Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en SAP R / 3 Enterprise (CVE-2019-0311)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
El portal de concesionarios automotrices en la aplicación SAP R / 3 Enterprise (versiones: 600, 602, 603, 604, 605, 606, 616, 617) no codifica suficientemente las entradas controladas por el usuario, lo que hace posible que un atacante envíe guiones no deseados a el navegador de la víctima utiliza información no deseada y ejecuta código malicioso allí, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS).
Vulnerabilidad en NetWeaver Process Integration (CVE-2019-0312)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Varias páginas web proporcionadas SAP NetWeaver Process Integration (versiones: SAP_XIESR: 7.10 a 7.11, 7.20, 7.30, 7.31, 7.40, 7.50 y SAP_XITOOL: 7.10 a 7.11, 7.30, 7.31, 7.40, 7.50) no están protegidas con contraseña. Un atacante podría acceder a información horizontal como nombres de host, puertos u otros datos técnicos en ausencia de cortafuegos y configuración de puertos restrictivos
Vulnerabilidad en SAP NetWeaver Process Integration (CVE-2019-0315)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Bajo ciertas condiciones, la interfaz de usuario web de PI Integration Builder de SAP NetWeaver Process Integration (versiones: SAP_XIESR: 7.10 a 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, SAP_XITOOL: 7.10 a 7.11, 7.30, 7.31, 7.40, 7.50 y SAP_XIPCK 7.10 a 7.11, 7.20, 7.30) permite a un atacante acceder a las contraseñas utilizadas en los canales FTP que conducen a la divulgación de información.
Vulnerabilidad en ColdFusion (CVE-2019-7840)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Las versiones ColdFusion actualización 3 y anteriores, actualización 10 y anterior, y actualización 18 y anterior tienen una desrealización de vulnerabilidad de datos no seguros. Una operación con éxito, lleva a una ejecución de código arbitrario.
Vulnerabilidad en ColdFusion (CVE-2019-7839)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
26/06/2019
Descripción:
Las versiones ColdFusion actualización 3 y anteriores, actualización 10 y anteriores, y actualización 18 y anteriores tienen una vulnerabilidad de inyección de comandos. La operación con éxito podría llevar a la ejecución de código arbitrario.
Vulnerabilidad en (Billion Laughs Attack) en Pippo (CVE-2019-5442)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
09/10/2019
Descripción:
expansión de la entidad XML (Billion Laughs Attack) en Pippo 1.12.0 da como resultado Denegación de servicio. Las entidades se crean de forma recursiva y se toman grandes cantidades de memoria de almacenamiento dinámico. Eventualmente, el proceso JVM se quedará sin memoria. De lo contrario, si el sistema operativo no vincula la memoria en ese proceso, la memoria continuará agotándose y afectará a otros procesos en el sistem
Vulnerabilidad en Congiurator para Devicenet Safety (CVE-2019-10971)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
09/10/2019
Descripción:
La aplicación (Network Congiurator para Devicenet Safety 3.41 y priores ) busca recursos a través de una ruta de búsqueda no confiable que podría ejecutar un archivo .dll malicioso que no está bajo el control directo de la aplicación y fuera de los directorios previstos.
Vulnerabilidad en SAP NetWeaver (CVE-2019-0305)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Las páginas de servidor Java (JSP) proporcionadas por la integración de procesos de SAP NetWeaver (SAP_XIESR y SAP_XITOOL: versión 7.10 hasta 7.11, y versiones 7.20, 7.30, 7.31, 7.40, 7.50) no restringen o restringen incorrectamente los objetos frame o las capas IU que pertenecen a otra aplicación o dominio , resultando en una vulnerabilidad de tipo clickjacking. La explotación con éxito de esta vulnerabilidad conlleva a una modificación no deseada de los datos del usuario.
Vulnerabilidad en El Fuji Electric V-Server anterior a versión (CVE-2019-3946)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
El Fuji Electric V-Server anterior a versión 6.0.33.0, es vulnerable a la denegación de servicio por medio de un mensaje UDP creado en el puerto 8005. Un atacante remoto no identificado puede bloquear el archivo vserver.exe debido a un desbordamiento de enteros en la lógica de manejo de mensajes UDP.
Vulnerabilidad en Los Servicios de Aplicación Extendidos de SAP HANA (CVE-2019-0306)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Los Servicios de Aplicación Extendidos de SAP HANA (modelo avanzado), versión 1, permiten a los usuarios identificados de la Plataforma Avanzada XS con privilegios bajos, como SpaceAuditors, ejecutar solicitudes para obtener una lista completa de los identificadores y nombres de usuario de SAP HANA.
Vulnerabilidad en La función FTP de SAP (CVE-2019-0304)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
La función FTP de SAP NetWeaver AS ABAP Platform, versiones- KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22EXT, 7.49, KRNL6464 7.21 EXT, 7.22, 7.22EXT, 7.49, 7.73, KERNEL 7.21, 7.45, 7.49, 7.53, 7.73, permite a un atacante inyectar un código o un comando específicamente manipulado que puede ser ejecutado por la aplicación. Por lo tanto, un atacante podría de este modo controlar el comportamiento de la aplicación.
Vulnerabilidad en Windows AppX Deployment Service (CVE-2019-1064)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando Windows AppX Deployment Service (AppXSVC) maneja incorrectamente los enlaces físicos, también se conoce como 'Windows Elevation of Privilege Vulnerability'.
Vulnerabilidad en Task Scheduler Service (CVE-2019-1069)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios en la manera que Task Scheduler Service valida ciertos operaciones de archivo, conocido como Task Scheduler Elevation of Privilege Vulneraility.
Vulnerabilidad en Windows Shell (CVE-2019-1053)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
14/06/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando Windows Shell no puede validar los accesos directos de las carpetas, también se conoce como 'Windows Shell Elevation of Privilege Vulnerability'.
CVE-2019-3872
Gravedad:
BajaBaja
Publication date: 12/06/2019
Last modified:
09/10/2019
Descripción:
Se encontró que un SAMLRequest que contenía un script podía ser procesado por versiones de Picketlink enviadas en Jboss Application Platform 7.2.xy 7.1.x. Un atacante podría usar esto para enviar un script malicioso para lograr scripts entre sitios y obtener información no autorizada o lleva cabo de más ataques.
Vulnerabilidad en NETLOGON (CVE-2019-1019)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
19/07/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad cuando un mensaje de NETLOGON puede obtener la clave de sesión y firmar los mensajes. Para aprovechar esta vulnerabilidad, un atacante podría enviar una solicitud de autenticación especialmente diseñada, también se conoce como 'Microsoft Windows Security Feature Bypass Vulnerability'.
Vulnerabilidad en the Libreswan (CVE-2019-10155)
Gravedad:
BajaBaja
Publication date: 12/06/2019
Last modified:
29/07/2019
Descripción:
Se ha encontrado una vulnerabilidad en el proyecto The Libreswan en el procesador de IKEv1 Los paquetes de intercambio informativo IKEv1 que están cifrados y protegidos por integridad utilizando las claves de integridad y cifrado IKE SA establecidas, pero como receptor, el valor de verificación de integridad no se verificó. Este problema afecta a las versiones anteriores a 3.29.