Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en El archivo regexec.c en la función match_at() (CVE-2019-13225)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
16/12/2019
Descripción:
Una desreferencia de puntero NULL en la función match_at() en el archivo regexec.c en Oniguruma versión 6.9.2, permite a los atacantes causar potencialmente una denegación de servicio al proporcionar una expresión regular diseñada. Los problemas de Oniguruma con frecuencia afectan a Ruby, así como a bibliotecas opcionales y comunes para PHP y Rust.
Vulnerabilidad en El archivo regext.c en la función onig_new_deluxe (CVE-2019-13224)
Gravedad:
AltaAlta
Publication date: 10/07/2019
Last modified:
17/07/2019
Descripción:
Un uso de memoria previamente liberada en la función onig_new_deluxe() en el archivo regext.c en Oniguruma versión 6.9.2, permite a los atacantes causar divulgación de información, denegación de servicio o posiblemente ejecución de código al proporcionar una expresión regular diseñada. El atacante provee un par patrones de expresión regular y una cadena, con una codificación de múltiples bytes que se maneja con la función onig_new_deluxe(). Los problemas de Oniguruma con frecuencia afectan a Ruby, así como a bibliotecas opcionales y comunes para PHP y Rust.
Vulnerabilidad en $_POST['nombre'] en el plugin News de Teclib para GLPI (CVE-2019-12724)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
01/09/2020
Descripción:
Se detectó un problema en el plugin News de Teclib hasta la versión 1.5.2 para GLPI. Permite un ataque de tipo XSS almacenado por medio del parámetro $_POST['nombre'].
Vulnerabilidad en los dispositivos FD8136 de Vivotek (CVE-2018-14495)
Gravedad:
AltaAlta
Publication date: 10/07/2019
Last modified:
24/08/2020
Descripción:
** EN DISPUTA ** Los dispositivos FD8136 de Vivotek, permiten la inyección de comandos remota, también se conoce como "another command injection vulnerability in our target device", un problema diferente de CVE-2018-14494. NOTA: El fabricante ha disputado esto como una vulnerabilidad y declara que no causa un bloqueo del servidor web ni tiene ningún otro efecto en su rendimiento.
Vulnerabilidad en Hsycms (CVE-2019-10653)
Gravedad:
AltaAlta
Publication date: 10/07/2019
Last modified:
10/07/2019
Descripción:
Se detectó un problema en Hsycms versión V1.1. Se presenta una vulnerabilidad de inyección SQL por medio de una página /news/*.html.
Vulnerabilidad en Nagios XI (CVE-2018-17147)
Gravedad:
BajaBaja
Publication date: 10/07/2019
Last modified:
11/07/2019
Descripción:
Nagios XI versiones anterior a 5.5.4, presenta un problema de tipo XSS en la página de administración admin de inicio de sesión automático.
Vulnerabilidad en el archivo set_getparam.cgi en la función vlocal_buff_4326 en sprintf en los dispositivos FD8136 de Vivotek (CVE-2018-14496)
Gravedad:
AltaAlta
Publication date: 10/07/2019
Last modified:
24/08/2020
Descripción:
** EN DISPUTA ** Los dispositivos FD8136 de Vivotek, permiten una corrupción de memoria remota y ejecución de código remota debido a un desbordamiento de búfer en la región stack de la memoria, relacionado con sprintf, la función vlocal_buff_4326 y el archivo set_getparam.cgi. NOTA: El proveedor ha cuestionado esto como una vulnerabilidad y declara que el problema no causa un bloqueo del servidor web ni tiene ningún otro efecto en su rendimiento.
Vulnerabilidad en los dispositivos FD8136 de Vivotek (CVE-2018-14494)
Gravedad:
AltaAlta
Publication date: 10/07/2019
Last modified:
24/08/2020
Descripción:
** EN DISPUTA ** Los dispositivos FD8136 de Vivotek, permiten la inyección de comandos remota, relacionada con las aplicaciones BusyBox y wget. NOTA: el fabricante envió una aclaración el 17-09-2019 explicando que, aunque este CVE se relleno por primera vez en julio de 2019, es una vulnerabilidad histórica que no se aplica a ningún hardware o firmware Vivotek actual o reciente.
