Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en FCM-MB40 (CVE-2019-13398)
Gravedad:
AltaAlta
Publication date: 07/07/2019
Last modified:
24/08/2020
Descripción:
Los dispositivos FCM-MB40 versión v1.2.0.0 de Dynacolor, permiten a los atacantes remotos ejecutar comandos arbitrarios por medio de un parámetro diseñado en un script CGI, como es demostrado por una inyección sed en los archivos cgi-bin/camctrl_save_profile.cgi (parámetro save) y cgi-bin/ddns.cgi.
Vulnerabilidad en FCM-MB40 (CVE-2019-13399)
Gravedad:
MediaMedia
Publication date: 07/07/2019
Last modified:
09/07/2019
Descripción:
Los dispositivos FCM-MB40 v1.2.0.0 de Dynacolor, presentan una clave SSL/TLS codificada que es usada durante una conversación SSL de un administrador.
Vulnerabilidad en FCM-MB40 (CVE-2019-13400)
Gravedad:
MediaMedia
Publication date: 07/07/2019
Last modified:
24/08/2020
Descripción:
Los dispositivos FCM-MB40 versión v1.2.0.0 de Dynacolor, usa el archivo /etc/appWeb/appweb.pass para almacenar las credenciales administrativas de la interfaz web en texto sin cifrar. Estas credenciales pueden ser recuperadas por medio de cgi-bin/getuserinfo.cgi?mode=info.
Vulnerabilidad en FCM-MB40 (CVE-2019-13402)
Gravedad:
MediaMedia
Publication date: 07/07/2019
Last modified:
24/08/2020
Descripción:
Los archivos /usr/sbin/default.sh y /usr/apache/htdocs/cgi-bin/admin/hardfactorydefault.cgi en dispositivos FCM-MB40 versión v1.2.0.0 de Dynacolor, implementan un proceso de restablecimiento de fábrica incompleto. Un puerta trasera (backdoor) puede persistir porque no se restablecen ni las cuentas del sistema ni el conjunto de servicios.
Vulnerabilidad en ImageMagick (CVE-2019-13391)
Gravedad:
MediaMedia
Publication date: 07/07/2019
Last modified:
07/09/2020
Descripción:
En ImageMagick versión 7.0.8-50 Q16, la función ComplexImages en el archivo MagickCore/fourier.c, presenta una lectura excesiva del búfer en la región heap de la memoria debido a llamadas incorrectas a GetCacheViewVirtualPixels.
Vulnerabilidad en Central WiFi Manager (CVE-2019-13373)
Gravedad:
AltaAlta
Publication date: 06/07/2019
Last modified:
09/07/2019
Descripción:
Se detectó un problema en el producto Central WiFi Manager CWM(100) anterior a versión v1.03R0100_BETA6 de D-Link. La entrada no se valida y sentencias SQL arbitrarias pueden ser ejecutadas en la base de datos por medio de dbSQL del parámetro /web/Public/Conn.php.
Vulnerabilidad en Central WiFi Manager (CVE-2019-13374)
Gravedad:
MediaMedia
Publication date: 06/07/2019
Last modified:
09/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en la vista de recursos en archivo PayAction.class.php en Central WiFi Manager CWM(100) anterior a versión v1.03R0100_BETA6 de D-Link, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro passcode de index.php/Pay/passcodeAuth
Vulnerabilidad en Central WiFi Manager (CVE-2019-13375)
Gravedad:
AltaAlta
Publication date: 06/07/2019
Last modified:
09/07/2019
Descripción:
Se detectó una inyección SQL en Central WiFi Manager CWM(100) anterior a versión v1.03R0100_BETA6 de D-Link, en el archivo PayAction.class.php con el código de acceso del parámetro index.php/Pay/passcodeAuth. Una vulnerabilidad no necesita ninguna autenticación.
Vulnerabilidad en Ignited CMS (CVE-2019-13370)
Gravedad:
MediaMedia
Publication date: 06/07/2019
Last modified:
09/07/2019
Descripción:
El archivo index.php/admin/permissions en Ignited CMS hasta el 19-02-2017, permite a problema de tipo CSRF al agregar un administrador.
Vulnerabilidad en Codedoc (CVE-2019-13362)
Gravedad:
MediaMedia
Publication date: 06/07/2019
Last modified:
24/08/2020
Descripción:
Codedoc versión v3.2 tiene un desbordamiento de búfer en la región stack de la memoria en la función add_variable en el archivo codedoc.c, relacionado con la función codedoc_strlcpy.
Vulnerabilidad en Odoo Community Association (OCA) (CVE-2018-14733)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
09/07/2019
Descripción:
El módulo dbfilter_from_header de Odoo Community Association (OCA), hace que Odoo versiones 8.x, 9.x, 10.x y 11.x sea vulnerable a un problema de tipo ReDoS (denegación de servicio de expresiones regulares) bajo ciertas circunstancias.
Vulnerabilidad en Eventum (CVE-2018-12621)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
08/07/2019
Descripción:
Se detectó un problema en Eventum versión 3.5.0. El archivo /htdocs/switch.php presenta un Redireccionamiento Abierto por medio del parámetro current_page.
Vulnerabilidad en Wireless Wifi Home Router HR-3300 (CVE-2018-14027)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
08/07/2019
Descripción:
Wireless Wifi Home Router HR-3300 de Digisol, permite una vulnerabilidad de tipo XSS por medio del parámetro userid o password en la página de inicio de sesión del administrador.
Vulnerabilidad en WP Like Button (CVE-2019-13344)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad de omisión de autenticación en el plugin WP Like Button hasta versión 1.6.0 en CRUDLab para WordPress, permite a los atacantes no autenticados cambiar la configuración. La función contains() en el archivo wp_like_button.php no comprueba si la petición actual es realizada por un usuario autorizado, permitiendo así que cualquier usuario no autenticado actualice con éxito la configuración, como es demostrado por el parámetro each_page_url o code_snippet de wp-admin/admin.php?page=facebook-like-button.
Vulnerabilidad en Squid (CVE-2019-13345)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
10/07/2020
Descripción:
El modulo web del archivo cachemgr.cgi de Squid hasta versión 4.7, presenta un problema de tipo XSS por medio del parámetro user_name o auth.
