Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Apache Roller (CVE-2019-0234)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
18/07/2019
Descripción:
Existe una vulnerabilidad de tipo Cross-site Scripting (XSS) Reflejado en Apache Roller. El autenticador de comentarios matemáticos de Roller no tenía la propiedad de sanear las entradas del usuario y podría ser explotado para realizar una ataque Cross-site Scripting (XSS) Reflejado. La mitigación de esta vulnerabilidad es actualizar a la última versión de Roller, que ahora es Roller versión 5.2.3.
Vulnerabilidad en Team Foundation Server (CVE-2019-1076)
Gravedad:
BajaBaja
Publication date: 15/07/2019
Last modified:
18/07/2019
Descripción:
Se presenta una vulnerabilidad de Cross-site-Scripting (XSS) cuando Team Foundation Server no sanea apropiadamente la entrada proporcionada por el usuario, también se conoce como "Team Foundation Server Cross-site Scripting Vulnerability".
Vulnerabilidad en GLPI (CVE-2019-1010307)
Gravedad:
BajaBaja
Publication date: 15/07/2019
Last modified:
18/07/2019
Descripción:
El producto GLPI versión 9.3.1 de GLPI, está afectado por: Cross Site Scripting (XSS). El impacto es: Todos los valores desplegables son vulnerables a XSS, lo que conlleva a una escalada de privilegios y la ejecución de js en admin. El componente es: archivo /glpi/ajax/getDropDownValue.php. El vector de ataque es: 1- un ticket User Create, 2- otro ticket de apertura de Admin y hacer clic en la función "Link Tickets", 3- una petición hacia el endpoint fetches js y ejecutarlo.
Vulnerabilidad en el archivo Lib/listjs/list.js en los campos "Name", "Location", "Bio" y "Starting Page" en la página "My Account" (CVE-2019-1010008)
Gravedad:
BajaBaja
Publication date: 15/07/2019
Last modified:
18/07/2019
Descripción:
Project Emoncms versión 9.8.8 de OpenEnergyMonitor, está afectado por: Cross Site Scripting (XSS). El impacto es: teóricamente bajo, pero potencialmente podría habilitar un problema de tipo XSS persistente (el usuario podría insertar código mal.). El componente es: ejecución de código Javascript en los campos "Name", "Location", "Bio" y "Starting Page" en la página "My Account". Archivo: Lib/listjs/list.js, línea 67. El vector de ataque es: desconocido, la víctima debe abrir la página del perfil si fue posible la persistencia.
Vulnerabilidad en Spectrum Power 3 (CVE-2019-10933)
Gravedad:
MediaMedia
Publication date: 11/07/2019
Last modified:
13/08/2019
Descripción:
Se ha identificado una vulnerabilidad en Spectrum Power 3 (Interfaz de Usuario Corporativa) (Todas las versiones anteriores a v3.11 e incluida), Spectrum Power 4 (Interfaz de Usuario Corporativa) (versión v4.75), Spectrum Power 5 (Interfaz de Usuario Corporativa) (Todas las versiones anteriores a v5.50), Spectrum Power 7 (Interfaz de Usuario Corporativa) (Todas las versiones anteriores a v2.20 e incluida). El servidor web podría permitir ataques de tipo Cross-Site Scripting (XSS) si los usuarios confiados son engañados para acceder a un enlace malicioso. La interacción del usuario es necesaria para una explotación con éxito. El usuario no necesita iniciar sesión en la interfaz web para que la explotación tenga éxito. En la etapa de publicación de este aviso de seguridad no se conoce ninguna explotación pública.
Vulnerabilidad en Proxy-Authorization. (CVE-2019-12525)
Gravedad:
AltaAlta
Publication date: 11/07/2019
Last modified:
10/07/2020
Descripción:
Se detectó un problema en Squid versiones 3.3.9 hasta 3.5.28 y versiones 4.x hasta 4.7. Cuando Squid está configurado para utilizar la autenticación implícita, analiza el encabezado Proxy-Authorization. Busca ciertos tokens como domain, uri y qop. Squid comprueba si el valor de este token comienza con una comilla y termina con uno. Si es así, realiza un memcpy de su longitud menos 2. Squid nunca comprueba si el valor es sólo una sola comilla (lo que satisfaría sus requisitos), lo que conlleva a un memcpy de su longitud menos 1.