Vulnerabilidad en El pelugin Fields (CVE-2019-12723)
Gravedad:
AltaAlta
Publication date: 10/07/2019
Last modified:
11/07/2019
Descripción:
Se detectó un problema en el plugin Fields hasta versión 1.9.2 de Teclib para GLPI. Esto permite una Inyección SQL por medio de los parámetros container_id y old_order en el archivo ajax/reorder.php por parte de un usuario no identificado.
Vulnerabilidad en el archivo pnm2png.c en la función get_token en pnm2png en la decodificación PNM (CVE-2018-14550)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
24/08/2020
Descripción:
Se detecto un problema en la decodificación PNM de terceros asociada con libpng versión 1.6.35. Es un desbordamiento de búfer en la región stack de la memoria en la función get_token en el archivo pnm2png.c en pnm2png.
Vulnerabilidad en Archivo htdocs/manage/users.php en Eventum. (CVE-2018-12628)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
11/07/2019
Descripción:
Se detectó un problema en Eventum versión 3.5.0. Un problema de tipo CSRF en el archivo htdocs/manage/users.php permite crear otro usuario con privilegios de administrador.
Vulnerabilidad en Eventum (CVE-2018-12627)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
10/07/2019
Descripción:
Se detectó un problema en Eventum versión 3.5.0. El archivo /htdocs/list.php presenta un problema de tipo XSS por medio del parámetro show_notification_list_issues o show_authorized_issues.
Vulnerabilidad en Eventum (CVE-2018-12626)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
10/07/2019
Descripción:
Se detectó un problema en Eventum versión 3.5.0. El archivo /htdocs/popup.php presenta un problema de tipo XSS por medio del parámetro cat.
Vulnerabilidad en Eventum (CVE-2018-12625)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
10/07/2019
Descripción:
Se detectó un problema en Eventum versión 3.5.0. El archivo /htdocs/validate.php presenta un problema de tipo XSS por medio del parámetro values.
Vulnerabilidad en Eventum (CVE-2018-12623)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
10/07/2019
Descripción:
Se detectó un problema en Eventum versión 3.5.0. El archivo htdocs/switch.php presenta un problema de tipo XSS por medio del parámetro current_page.
Vulnerabilidad en Eventum (CVE-2018-12622)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
10/07/2019
Descripción:
Se detectó un problema en Eventum versión 3.5.0. El archivo htdocs/ajax/update.php presenta un problema de tipo XSS por medio del parámetro field_name.
Vulnerabilidad en HTML en el plugin SEO de Yoast (CVE-2019-13478)
Gravedad:
AltaAlta
Publication date: 09/07/2019
Last modified:
24/08/2020
Descripción:
El plugin SEO de Yoast versiones anteriores a 11.6-RC5 para WordPress no restringe apropiadamente el HTML no filtrado en las descripciones de términos.
Vulnerabilidad en El archivo index.php (CVE-2019-13472)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
10/07/2019
Descripción:
PHPWind versión 9.1.0, presenta vulnerabilidades de XSS en los parámetros cym del archivo index.php.
Vulnerabilidad en Mailvelope (CVE-2019-9149)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
29/08/2019
Descripción:
Mailvelope versiones anteriores a 3.3.0, permite operaciones de clave privada sin interacción de usuario por medio de su API cliente. Al modificar un parámetro URL en Mailvelope, un atacante puede firmar (y cifrar) mensajes arbitrarios con Mailvelope, asumiendo que la contraseña de la clave privada está en caché. Una segunda vulnerabilidad permite a un atacante descifrar un mensaje arbitrario cuando el backend GnuPG es utilizado en Mailvelope.
Vulnerabilidad en Contao (CVE-2019-11512)
Gravedad:
AltaAlta
Publication date: 09/07/2019
Last modified:
10/07/2019
Descripción:
Contao versiones 4.x , permite la inyección SQL. Se corrigió en Contao versión 4.4.39 y Contao versión 4.7.5.
Vulnerabilidad en Team Password Manager (CVE-2019-13380)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
09/08/2019
Descripción:
Team Password Manager versión 1.5.0 de KEYNTO, permite una vulnerabilidad de XSS porque los datos guardados de los sitios web se manejan inapropiadamente en la bóveda en línea.
