
Last modified:
05/06/2019
Descripción:
Al procesar ciertos archivos, la extensión PHP EXIF en las versiones 7.1.x anteriores a 7.1.29, 7.2.x anteriores a 7.2.18 y 7.3.x anteriores a 7.3.5, puede hacer que se lea el búfer asignado en la función exif_process_IFD_TAG. Esto puede conducir a la revelación de información o a un cierre inesperado.