Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la función rcc_context (CVE-2019-12802)
Gravedad:
MediaMedia
Publication date: 13/06/2019
Last modified:
16/07/2019
Descripción:
En radare2 a hasta 3.5.1, la función rcc_context de libr/egg/egg_lang.c mishandles changing context. Esto permite a los atacantes remotos causar una denegación de servicio (application crash) o posiblemente tienen otro impacto sin especificar (invalid memory access in r_egg_lang_parsechar; invalid free in rcc_pusharg).
Vulnerabilidad en createInstanceFromNamedArguments (CVE-2019-12799)
Gravedad:
MediaMedia
Publication date: 13/06/2019
Last modified:
09/10/2019
Descripción:
En createInstanceFromNamedArguments en Shopware hasta 5.6.x, solicitud de web manual puede desencadenar una vulnerabilidad una vulnerabilidad de instanciación de objetos PHP, lo cual puede resultar una deserialización si la clase correcta es instanciado. Un atacante puede influenciar esta deserialización para lograr una ejecución del código remoto. A tener en cuenta: este problema es una para un CVE-2017-18357 Whitelist patch.
Vulnerabilidad en keycloak (CVE-2019-3875)
Gravedad:
MediaMedia
Publication date: 12/06/2019
Last modified:
09/10/2019
Descripción:
Se encontró una vulnerabilidad en keycloak versión anterior a 6.0.2. El autenticador X.509 admite la comprobación de certificados de cliente por medio de la CRL, donde la lista CRL se puede obtener de la URL proporcionada en el certificado (CDP) o por medio de la path configurada por separado. Los CRL frecuentemente están disponibles por medio de la red mediante protocolos no seguros ('http' o 'ldap') y, por lo tanto, la persona que llama debe verificar la firma y posiblemente la path de certificación. Keycloak actualmente no comprueba las firmas en CRL, lo que resulta en la posibilidad de varios ataques de tipo hombre en el medio (man-in-the-middle).
Vulnerabilidad en el controlador Siemens R3964 (CVE-2019-11486)
Gravedad:
MediaMedia
Publication date: 23/04/2019
Last modified:
14/06/2019
Descripción:
El controlador de disciplina de línea Siemens R3964 en drivers/tty/n_r3964.c en el kernel de Linux antes de la versión 5.0.8 tiene múltiples condiciones de carrera.