Vulnerabilidad en Mailvelope (CVE-2019-9147)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
24/08/2020
Descripción:
Mailvelope versiones anteriores a 3.1.0, es vulnerable a un ataque de secuestro de cliqueo contra la página de configuración. Como la página de configuración está diseñada para ser accesible desde las aplicaciones web, los mecanismos de aislamiento de la extensión del navegador están deshabilitados (web_accessible_resources). Mailvelope implementa medidas adicionales para impedir que las aplicaciones web se incorporen directamente la página de configuración, pero este mecanismo puede ser omitido.
Vulnerabilidad en Mailvelope (CVE-2019-9148)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
29/08/2019
Descripción:
Mailvelope versiones anteriores a 3.3.0, acepta u opera con claves públicas de PGP no válidas: Mailvelope permite importar claves que contengan usuarios sin una auto-certificación válida. Las claves que obviamente no son válidas no se rechazan durante la importación. Un atacante que es capaz de lograr que una víctima importe una clave manipulada puede afirmar que ha firmado un mensaje que proviene de otra persona.
Vulnerabilidad en Mailvelope (CVE-2019-9150)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
29/08/2019
Descripción:
Mailvelope versiones anteriores a 3.3.0, no requiere la interacción del usuario para importar las claves públicas que se muestran en la página web. Esta funcionalidad puede ser engañada para ocultar una importación de clave del usuario u ocultar qué clave se importó.
Vulnerabilidad en Agent/Center de PowerPanel Business Edition de CyberPower (CVE-2019-13070)
Gravedad:
BajaBaja
Publication date: 09/07/2019
Last modified:
10/07/2019
Descripción:
Una vulnerabilidad de tipo XSS almacenado en el componente Agent/Center de PowerPanel Business Edition versión 3.4.0 de CyberPower, permite a un atacante privilegiado insertar JavaScript malicioso en los formularios receptores de captura SNMP. Al visitar la página Action/Recipient del evento /agent/action_recipient, el código incorporado podría ser ejecutado en el navegador de la víctima.
Vulnerabilidad en El archivo iart.php en XAMPP (CVE-2019-8920)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
11/07/2019
Descripción:
En el archivo iart.php en XAMPP versión 1.7.0, presenta una vulnerabilidad de tipo XSS, un problema relacionado con el CVE-2008-3569.
Vulnerabilidad en ImageMagick (CVE-2019-13454)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
19/08/2020
Descripción:
ImageMagick versión 7.0.8-54 Q16, permite la División por Cero en la función RemoveDuplicateLayers en el archivo MagickCore/layer.c.
Vulnerabilidad en ticket de soporte en osTicket (CVE-2019-13397)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
10/07/2019
Descripción:
Un problema de tipo XSS almacenado no identificado en osTicket versión 1.10.1, permite a un atacante remoto alcanzar privilegios de administrador al inyectar un script web o HTML arbitrario por medio de una extensión de archivo arbitraria durante la creación de un ticket de soporte.
Vulnerabilidad en TYPO3 (CVE-2019-12748)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
12/07/2019
Descripción:
TYPO3 versiones 8.3.0 hasta 8.7.26 y versiones 9.0.0 hasta 9.5.7, permite un problema de tipo XSS.
Vulnerabilidad en TYPO3 (CVE-2019-12747)
Gravedad:
AltaAlta
Publication date: 09/07/2019
Last modified:
12/07/2019
Descripción:
TYPO3 versiones 8.x hasta 8.7.26 y versiones 9.x hasta 9.5.7, permite la Deserialización de Datos No Seguros.
Vulnerabilidad en key_store_service.cpp (CVE-2019-2119)
Gravedad:
BajaBaja
Publication date: 08/07/2019
Last modified:
09/07/2019
Descripción:
En múltiples funciones del archivo key_store_service.cpp, se presenta una posible divulgación de información debido a un bloqueo inapropiado. Esto podría conllevar a la divulgación de información local de datos protegidos sin ser necesario privilegios de ejecución adicionales. La interacción del usuario no es necesaria para su explotación. Producto: Android. Versiones: Android-8.0 Android-8.1 Android-9. ID de Android: A-131622568.
Vulnerabilidad en Parcel.cpp (CVE-2019-2118)
Gravedad:
BajaBaja
Publication date: 08/07/2019
Last modified:
09/07/2019
Descripción:
En varias funciones del archivo Parcel.cpp, se presentan variables de pila sin inicializar o parcialmente inicializadas. Esto podría conllevar a la divulgación de información local sin ser necesario privilegios de ejecución adicionales. La interacción del usuario no es necesaria para su explotación. Producto: Android. Versiones: Android-8.0 Android-8.1 Android-9. ID de Android: A-130161842.