Vulnerabilidad en MiniCMS (CVE-2019-13339)
Gravedad:
BajaBaja
Publication date: 05/07/2019
Last modified:
07/07/2019
Descripción:
En MiniCMS versión V1.10, se detectó un problema de tipo XSS almacenado en el archivo mc-admin/page-edit.php (cuadro de contenido), que puede ser usado para conseguir una cookie de un usuario.
Vulnerabilidad en MiniCMS (CVE-2019-13340)
Gravedad:
BajaBaja
Publication date: 05/07/2019
Last modified:
07/07/2019
Descripción:
En MiniCMS versión V1.10, se detectó un problema de tipo XSS almacenado en el archivo mc-admin/post-edit.php por medio del cuadro de contenido. Un atacante puede usarlo para conseguir una cookie de un usuario. Esto es diferente de los CVE-2018-10296, CVE-2018-16233, CVE-2018-20520 y CVE-2019-13186.
Vulnerabilidad en MiniCMS (CVE-2019-13341)
Gravedad:
BajaBaja
Publication date: 05/07/2019
Last modified:
07/07/2019
Descripción:
En MiniCMS versión V1.10, se detectó un problema de tipo XSS almacenado en el archivo mc-admin/conf.php (cuadro de comentarios), que puede ser usado para conseguir la cookie de un usuario.
Vulnerabilidad en libosinfo (CVE-2019-13313)
Gravedad:
BajaBaja
Publication date: 05/07/2019
Last modified:
24/08/2020
Descripción:
libosinfo versión 1.5.0, permite a los usuarios locales descubrir credenciales mediante la enumeración de un proceso, porque las credenciales son pasadas en un script de instalación de osinfo por medio de la línea de comandos.
Vulnerabilidad en WP Open Graph (CVE-2019-5960)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
08/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en WP Open Graph versión 1.6.1 y anteriores, permite a los atacantes remotos secuestrar la autenticación de administradores por medio de vectores no especificados.
Vulnerabilidad en Zoho SalesIQ (CVE-2019-5962)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
31/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site-scripting (XSS) en Zoho SalesIQ versión 1.0.8 y anteriores, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Vulnerabilidad en Zoho SalesIQ (CVE-2019-5963)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
31/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Zoho SalesIQ versión 1.0.8 y anteriores, permite a los atacantes remotos secuestrar la autenticación de administradores por medio de vectores no especificados.
Vulnerabilidad en Joruri Mail (CVE-2019-5965)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
08/07/2019
Descripción:
Una vulnerabilidad de Redireccionamiento Abierto en Joruri Mail versión 2.1.4 y anteriores, permite a los atacantes remotos redireccionar a los usuarios a sitios web arbitrarios y conducir ataques de phishing por medio de vectores no especificados.
Vulnerabilidad en Joruri Mail (CVE-2019-5966)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
24/08/2020
Descripción:
Joruri Mail versión 2.1.4 y anteriores, no administra apropiadamente las sesiones, lo que permite a los atacantes remotos hacerse pasar por un usuario arbitrario y alterar/divulgar la información por medio de vectores no especificados.
Vulnerabilidad en GROWI (CVE-2019-5968)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
09/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en GROWI versión 3.4.6 y anteriores, permite a los atacantes remotos secuestrar la autenticación de los administradores mediante la actualización de la “Basic Info” del usuario.
Vulnerabilidad en GROWI (CVE-2019-5969)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
08/07/2019
Descripción:
Una vulnerabilidad de redireccionamiento Abierto en GROWI versión 3.4.6 y anteriores, permite a los atacantes remotos redireccionar usuarios a sitios web arbitrarios y conducir ataques de phishing por medio del proceso de inicio de sesión.
Vulnerabilidad en Attendance Manager (CVE-2019-5970)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
09/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site-scripting (XSS) en Attendance Manager versión 0.5.6 y anteriores, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Vulnerabilidad en Attendance Manager (CVE-2019-5971)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
09/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Attendance Manager versión 0.5.6 y anteriores, permite a los atacantes remotos secuestrar la autenticación de administradores por medio de vectores no especificados.
Vulnerabilidad en VAIO Update (CVE-2019-5981)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad de autorización inapropiada en VAIO Update versión 7.3.0.03150 y anteriores, permite a los atacantes ejecutar archivos ejecutables arbitrarios con privilegios administrativos por medio de vectores no especificados.
Vulnerabilidad en VAIO Update (CVE-2019-5982)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad de comprobación inapropiada de archivos de descarga en VAIO Update versión 7.3.0.03150 y anteriores, permite a los atacantes remotos conducir un ataque de tipo "man-in-the-middle" por medio de un punto de acceso LAN inalámbrico malicioso. Una explotación con éxito puede resultar en un archivo malicioso que se descarga y ejecuta.
Vulnerabilidad en HTML5 Maps (CVE-2019-5983)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
09/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en HTML5 Maps versión 1.6.5.6 y anteriores, permite a los atacantes remotos secuestrar la autenticación de administradores por medio de vectores no especificados.
Vulnerabilidad en Custom CSS Pro (CVE-2019-5984)
Gravedad:
MediaMedia
Publication date: 05/07/2019
Last modified:
09/07/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Custom CSS Pro versión 1.0.3 y anteriores, permite a los atacantes remotos secuestrar la autenticación de administradores por medio de vectores no especificados.
Vulnerabilidad en ImageMagick (CVE-2019-13295)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
19/08/2020
Descripción:
ImageMagick versión 7.0.8-50 Q16, presenta una lectura excesiva del búfer en la región heap de la memoria en el archivo MagickCore/threshold.c en la función AdaptiveThresholdImage porque un ancho de cero se maneja inapropiadamente.
Vulnerabilidad en ImageMagick (CVE-2019-13296)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
24/08/2020
Descripción:
ImageMagick versión 7.0.8-50 Q16, presenta pérdidas de memoria directa en la función AcquireMagickMemory debido a un error en CLIListOperatorImages en el archivo MagickWand/operation.c para un valor NULL.
Vulnerabilidad en ImageMagick (CVE-2019-13297)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
19/08/2020
Descripción:
ImageMagick versión 7.0.8-50 Q16, presenta una lectura excesiva del búfer en la región heap de la memoria en el archivo MagickCore/threshold.c en la función AdaptiveThresholdImage porque una altura de cero se maneja inapropiadamente.
Vulnerabilidad en ImageMagick (CVE-2019-13298)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
24/08/2020
Descripción:
ImageMagick versión 7.0.8-50 Q16, presenta un desbordamiento de búfer en la región heap de la memoria en el archivo MagickCore/pixel-accessor.h en la función SetPixelViaPixelInfo debido a un error del archivo MagickCore/enh.c.
