Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Cisco Jabber para Windows (CVE-2019-1855)
Gravedad:
AltaAlta
Publication date: 04/07/2019
Last modified:
16/10/2020
Descripción:
Una vulnerabilidad en el mecanismo de carga de bibliotecas de enlace dinámico específicas en Cisco Jabber para Windows podría permitir a un atacante local autenticado realizar un ataque de precarga de DLL. Para aprovechar esta vulnerabilidad, el atacante necesitaría tener credenciales válidas en el sistema de Windows. La vulnerabilidad se debe a una validación insuficiente de los recursos cargados por la aplicación en el tiempo de ejecución. Un atacante podría aprovechar esta vulnerabilidad creando un archivo DLL malicioso y ubicándolo en una ubicación específica del sistema de destino. El archivo DLL malicioso se ejecutaría cuando se inicie la aplicación Jabber. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en la máquina de destino con los privilegios de la cuenta de otro usuario.
Vulnerabilidad en el framework Ktor de JetBrains (CVE-2019-10102)
Gravedad:
MediaMedia
Publication date: 03/07/2019
Last modified:
24/08/2020
Descripción:
Las versiones de framework Ktor de JetBrains (creadas con la plantilla IDE de Kotlin) en versiones anteriores a la 1.1.0 estaban resolviendo artefactos utilizando una conexión http durante el proceso de construcción, lo que posiblemente permitía un ataque MITM. Este problema se solucionó en la versión 1.3.30 del plugin de Kotlin.
Vulnerabilidad en JetBrains (CVE-2019-10103)
Gravedad:
MediaMedia
Publication date: 03/07/2019
Last modified:
24/08/2020
Descripción:
Los proyectos de IDEA IntelliJ de JetBrains creados con la plantilla IDE Kotlin (JS Client/JVM Server) resolvían los artefactos de Gradle mediante una conexión http, lo que posiblemente permitía un ataque MITM. Este problema, que se solucionó en la versión 1.3.30 del complemento de Kotlin, es similar a CVE-2019-10101.
Vulnerabilidad en Virt-install (CVE-2019-10183)
Gravedad:
BajaBaja
Publication date: 03/07/2019
Last modified:
09/10/2019
Descripción:
La utilidad Virt-install (1) utilizada para aprovisionar nuevas máquinas virtuales ha introducido una opción '--atattended' para crear máquinas virtuales sin interacción del usuario. Esta opción acepta la contraseña de la máquina virtual invitada como argumentos de la línea de comando, por lo que se filtra a otros usuarios en el sistema a través del listado de procesos. Se introdujo recientemente en la versión virt-manager versión 2.2.0.
Vulnerabilidad en qemu-bridge-helper.c en QEMU (CVE-2019-13164)
Gravedad:
MediaMedia
Publication date: 03/07/2019
Last modified:
24/08/2020
Descripción:
qemu-bridge-helper.c en QEMU versión 4.0.0 no garantiza que un nombre de interfaz de red (obtenido de bridge.conf o una opción --br = bridge) esté limitado al tamaño de IFNAMSIZ, lo que puede llevar a una derivación de ACL.
Vulnerabilidad en modules/luksbootkeyfile/main.py en Calamares (CVE-2019-13178)
Gravedad:
MediaMedia
Publication date: 02/07/2019
Last modified:
12/08/2019
Descripción:
El archivo modules/luksbootkeyfile/main.py en Calamares hasta la versión 3.2.4, presenta una condición de carrera entre el momento en que el archivo de clave cifrada LUKS es creado y cuando se establecen permisos seguros.
Vulnerabilidad en el codificador JSON en Dovecot (CVE-2019-10691)
Gravedad:
MediaMedia
Publication date: 24/04/2019
Last modified:
24/08/2020
Descripción:
El codificador JSON en Dovecot versiones anteriores a 2.3.5.2 permite a los atacantes bloquear repetidamente el servicio de autenticación al intentar autenticarse con una secuencia UTF-8 no válida como nombre de usuario.
Vulnerabilidad en HPE Data Protector (CVE-2016-2004)
Gravedad:
AltaAlta
Publication date: 21/04/2016
Last modified:
12/07/2019
Descripción:
HPE Data Protector en versiones anteriores a 7.03_108, 8.x en versiones anteriores a 8.15 y 9.x en versiones anteriores a 9.06 permiten a atacantes remotos ejecutar un código arbitrario a través de vectores no especificados relacionados con la falta de autenticación. NOTA: esta vulnerabilidad existe debido a una solución incompleta de CVE-2014-2623.