Vulnerabilidad en En la función checkQueryPermission (CVE-2019-2117)
Gravedad:
BajaBaja
Publication date: 08/07/2019
Last modified:
09/07/2019
Descripción:
En la función checkQueryPermission del archivo TelephonyProvider.java, se presenta una posible divulgación de datos seguros debido a la falta de comprobación de permisos. Esto podría conllevar a la divulgación de información local sobre sistemas portadores sin ser necesario privilegios de ejecución adicionales. La interacción del usuario no es necesaria para su explotación. Producto: Android. Versiones: Android-7.0 Android-7.1.1 Android-7.1.2 Android-8.0 Android-8.1 Android-9. ID de Android: A-124107808.
Vulnerabilidad en En la función save_attr_seq del archivo sdp_discovery.cc, (CVE-2019-2116)
Gravedad:
MediaMedia
Publication date: 08/07/2019
Last modified:
09/07/2019
Descripción:
En la función save_attr_seq del archivo sdp_discovery.cc, se presenta una posible lectura fuera del límite debido a una falta de comprobación de límites. Esto podría conllevar a la divulgación de información remota sin ser necesario privilegios de ejecución adicionales. La interacción del usuario no es necesaria para su explotación. Producto: Android. Versiones: Android-7.0 Android-7.1.1 Android-7.1.2 Android-8.0 Android-8.1 Android-9. ID de Android: A-117105007.
Vulnerabilidad en La configuración de Android. (CVE-2019-2113)
Gravedad:
BajaBaja
Publication date: 08/07/2019
Last modified:
24/08/2020
Descripción:
En el asistente de configuración, hay una omisión de algunas comprobaciones cuando se omite la conexión wifi. Esto podría conllevar a una omisión de protección de restablecimiento de fábrica sin ser necesario privilegios adicionales. La interacción del usuario no es necesaria para su explotación. Producto: Android. Versiones: Android-9. ID de Android: A-122597079.
Vulnerabilidad en Los parámetros username y password en EFS Software Easy Chat Server (CVE-2017-9557)
Gravedad:
MediaMedia
Publication date: 12/06/2017
Last modified:
22/06/2017
Descripción:
El archivo register.ghp en EFS Software Easy Chat Server versiones 2.0 hasta 3.1, permite a los atacantes remotos detectar contraseñas mediante el envío del parámetro username junto con un parámetro password vacío y leyendo el código fuente HTML de la respuesta.
Vulnerabilidad en admin.php en BigTree (CVE-2017-9548)
Gravedad:
BajaBaja
Publication date: 12/06/2017
Last modified:
15/06/2017
Descripción:
En el archivo admin.php en BigTree hasta la versión 4.2.18, presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS), que permite a los usuarios autenticados remotos inyectar un script web o HTML arbitrario al iniciar una acción Home Template Edit Page e ingresar el Título Navigation de una página que es programada para una publicación futura (también se conoce como cambio de página pendiente).
Vulnerabilidad en mark_context_stack (CVE-2017-9527)
Gravedad:
MediaMedia
Publication date: 11/06/2017
Last modified:
03/03/2020
Descripción:
La función mark_context_stack en el archivo gc.c en mruby hasta la versión 1.2.0, permite a los atacantes causar una denegación de servicio (uso de la memoria previamente liberada en la región heap de la memoria y bloqueo de aplicación) o posiblemente tener otro impacto no especificado por medio de un archivo .rb diseñado.
Vulnerabilidad en RSA Identity Governance and Lifecycle (CVE-2017-5004)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
07/07/2017
Descripción:
RSA Identity Governance and Lifecycle versiones 7.0.1, 7.0.2 (todos los niveles de parches); RSA Via Lifecycle and Governance versión 7.0 (todos los niveles de parches); y RSA Identity Management and Governance (IMG) versión 6.9.1 (todos los niveles de parches) de EMC, presentan vulnerabilidades de tipo Cross Site Scripting Almacenado que podrían ser explotadas por usuarios maliciosos para comprometer un sistema afectado.