Vulnerabilidad en En Xpdf (CVE-2019-13287)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
09/07/2019
Descripción:
En Xpdf versión 4.01.01, presenta una vulnerabilidad de lectura fuera de límites en la función SplashXPath::strokeAdjust() ubicada en el archivo splash/SplashXPath.cc. Por ejemplo, puede ser activada enviando un documento PDF creado a la herramienta pdftoppm. Podría permitir a un atacante causar una Divulgación de Información. Esto está relacionado al CVE-2018-16368.
Vulnerabilidad en Xpdf (CVE-2019-13288)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
24/08/2020
Descripción:
En Xpdf versión 4.01.01, la función Parser::getObj() en el archivo Parser.cc puede causar una recursión infinita por medio de un archivo creado. Un atacante remoto puede aprovechar esto para un ataque de DoS. Esto es similar al CVE-2018-16646.
Vulnerabilidad en Xpdf (CVE-2019-13289)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
09/07/2019
Descripción:
En Xpdf versión 4.01.01, presenta una vulnerabilidad de uso de la memoria previamente liberada en la función JBIG2Stream::close() ubicada en el archivo JBIG2Stream.cc. Por ejemplo, puede ser activada enviando un documento PDF creado hacia la herramienta pdftoppm.
Vulnerabilidad en En Xpdf (CVE-2019-13291)
Gravedad:
MediaMedia
Publication date: 04/07/2019
Last modified:
24/08/2020
Descripción:
En Xpdf versión 4.01.01, se presenta una lectura excesiva del búfer en la región heap de la memoria en la función DCTStream::readScan() ubicada en el archivo Stream.cc. Por ejemplo, puede ser activada enviando un documento PDF creado a la herramienta pdftops. Podría permitir a un atacante causar una Divulgación de Información.
Vulnerabilidad en Monstra CMS (CVE-2018-11227)
Gravedad:
MediaMedia
Publication date: 03/07/2019
Last modified:
08/07/2019
Descripción:
Monstra CMS 3.0.4 y versiones anteriores tiene Cross-Site Scripting (XSS) mediante index.php.
Vulnerabilidad en ImageMagick (CVE-2017-10928)
Gravedad:
MediaMedia
Publication date: 05/07/2017
Last modified:
02/10/2019
Descripción:
En ImageMagick versión 7.0.6-0, una lectura excesiva del búfer en la región heap de la memoria en la función GetNextToken en el archivo token.c permite a atacantes remotos obtener información confidencial de la memoria del proceso o posiblemente tener otro impacto no especificado por medio de un documento SVG especialmente diseñado que se maneja inapropiadamente en la función GetUserSpaceCoordinateValue en el archivo coders/svg.c.
Vulnerabilidad en XPS-Cx y XPS-Qx de Newport (CVE-2017-7919)
Gravedad:
AltaAlta
Publication date: 03/07/2017
Last modified:
09/10/2019
Descripción:
Se detectó un problema de identificación inapropiada en XPS-Cx y XPS-Qx de Newport. Un atacante puede omitir la identificación mediante el acceso a un localizador de recursos uniformes (URL) específico.
Vulnerabilidad en Telerik (CVE-2017-9248)
Gravedad:
AltaAlta
Publication date: 03/07/2017
Last modified:
02/10/2019
Descripción:
La biblioteca Telerik.Web.UI.dll en la Interfaz de Usuario de Progress Telerik para ASP.NET AJAX anterior a la versión R2 2017 SP1 y Sitefinity anterior a la versión 10.0.6412.0, no protege apropiadamente a Telerik.Web.UI.DialogParametersEncryptionKey o MachineKey, lo que facilita para los atacantes remotos superar los mecanismos de protección criptográfica, conllevando a un perdida de MachineKey, cargas o descargas arbitrarias de archivos, XSS o un compromiso de ViewState de ASP.NET.
Vulnerabilidad en Dashboard en Request Tracker (CVE-2017-5944)
Gravedad:
MediaMedia
Publication date: 03/07/2017
Last modified:
02/10/2019
Descripción:
La interfaz de subscripción del dashboard en Request Tracker (RT) versión 4.x anterior a 4.0.25, versión 4.2.x anterior a 4.2.14 y versión 4.4.x anterior a 4.4.2, podría permitir a los usuarios identificados remotos con ciertos privilegios ejecutar código arbitrario por medio de un nombre de búsqueda guardada especialmente diseñado.
Vulnerabilidad en RUT9XX de Teltonika (CVE-2017-8116)
Gravedad:
AltaAlta
Publication date: 03/07/2017
Last modified:
02/10/2019
Descripción:
La interfaz administrativa para los routers RUT9XX de Teltonika (también se conoce como LuCI) con firmware versión 00.03.265 y anteriores, permite a atacantes remotos ejecutar comandos arbitrarios con privilegios root por medio de metacaracteres shell en el parámetro username en una petición de inicio de sesión.
Vulnerabilidad en Antiy Antivirus Engine (CVE-2017-10706)
Gravedad:
BajaBaja
Publication date: 02/07/2017
Last modified:
07/07/2017
Descripción:
Cuando Antiy Antivirus Engine anterior a la versión 5.0.0.05171547, analiza un archivo ZIP especial, se bloquea con un desbordamiento de búfer en la región stack de la memoria porque se utiliza una longitud de ruta (path) fija.
Vulnerabilidad en kernel de Linux (CVE-2017-1000380)
Gravedad:
BajaBaja
Publication date: 17/06/2017
Last modified:
05/12/2017
Descripción:
El archivo sound/core/timer.c en el kernel de Linux anterior a versión 4.11.5, es vulnerable a una carrera de datos en el controlador de /dev/snd/timer de ALSA, resultando en que los usuarios locales sean capaces de leer la información que pertenece a otros usuarios, es decir, los contenidos de la memoria sin inicializar pueden ser divulgados cuando una lectura y un ioctl se presentan al mismo tiempo.
Vulnerabilidad en external entity (CVE-2017-9231)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
06/07/2017
Descripción:
Una vulnerabilidad de tipo XML external entity (XXE) en Citrix XenMobile Server versión 9.x y versión 10.x anterior a 10.5 RP3, permite a los atacantes obtener información confidencial por medio de vectores no especificados.