Vulnerabilidad en RSA Identity Governance and Lifecycle (CVE-2017-5003)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
07/07/2017
Descripción:
RSA Identity Governance and Lifecycle versiones 7.0.1, 7.0.2 (todos los niveles de parches); RSA Via Lifecycle and Governance versión 7.0 (todos los niveles de parches); y RSA Identity Management and Governance (IMG) versión 6.9.1 (todos los niveles de parches) de EMC, presentan vulnerabilidades de tipo Cross Site Scripting Reflejado que podrían ser explotadas potencialmente por usuarios maliciosos para comprometer un sistema afectado.
Vulnerabilidad en "AppGoat" para Web Application (CVE-2017-2179)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
La herramienta práctica de aprendizaje sobre vulnerabilidades "AppGoat" para Web Application versión 3.0.2 y anteriores, permite la ejecución de código remota por medio de vectores no especificados, una vulnerabilidad diferente de CVE-2017-2181 y CVE-2017-2182.
Vulnerabilidad en los archivos instaladores de salvapantallas (CVE-2017-2176)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no confiable en archivos instaladores de salvapantallas (jasdf_01.exe, jasdf_02.exe, jasdf_03.exe, jasdf_04.exe, jasdf_05.exe, scramble_setup.exe, clock_01_setup.exe, clock_02_setup.exe) disponibles antes del 25 de mayo de 2017, permite alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en Instalador de sistema de licitación electrónica (CVE-2017-2178)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
21/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no seguros en el Instalador de sistema de licitación electrónica y de apertura de ofertas. disponible antes del 25 de mayo de 2017 permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en Cybozu Dezie (CVE-2016-7833)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
Cybozu Dezie versiones 8.0.0 hasta 8.1.1, permite a los atacantes remotos omitir las restricciones de acceso para eliminar un archivo DBM arbitrario (formato propietario de Cybozu Dezie) por medio de vectores no especificados.
Vulnerabilidad en Cybozu Dezie (CVE-2016-7832)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
Cybozu Dezie versiones 8.0.0 hasta 8.1.1, permite a los atacantes remotos omitir las restricciones de acceso para obtener un archivo DBM arbitrario (formato propietario de Cybozu Dezie) por medio de vectores no especificados.
Vulnerabilidad en WNC01WH de Buffalo (CVE-2016-7826)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
Una vulnerabilidad de salto de directorio en dispositivos WNC01WH de Buffalo con la versión de firmware 1.0.0.8 y anteriores, permite a los atacantes identificados leer archivos arbitrarios por medio de peticiones POST especialmente diseñadas.
Vulnerabilidad en WNC01WH de Buffalo (CVE-2016-7825)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
Una vulnerabilidad de salto de directorio en dispositivos WNC01WH de Buffalo con la versión de firmware 1.0.0.8 y anteriores, permite a los atacantes identificados leer archivos arbitrarios por medio de comandos especialmente diseñados.
Vulnerabilidad en TODOKESHO (CVE-2016-7818)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en Instalador para programa de comprobación Specification (social insurance) versión 9.00 y anteriores, programa de impresión de TODOKESHO versión 5.00 y anteriores, programa de cifrado de datos de Device versión 1.00 y anteriores, y programa de creación de TODOKESHO versión 15.00 y anteriores disponibles antes del 17 de octubre de 2016, permite a los atacantes remotos alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en firmware (CVE-2016-7814)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
16/06/2017
Descripción:
I-O DATA DEVICE TS-WRLP versión de firmware 1.00.01 y anterior y TS-WRLA versión de firmware 1.00.01 y anterior, permite a los atacantes remotos obtener credenciales de identifiación por medio de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4910)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes identificados remotos omitir la restricción de acceso para eliminar los filtros MultiReport de otros administradores operativos por medio de vectores no especificados.
Vulnerabilidad en cross-site request forgery (CVE-2016-4909)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes remotos secuestrar la identificación de un usuario que ha iniciado sesión para forzar un cierre de sesión por medio de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4908)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes identificados remotos omitir la restricción de acceso para alterar o eliminar la configuración RSS privada de otro usuario por medio de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4907)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes remotos obtener tokens CSRF por medio de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4906)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Una vulnerabilidad de tipo cross-site-scripting en Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de la función "Messages" de Cybozu Garoon Keitai.