Vulnerabilidad en Una pérdida de memoria en QEMU (CVE-2017-9373)
Gravedad:
BajaBaja
Publication date: 16/06/2017
Last modified:
10/11/2020
Descripción:
Una pérdida de memoria en QEMU (conocido como Quick Emulator), cuando se ensambla con el soporte de Emulación AHCI IDE, permite a los usuarios privilegiados del sistema operativo invitado local causar una denegación de servicio (consumo de memoria) mediante una desconexión del dispositivo AHCI repetidamente.
Vulnerabilidad en QEMU (CVE-2017-9374)
Gravedad:
BajaBaja
Publication date: 16/06/2017
Last modified:
10/11/2020
Descripción:
Una pérdida de memoria en QEMU (conocido como Quick Emulator), cuando se ensambla con el soporte de emulación EHCI USB, permite a los usuarios privilegiados del sistema operativo invitado local causar una denegación de servicio (consumo de memoria) mediante una desconexión del dispositivo repetidamente.
Vulnerabilidad en QEMU (CVE-2017-9375)
Gravedad:
BajaBaja
Publication date: 16/06/2017
Last modified:
10/11/2020
Descripción:
QEMU (conocido como Quick Emulator), cuando se ensambla con el soporte del emulador controlador xHCI USB, permite a los usuarios privilegiados del sistema operativo invitado local causar una denegación de servicio (llamada recursiva infinita) por medio de vectores que involucran la secuencia de descriptores de transferencia de control.
Vulnerabilidad en QEMU (CVE-2017-9503)
Gravedad:
BajaBaja
Publication date: 16/06/2017
Last modified:
10/11/2020
Descripción:
QEMU (conocido como Quick Emulator), cuando se ensambla con el soporte de emulación del adaptador de bus host SAS 8708EM2 de MegaRAID, permite a los usuarios privilegiados del sistema operativo invitado local causar una denegación de servicio (desreferencia del puntero NULL y bloqueo del proceso QEMU) por medio de vectores que involucran el procesamiento de comandos megasas.
Vulnerabilidad en GnuTLS (CVE-2017-7507)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
04/01/2018
Descripción:
GnuTLS versión 3.5.12 y anteriores, es vulnerable a una desreferencia del puntero NULL durante la descodificación de una extensión TLS de respuesta de estado con contenido válido. Esto podría conllevar a un bloqueo de la aplicación del servidor GnuTLS.
Vulnerabilidad en En uClibc (CVE-2017-9729)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
02/10/2019
Descripción:
En uClibc versión 0.9.33.2, se presenta un agotamiento de pila (recursión no controlada) en la función check_dst_limits_calc_pos_1 en el archivo misc/regex/ regexec.c cuando es procesada una expresión regular especialmente diseñada.
Vulnerabilidad en En Demonio APC UPS (CVE-2017-7884)
Gravedad:
AltaAlta
Publication date: 16/06/2017
Last modified:
02/10/2019
Descripción:
En Demonio APC UPS hasta versión 3.14.14 de Adam Kropelin adk0212 , la instalación por defecto de APCUPSD permite que un usuario identificado local, pero no privilegiado, ejecute código arbitrario con privilegios elevados al reemplazar el servicio ejecutable apcupsd.exe con un ejecutable malicioso que se ejecutará con privilegios SYSTEM en el inicio. Esto ocurre debido a los permisos "RW NT AUTHORITY\Authenticated Users" para %SYSTEMDRIVE%\apcupsd\bin\apcupsd.exe.
Vulnerabilidad en wawa-employets-credit-union-mobile/id1158082793 (CVE-2017-9558)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación wawa-employets-credit-union-mobile/id1158082793 versión 4.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado diseñado.
Vulnerabilidad en vision-bank (CVE-2017-9559)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación vision-bank de MEA Financial/id420406345 versión 3.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en cayuga-lake-national-bank/id1151601539 (CVE-2017-9560)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación cayuga-lake-national-bank/id1151601539 versión 4.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en lbtc-mobile (CVE-2017-9561)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación lbtc-mobile de Lee Bank & Trust/id1068984753 versión 3.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Freedom First/id1085229458 (CVE-2017-9562)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación freedom-1st-credit-union-mobile-banking de Freedom First/id1085229458 versión 3.0.0 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en First Citizens Community Bank/id809930960 (CVE-2017-9563)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación fccb de First Citizens Community Bank/id809930960 versión 3.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en community-banks-cb2go/id445828071 (CVE-2017-9564)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación community-banks-cb2go/id445828071 versión 3.1.3 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes en el medio falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en first-security-bank-sleepy-eye-mobile (CVE-2017-9565)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación first-security-bank-sleepy-eye-mobile/id870531890 versión 3.0.0 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado especialmente diseñado
Vulnerabilidad en fsb-dequeen-mobile-banking/id1091025340 (CVE-2017-9566)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación fsb-dequeen-mobile-banking/id1091025340 versión 3.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en avb-bank-mobile-banking/id592565443 (CVE-2017-9567)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación avb-bank-mobile-banking/id592565443 versión 3.0.0 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en financial-plus-mobile-banking/id731070564 (CVE-2017-9568)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación financial-plus-mobile-banking/id731070564 versión 3.0.3 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes en el medio falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en cbtx-on-the-go de Citizens Bank (TX)/id892396102 (CVE-2017-9569)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
03/10/2018
Descripción:
La aplicación cbtx-on-the-go de Citizens Bank (TX)/id892396102 versión 3.0.0 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes en el medio falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en mount-vernon-bank-trust-mobile-banking/id542706679 (CVE-2017-9570)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación mount-vernon-bank-trust-mobile-banking/id542706679 versión 3.0.0 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en ccb-mobile-banking de Citizens Community Bank (TN)/id610030469 (CVE-2017-9571)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
03/10/2018
Descripción:
La aplicación ccb-mobile-banking de Citizens Community Bank (TN)/id610030469 versión 3.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en athens-state-bank-mobile-banking/id71974858 (CVE-2017-9572)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
03/10/2018
Descripción:
La aplicación athens-state-bank-mobile-banking/id719748589 versión 3.0.0 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en North Adams State Bank (CVE-2017-9573)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
26/06/2017
Descripción:
La aplicación nasb-mobile-banking de North Adams State Bank (Ursa)/id980573797 versión 3.0.1 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en "KC Area Credit Union Mobile Banking (CVE-2017-9574)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "KC Area Credit Union Mobile Banking" de K C Area Credit Union versión 3.0.1 -- también se conoce kc-area-credit-union-mobile-banking/id1097607736 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en FVB Mobile Banking (CVE-2017-9575)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "FVB Mobile Banking" de First Volunteer Bank of Tennessee versión 3.1.1 -- también se conoce como fvb-mobile-banking/id551018004 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar a los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Middleton Community Bank Mobile Banking" (CVE-2017-9576)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
03/10/2018
Descripción:
La aplicación "Middleton Community Bank Mobile Banking" de Middleton Community Bank versión 3.0.0 -- también se conoce como middleton-community-bank-mobile-banking/id721843238 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar a los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en First Citizens Bank-Mobile Banking" (CVE-2017-9577)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
03/10/2018
Descripción:
La aplicación "First Citizens Bank-Mobile Banking" de First Citizens Bank (AL) versión 3.0.0 -- también se conoce como first-citizens-bank-mobile-banking/id566037101 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en RVCB Mobile (CVE-2017-9578)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
03/10/2018
Descripción:
La aplicación "RVCB Mobile" de RVCB Mobile Banking versión 3.0.0 -- también se conoce como rvcb-mobile/id757928895 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en JMCU Mobile Banking" (CVE-2017-9579)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "JMCU Mobile Banking" de Joplin Metro Credit Union versión 3.0.0 -- también se conoce como jmcu-mobile-banking/id716065893 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en "Algonquin State Bank Mobile Banking" (CVE-2017-9581)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación "Algonquin State Bank Mobile Banking" de Algonquin State Bank versión 3.0.0 -- también se conoce como algonquin-state-bank-mobile-banking/id1089657735 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en "BNB Mobile Banking" (CVE-2017-9582)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "BNB Mobile Banking" de Brady National Bank versión 3.0.0 -- también se conoce como bnb-mobile-banking/id674215747 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Charlevoix State Bank" (CVE-2017-9583)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "Charlevoix State Bank" de Charlevoix State Bank versión 3.0.1 -- también se conoce como charlevoix-state-bank/id1128963717 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Community State Bank - Lamar Mobile Banking (CVE-2017-9585)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
05/08/2020
Descripción:
La aplicación "Community State Bank - Lamar Mobile Banking" de Community State Bank - Lamar versión 3.0.3 -- también se conoce como community-state-bank-lamar-mobile-banking/id1083927885 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en "PCSB BANK Mobile" (CVE-2017-9587)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "PCSB BANK Mobile" de PCSB Bank versión 3.0.4 -- también se conoce como pcsb-bank-mobile/id1067472090 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Oritani Bank (CVE-2017-9588)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "Oritani Mobile Banking" de Oritani Bank versión 3.0.0 -- también se conoce como oritani-mobile-banking/id778851066 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en SCSB Shelbyville IL Mobile Banking" (CVE-2017-9589)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "SCSB Shelbyville IL Mobile Banking" de Shelby County State Bank versión 3.0.0 -- también se conoce como scsb-shelbyville-il-mobile-banking/id938960224 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en PCB Mobile" de Phelps County Bank (CVE-2017-9591)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
05/08/2020
Descripción:
La aplicación "PCB Mobile" de Phelps County Bank versión 3.0.2 -- también se conoce como pcb-mobile/id436891295 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Your Legacy Federal Credit Union (CVE-2017-9592)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "Your Legacy Federal Credit Union Mobile Banking" de Your Legacy Federal Credit Union versión 3.0.1 -- también se conoce como your-legacy-federal-credit-union-mobile-banking/id919131389 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Oculina Bank (CVE-2017-9593)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
27/06/2017
Descripción:
La aplicación "Oculina Mobile Banking" de Oculina Bank versión 3.0.0 -- también se conoce como oculina-mobile-banking/id867025690 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en Sauk Valley Bank Mobile Banking (CVE-2017-9594)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
28/06/2017
Descripción:
La aplicación "SVB Mobile" de Sauk Valley Bank Mobile Banking versión 3.0.0 -- también se conoce como svb-mobile/id796429885 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en First National Bank of Kemp (CVE-2017-9601)
Gravedad:
MediaMedia
Publication date: 16/06/2017
Last modified:
03/10/2018
Descripción:
La aplicación "FNB Kemp Mobile Banking" de First National Bank of Kemp versión 3.0.2, también se conoce como fnb-kemp-mobile-banking/id571448725 para iOS, no comprueba los certificados X.509 de los servidores SSL, lo que permite a los atacantes de tipo man-in-the-middle falsificar los servidores y obtener información confidencial por medio de un certificado especialmente diseñado.
Vulnerabilidad en QNAP QTS (CVE-2017-7629)
Gravedad:
MediaMedia
Publication date: 15/06/2017
Last modified:
22/06/2017
Descripción:
QNAP QTS anterior a versión 4.2.6, build 20170517, presenta un fallo en la función change password.
Vulnerabilidad en vulnerabilidad de inyección de comandos en el QTS (CVE-2017-7876)
Gravedad:
AltaAlta
Publication date: 15/06/2017
Last modified:
11/09/2020
Descripción:
Esta vulnerabilidad de inyección de comandos en el QTS permite a los atacantes ejecutar comandos arbitrarios en la aplicación comprometida. QNAP ya ha solucionado el problema en QTS 4.2.6 build 20170517, QTS 4.3.3.0174 build 20170503 y versiones posteriores
Vulnerabilidad en WP Custom Fields Search (CVE-2017-9419)
Gravedad:
MediaMedia
Publication date: 15/06/2017
Last modified:
17/07/2017
Descripción:
Una vulnerabilidad de tipo cross-site-scripting (XSS) en el plugin WP Custom Fields Search versión 0.3.28 de Webhammer para WordPress, permite a los atacantes remotos inyectar JavaScript arbitrario por medio del parámetro cs-all-0.
Vulnerabilidad en IBM API Connect (CVE-2017-1379)
Gravedad:
MediaMedia
Publication date: 15/06/2017
Last modified:
22/06/2017
Descripción:
IBM API Connect versión 5.0.0.0, podría permitir a un atacante remoto obtener información confidencial, causado por el manejo inapropiado de las peticiones hacia el Portal del Desarrollador. ID de IBM X-Force: 127002.