Vulnerabilidad en Shogyo Touki Denshi Ninsho (CVE-2017-2177)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
21/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no seguro en el instalador del Software Shogyo Touki Denshi Ninsho versión 1.7 y anteriores, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en "AppGoat" para Web Application (CVE-2017-2180)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
La herramienta práctica de aprendizaje sobre vulnerabilidades "AppGoat" para Web Application versión 3.0.2 y anteriores, permite a los atacantes remotos obtener archivos locales por medio de vectores no especificados.
Vulnerabilidad en AppGoat" para Web Application (CVE-2017-2181)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
02/10/2019
Descripción:
La herramienta práctica de aprendizaje sobre vulnerabilidades "AppGoat" para Web Application versión 3.0.2 y anteriores, permite a los atacantes remotos obtener archivos locales por medio de vectores no especificados, una vulnerabilidad diferente de CVE-2017-2179 y CVE-2017-2182.
Vulnerabilidad en AppGoat" para Web Application (CVE-2017-2182)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
02/10/2019
Descripción:
La herramienta práctica de aprendizaje sobre vulnerabilidades "AppGoat" para Web Application versión 3.0.2 y anteriores, permite a los atacantes remotos obtener archivos locales por medio de vectores no especificados, una vulnerabilidad diferente de CVE-2017-2179 y CVE-2017-2181.
Vulnerabilidad en WP Live Chat Support (CVE-2017-2187)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
16/06/2017
Descripción:
Una vulnerabilidad de tipo cross-site-scripting en WP Live Chat Support anterior a versión 7.0.07, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados
Vulnerabilidad en Tera Term (CVE-2017-2193)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no seguros en el instalador de Tera Term versión 4.94 y anteriores, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en SQL en Multi Feed Reader (CVE-2017-2195)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
17/07/2017
Descripción:
Una vulnerabilidad de inyección SQL en Multi Feed Reader anterior a la versión 2.2.4, permite a los atacantes identificados ejecutar comandos SQL arbitrarios por medio de vectores no especificados.
Vulnerabilidad en SaAT Netizen (CVE-2017-2206)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
20/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en el instalador de SaAT Netizen versión 1.2.10.510 y anteriores, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en SaAT Personal (CVE-2017-2207)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
20/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no seguro en el instalador de SaAT Personal versión 1.0.10.272 y anteriores, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en Houkokusyo Sakusei Shien (CVE-2017-2209)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no seguros en el instalador de Houkokusyo Sakusei Shien Tool versión 3.0.2 (Para la primera instalación) (La versión que estuvo disponible en el sitio web del 4 de abril de 2017 al 18 de mayo de 2017) y versión 2.0 y posterior (Para la primera instalación) (las versiones que estaban disponibles en el sitio web antes del 4 de abril de 2017), permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en PatchJGD (archivo PatchJGD101.EXE) (CVE-2017-2210)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en PatchJGD (archivo PatchJGD101.EXE) versión 1.0.1, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en PatchJGD (Hyoko) (CVE-2017-2211)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en PatchJGD (Hyoko) (archivo PatchJGDh101.EXE) versión 1.0.1, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en TKY2JGD (archivo TKY2JGD1379.EXE) (CVE-2017-2212)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en TKY2JGD (archivo TKY2JGD1379.EXE) versión 1.3.79, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en SemiDynaEXE (CVE-2017-2213)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en SemiDynaEXE (archivo SemiDynaEXE2008.EXE) versión 1.0.2, permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en AppCheck y AppCheck Pro. (CVE-2017-2214)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
22/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en AppCheck y AppCheck Pro anterior a versión 2.0.1.15, permite a un atacante ejecutar código arbitrario por medio de un archivo ejecutable especialmente diseñado en un directorio no especificado.
Vulnerabilidad en Simeji para Windows. (CVE-2017-2219)
Gravedad:
AltaAlta
Publication date: 09/06/2017
Last modified:
23/06/2017
Descripción:
Una vulnerabilidad de ruta (path) de búsqueda no segura en el instalador de [Simeji para Windows] (archivo simeji.exe), permite a un atacante alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en un directorio no especificado.
Vulnerabilidad en El producto Sophos Web Appliance (CVE-2017-9523)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
14/06/2017
Descripción:
El producto Sophos Web Appliance versiones anteriores a 4.3.2, presenta un problema de tipo XSS en la página de redireccionamiento FTP, también se conoce como NSWA-1342.