Vulnerabilidad en Microsoft Windows (CVE-2017-0173)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows 10 versión 1607 y Windows Server 2016, permiten a un atacante aprovechar una vulnerabilidad de omisión de la característica de seguridad en Device Guard, lo que podría permitirle inyectar código malicioso en una sesión de Windows PowerShell, también se conoce como "Device Guard Code Integrity Policy Security Feature Bypass Vulnerability." El ID de este CVE es diferente de CVE-2017-0215, CVE-2017-0216, CVE-2017-0218 y CVE-2017-0219.
Vulnerabilidad en Microsoft Windows Server (CVE-2017-0193)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Windows Hyper-V en Microsoft Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows versión 8.1, Windows Server 2012 versión Gold y R2, Windows RT versión 8.1, Windows 10 versiones Gold, 1511, 1607, 1703, y Windows Server 2016, permite a un atacante alcanzar privilegios elevados en un sistema operativo invitado de destino cuando la emulación de instrucciones de Windows Hyper-V no logra imponer apropiadamente los niveles de privilegios, también se conoce como "Hypervisor Code Integrity Elevation of Privilege Vulnerability".
Vulnerabilidad en Microsoft Windows (CVE-2017-0215)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows 10 versión 1607 y Windows Server 2016, permiten a un atacante explotar una vulnerabilidad de omisión de la característica de seguridad en Device Guard, lo que podría permitirle inyectar código malicioso en una sesión de Windows PowerShell, también se conoce como "Device Guard Code Integrity Policy Security Feature Bypass Vulnerability." El ID de este CVE es diferente de CVE-2017-0173, CVE-2017-0216, CVE-2017-0218 y CVE-2017-0219.
Vulnerabilidad en Microsoft Windows (CVE-2017-0216)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows 10 versión 1511, Windows 10 versión 1607 y Windows Server 2016, permiten a un atacante aprovechar una vulnerabilidad de omisión de la característica de seguridad en Device Guard, lo que podría permitirle inyectar código malicioso en una sesión de Windows PowerShell, también se conoce como "Device Guard Code Integrity Policy Security Feature Bypass Vulnerability." El ID de este CVE es diferente de CVE-2017-0173, CVE-2017-0215, CVE-2017-0218 y CVE-2017-0219.
Vulnerabilidad en Microsoft Windows (CVE-2017-0218)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows 10 versión Gold, Windows 10 versión 1511, Windows 10 versión 1607 y Windows Server 2016, permiten a un atacante aprovechar una vulnerabilidad de omisión de la característica de seguridad en Device Guard, lo que podría permitirle inyectar código malicioso en una sesión de Windows PowerShell, también se conoce como "Device Guard Code Integrity Policy Security Feature Bypass Vulnerability." Este ID de CVE es diferente de CVE-2017-0173, CVE-2017-0215, CVE-2017-0216 y CVE-2017-0219.
Vulnerabilidad en Microsoft Windows (CVE-2017-0219)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows 10 versión Gold, Windows 10 versión 1511, Windows 10 versión 1607 y Windows Server 2016, permiten a un atacante explotar una vulnerabilidad de omisión de la característica de seguridad en Device Guard, lo que podría permitirle inyectar código malicioso en una sesión de Windows PowerShell, también se conoce como "Device Guard Code Integrity Policy Security Feature Bypass Vulnerability." El ID de este CVE es diferente de CVE-2017-0173, CVE-2017-0215, CVE-2017-0216 y CVE-2017-0218.
Vulnerabilidad en Microsoft Office (CVE-2017-0260)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft Office cuando el programa no maneja apropiadamente los objetos en la memoria, también se conoce como "Office Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2017-8509, CVE-2017-8510, CVE-2017-8511, CVE-2017-8512 y CVE-2017-8506.
Vulnerabilidad en Microsoft Windows (CVE-2017-8465)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows versión 8.1 y Windows RT versión 8.1, Windows Server 2012 R2, Windows 10 versiones Gold, 1511, 1607 y Windows Server 2016, permiten a un atacante ejecutar procesos en un contexto elevado cuando el kernel de Windows maneja inapropiadamente objetos en la memoria, también se conoce como "Win32k Elevation of Privilege Vulnerability". El ID de este CVE es diferente de CVE-2017-8468.
Vulnerabilidad en El kernel en Microsoft Windows Server (CVE-2017-8474)
Gravedad:
BajaBaja
Publication date: 14/06/2017
Last modified:
20/06/2017
Descripción:
El kernel en Microsoft Windows Server 2008 R2 SP1, Windows 7 SP1, Windows versión 8.1, Windows Server 2012 versión Gold y R2, Windows RT versión 8.1, Windows 10 versiones Gold, 1511, 1607, 1703 y Windows Server 2016, permite a un atacante autenticado obtener información por medio de una aplicación especialmente diseñada. también se conoce como "Windows Kernel Information Disclosure Vulnerability", una vulnerabilidad diferente de CVE-2017-8491, CVE-2017-8490, CVE-2017-8489, CVE-2017-8488, CVE-2017-8485, CVE-2017-8483, CVE-2017-8482, CVE-2017-8481, CVE-2017-8480, CVE-2017-8488, CVE-2017-8479, CVE-2017-8476, CVE-2017-8469, CVE-2017-8462, CVE-2017-0300, CVE-2017-0299 y CVE-2017-0297.
Vulnerabilidad en Microsoft Windows (CVE-2017-8494)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows 10 versiones Gold, 1511, 1607 y 1703, y Windows Server 2016, permiten a un atacante autenticado localmente ejecutar una aplicación especialmente diseñada en un sistema de destino cuando el Modo Kernel Seguro de Windows no maneja apropiadamente los objetos en la memoria, también se conoce como "Windows Elevation of Privilege Vulnerability".
Vulnerabilidad en Microsoft Edge en Windows (CVE-2017-8498)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
21/06/2017
Descripción:
Microsoft Edge en Windows 10 versión 1607 y 1703, y Windows Server 2016, permite a un atacante leer datos no destinados a ser divulgados cuando Edge permite que los objetos DOM XML de Javascript detecten extensiones de navegador instaladas, también se conoce como "Microsoft Edge Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2017-8504.
Vulnerabilidad en Microsoft Edge (CVE-2017-8504)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
21/06/2017
Descripción:
Microsoft Edge en Windows 10 versión 1607 y 1703, y Windows Server 2016, permite a un atacante leer la dirección URL de una petición entre orígenes cuando la API Fetch de Microsoft Edge maneja inapropiadamente un tipo de respuesta filtrada, también se conoce como "Microsoft Edge Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2017-8498.
Vulnerabilidad en software de Microsoft Office (CVE-2017-8508)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad en el software de Microsoft Office cuando maneja inapropiadamente el análisis de formatos de archivo, también se conoce como "Microsoft Office Security Feature Bypass Vulnerability".
Vulnerabilidad en Microsoft Office (CVE-2017-8509)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft Office cuando el software no maneja apropiadamente los objetos en la memoria, también se conoce como "Office Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2017-8510, CVE-2017-8511, CVE-2017-8512, CVE-2017-0260 y CVE-2017-8506.
Vulnerabilidad en Microsoft Office (CVE-2017-8511)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft Office cuando el software no maneja apropiadamente los objetos en la memoria, también se conoce como "Office Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2017-8509, CVE-2017-8510, CVE-2017-8512, CVE-2017-0260 y CVE-2017-8506.
Vulnerabilidad en Microsoft PowerPoint (CVE-2017-8513)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
21/06/2017
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft PowerPoint cuando el software no maneja apropiadamente los objetos en la memoria, también se conoce como "Microsoft PowerPoint Remote Code Execution Vulnerability".
Vulnerabilidad en Microsoft Windows (CVE-2017-8515)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows 10 versión 1511, 1607 y 1703, y Windows Server 2016, permiten a un atacante no identificado enviar una petición de modo kernel especialmente diseñada para causar una denegación de servicio en el sistema de destino, también se conoce como "Windows VAD Cloning Denial of Service Vulnerability".
Vulnerabilidad en Internet Explorer en Microsoft Windows (CVE-2017-8519)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
26/06/2017
Descripción:
Internet Explorer en Microsoft Windows 7 SP1, Windows Server 2008 y R2 SP1, Windows versión 8.1 y Windows RT versión 8.1, y Windows Server 2012 y R2, permiten a un atacante ejecutar código arbitrario en el contexto del usuario actual cuando Internet Explorer accede inapropiadamente objetos en la memoria, también se conoce como "Internet Explorer Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2017-8547.
Vulnerabilidad en Microsoft Edge en Windows (CVE-2017-8521)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
21/06/2017
Descripción:
Microsoft Edge en Windows 10 versión 1703, permite a un atacante ejecutar código arbitrario en el contexto del usuario actual cuando el motor de scripting de JavaScript de Edge no maneja objetos en la memoria, también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2017-8499, CVE-2017-8520, CVE-2017-8548 y CVE-2017-8549.
Vulnerabilidad en Microsoft Edge en Microsoft Windows (CVE-2017-8523)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Microsoft Edge en Microsoft Windows 10 versiones Gold, 1511, 1607 y 1703, y Windows Server 2016, permite a un atacante engañar a un usuario para que cargue una página con contenido malicioso cuando Microsoft Edge no puede aplicar apropiadamente la Política del Mismo Origen para los elementos HTML presentes en otros ventanas del navegador, también se conoce como "Microsoft Edge Security Feature Bypass Vulnerability". El ID de este CVE es diferente de CVE-2017-8530 y CVE-2017-8555.
Vulnerabilidad en Windows Server (CVE-2017-8528)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
26/06/2017
Descripción:
Uniscribe en Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows versión 8.1, Windows Server 2012 versión Gold y R2, Windows RT versión 8.1, Windows versiones 10 Gold, 1511, 1607, Windows Server 2016, Microsoft Office 2007 SP3 y Microsoft Office 2010 SP2, permite una vulnerabilidad de ejecución de código remota debido a la manera en que maneja los objetos en la memoria, también se conoce como "Windows Uniscribe Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2017-0283.
Vulnerabilidad en Internet Explorer en Microsoft Windows (CVE-2017-8529)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
26/06/2017
Descripción:
Internet Explorer en Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows versión 8.1 y Windows RT versión 8.1, y Windows Server 2012 y R2, permiten a un atacante detectar archivos específicos en el equipo del usuario cuando los motores de scripting de Microsoft afectados no manejan apropiadamente los objetos en la memoria, también se conoce como "Microsoft Browser Information Disclosure Vulnerability".
Vulnerabilidad en Windows Server (CVE-2017-8531)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
26/06/2017
Descripción:
Graphics en Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows versión 8.1, Windows Server 2012 versión Gold y R2, Windows RT versión 8.1, Windows 10 versiones Gold, 1511, 1607, 1703, Windows Server 2016, Microsoft Office 2007 Service Pack 3 y Microsoft Office 2010 Service Pack 2, permite una divulgación inapropiada del contenido de la memoria, también se conoce como "Graphics Uniscribe Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2017-0286, CVE-2017-0287, CVE-2017-0288, CVE-2017-0289, CVE-2017-8532 y CVE-2017-8533.
Vulnerabilidad en Windows Server (CVE-2017-8534)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
26/06/2017
Descripción:
Uniscribe en Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows versión 8.1, Windows Server 2012 versión Gold y R2, Windows RT versión 8.1, Windows versiones 10 Gold, 1511, 1607, Windows Server 2016, Microsoft Office 2007 SP3 y Microsoft Office 2010 SP2, permite una divulgación inapropiada del contenido de la memoria, también se conoce como "Windows Uniscribe Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2017-0282, CVE-2017-0284 y CVE-2017-0285.
Vulnerabilidad en Microsoft Windows (CVE-2017-8544)
Gravedad:
BajaBaja
Publication date: 14/06/2017
Last modified:
26/06/2017
Descripción:
Microsoft Windows 7 SP1, Windows Server 2008 SP2 y R2 SP1, Windows versión 8.1 y Windows RT versión 8.1, Windows Server 2012 y R2, Windows 10 versiones Gold, 1511, 1607 y 1703, y Windows Server 2016, permiten a un atacante obtener información para comprometer más el sistema del usuario cuando Windows Search no maneja objetos en la memoria, también se conoce como "Windows Search Information Disclosure Vulnerability".
Vulnerabilidad en Internet Explorer en Microsoft Windows (CVE-2017-8547)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
26/06/2017
Descripción:
Internet Explorer en Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows versión 8.1 y Windows RT versión 8.1, y Windows Server 2012 y R2, permiten a un atacante ejecutar código arbitrario en el contexto del usuario actual cuando Internet Explorer accede inapropiadamente a objetos en memoria, también se conoce como "Internet Explorer Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2017-8519.
Vulnerabilidad en kernel en Microsoft Windows (CVE-2017-8552)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Un controlador del modo kernel en Microsoft Windows XP SP3, Windows XP x64 XP2, Windows Server 2003 SP2, Windows Vista, Windows 7 SP1, Windows Server 2008 SP2 y R2 SP1, y Windows 8, permite una elevación de privilegios cuando no maneja apropiadamente los objetos en la memoria, también se conoce como "Win32k Elevation of Privilege Vulnerability". Este CVE es único de CVE-2017-0263.
Vulnerabilidad en Microsoft Edge en Microsoft Windows (CVE-2017-8555)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
21/06/2017
Descripción:
Microsoft Edge en Microsoft Windows 10 versión 1703, permite a un atacante engañar a un usuario para que cargue una página con contenido malicioso cuando la Política de Seguridad de Contenido (CSP) de Edge no puede comprobar apropiadamente ciertos documentos especialmente diseñados, también se conoce como "Microsoft Edge Security Feature Bypass Vulnerability". El ID de este CVE es diferente de CVE-2017-8523 y CVE-2017-8530.
Vulnerabilidad en EMC RSA BSAFE (CVE-2017-4981)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
07/07/2017
Descripción:
RSA BSAFE Cert-C anterior a versión 2.9.0.5 de EMC, contiene una potencial vulnerabilidad de procesamiento inapropiado de certificado.
Vulnerabilidad en ESRS VE (CVE-2017-4986)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
07/07/2017
Descripción:
ESRS VE versión 3.18 o anterior de EMC, contiene una Omisión de identificación que potencialmente podría ser aprovechada por usuarios maliciosos para poner en peligro el sistema afectado.
Vulnerabilidad en Piwigo (CVE-2017-9463)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
19/06/2017
Descripción:
La aplicación Piwigo esta afectada por una vulnerabilidad de inyección SQL en la versión 2.9.0 y posiblemente anteriores. Esta vulnerabilidad permite a los atacantes identificados remotos obtener información en el contexto del usuario usado por la aplicación para recuperar datos de la base de datos. El componente del archivo user_list_backend.php se ve afectado: los valores de los parámetros iDisplayStart y iDisplayLength no son saneados; estos se utilizan para construir una consulta SQL y recuperar una lista de usuarios registrados en la aplicación.
Vulnerabilidad en Piwigo (CVE-2017-9464)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
19/06/2017
Descripción:
Una vulnerabilidad de Redireccionamiento Abierto está presente en Piwigo versión 2.9 y anteriores, lo que permite a los atacantes remotos redireccionar a los usuarios a sitios web arbitrarios y conducir ataques de phishing. El componente del archivo identification.php se ve afectado por este problema: el parámetro "redirect" no es comprobado.
Vulnerabilidad en Apache Ranger (CVE-2016-8746)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
19/06/2017
Descripción:
El motor de políticas de Apache Ranger anterior versión 0.6.3, empareja inapropiadamente las rutas (paths) de acceso en determinadas condiciones cuando la política no contiene comodines y presenta un flag de recursividad establecido en true.
Vulnerabilidad en Apache Ranger (CVE-2017-7676)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
19/06/2017
Descripción:
El emparejador de recursos de políticas en Apache Ranger anterior a versión 0.7.1, ignora los caracteres después del carácter comodín “*”, como my*test, test*.txt. Esto puede resultar en un comportamiento no intencionado.
Vulnerabilidad en Apache Ranger (CVE-2017-7677)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
24/08/2020
Descripción:
En entornos que utilizan la ubicación externa para tablas hive, el Autorizador Hive en Apache Ranger anterior a versión 0.7.1, debe comprobar el permiso RWX para crear tabla.
Vulnerabilidad en MediaTek (CVE-2017-0636)
Gravedad:
AltaAlta
Publication date: 14/06/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de elevación de privilegios en el controlador de cola de comandos de MediaTek podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto del kernel. Este problema se clasifica como Alto porque primero requiere comprometer un proceso privilegiado. Producto: Android. Versiones: N/A. Android ID: A-35310230. Referencias: M-ALPS03162263
Vulnerabilidad en Intel AMT (CVE-2017-5697)
Gravedad:
MediaMedia
Publication date: 14/06/2017
Last modified:
27/06/2017
Descripción:
Protección insuficiente contra el secuestro de la acción click en la Interfaz de usuario web de Intel AMT versiones de firmware anteriores a 9.1.40.1000, 9.5.60.1952, 10.0.50.1004, 11.0.0.1205 y 11.6.25.1129, que potencialmente permiten a un atacante remoto secuestrar los cliqueos web de los usuarios por medio de la página web especialmente diseñada.
Vulnerabilidad en Jazz Foundation de IBM (CVE-2016-9973)
Gravedad:
BajaBaja
Publication date: 13/06/2017
Last modified:
26/06/2017
Descripción:
Jazz Foundation de IBM es vulnerable a un problema de tipo cross-site-scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, lo que altera la funcionalidad deseada que puede conllevar a la divulgación de credenciales dentro de una sesión de segura. ID de IBM X-Force: 120209.
Vulnerabilidad en Maximo Asset Management (CVE-2016-9984)
Gravedad:
MediaMedia
Publication date: 13/06/2017
Last modified:
16/06/2017
Descripción:
Maximo Asset Management versiones 7.5 y 7.6 de IBM, podría permitir a un atacante identificado remoto ejecutar comandos arbitrarios en el sistema como administrador. ID de IBM X-Force: 120276.
Vulnerabilidad en Jazz Foundation de IBM, (CVE-2017-1099)
Gravedad:
MediaMedia
Publication date: 13/06/2017
Last modified:
20/06/2017
Descripción:
Jazz Foundation de IBM, podría exponer información potencialmente confidencial a los usuarios autenticados por medio de condiciones de error de rastreo de pila. ID de IBM X-Force: 120659.
Vulnerabilidad en routing-release (CVE-2016-8218)
Gravedad:
AltaAlta
Publication date: 13/06/2017
Last modified:
08/11/2017
Descripción:
Se detectó un problema en routing-release anterior a versión 0.142.0 y cf-release versiones 203 a 231 de Cloud Foundry Foundation. La lógica de comprobación incompleta en las bibliotecas JSON Web Token (JWT) puede permitir a los atacantes sin privilegios suplantar a otros usuarios en la API de enrutamiento, también se conoce como un problema de "Unauthenticated JWT signing algorithm in routing".