Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Zoho ManageEngine ADManager Plus, ADSelfService Plus y DesktopCentral (CVE-2019-12876)
Gravedad:
AltaAlta
Publication date: 17/07/2019
Last modified:
24/08/2020
Descripción:
Zoho ManageEngine ADManager Plus versión 6.6.5, ADSelfService Plus versión 5.7, y DesktopCentral versión 10.0.380 tiene permisos no seguros, lo que conlleva a una escalada de privilegios desde los privilegios de bajo nivel hasta el sistema.
Vulnerabilidad en FolioVision FV Flowplayer Video Player (CVE-2019-13573)
Gravedad:
AltaAlta
Publication date: 17/07/2019
Last modified:
31/07/2019
Descripción:
Existe una vulnerabilidad de inyección SQL en el plugin FolioVision FV Flowplayer Video Player en versiones anteriores a la 7.3.19.727 para WordPress. La explotación con éxito de esta vulnerabilidad podría permitir que un atacante remoto ejecute comandos SQL en el sistema afectado.
Vulnerabilidad en el archivo RestoreTask.java en Ghidra de NSA (CVE-2019-13623)
Gravedad:
MediaMedia
Publication date: 17/07/2019
Last modified:
12/11/2019
Descripción:
En Ghidra en versiones anteriores a la 9.1 de NSA, puede ocurrir un salto de ruta (path) en el archivo RestoreTask.java (desde el paquete ghidra.app.plugin.core.archive) por medio de un archivo con un archivo ejecutable que tiene una inicial ../ en su nombre de archivo. Esto permite a los atacantes sobrescribir archivos arbitrarios en escenarios donde es archivado un resultado de análisis intermedio para compartir con otras personas. Para lograr la ejecución de código arbitrario, un forma de abordar es sobrescribir algunos módulos críticos de Ghidra, por ejemplo, el módulo decompile.
Vulnerabilidad en Elemento de Ruta (Path) (CVE-2019-6825)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
09/10/2019
Descripción:
Una CWE-427: Existe una vulnerabilidad de Elemento de Ruta (Path) de Búsqueda No Controlada en ProClima (todas las versiones anteriores a la versión 8.0.0), que podría permitir un archivo DLL malicioso, con el mismo nombre de cualquier DLL residente dentro de la instalación del software, para ejecutar código arbitrario en todas las versiones de ProClima anteriores a la versión 8.0.0.
Vulnerabilidad en Microsoft Office Javascript (CVE-2019-1109)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
19/07/2019
Descripción:
Existe una vulnerabilidad de suplantación de identidad cuando Microsoft Office Javascript no comprueba la validez de la página web que realiza una solicitud a documentos de Office. Un atacante que aprovechó esta vulnerabilidad podría leer o escribir información en documentos de Office. La actualización de seguridad subsana la vulnerabilidad al corregir la forma que Microsoft Office Javascript verifica las páginas web de confianza, también se conoce como 'Microsoft Office Spoofing Vulnerability'.
Vulnerabilidad en Microsoft Exchange Server (CVE-2019-1137)
Gravedad:
BajaBaja
Publication date: 15/07/2019
Last modified:
09/04/2020
Descripción:
Se presenta una vulnerabilidad de tipo Cross-site Scripting (XSS) cuando Microsoft Exchange Server no sanea apropiadamente una petición web especialmente diseñada para un servidor de Exchange afectado, también se conoce como 'Microsoft Exchange Server Spoofing Vulnerability'.
Vulnerabilidad en Microsoft Exchange Server (CVE-2019-1136)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server, también se conoce como "Microsoft Exchange Server Elevation of Privilege Vulnerability".
Vulnerabilidad en Microsoft SharePoint Server (CVE-2019-1134)
Gravedad:
BajaBaja
Publication date: 15/07/2019
Last modified:
19/07/2019
Descripción:
Se presenta una vulnerabilidad de tipo Cross-site Scripting (XSS) cuando Microsoft SharePoint Server no sanea apropiadamente una petición web especialmente diseñada para un servidor de SharePoint afectado, también se conoce como “Microsoft Office SharePoint XSS Vulnerability”.
Vulnerabilidad en Windows cuando el componente Win32k (CVE-2019-1132)
Gravedad:
AltaAlta
Publication date: 15/07/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no maneja apropiadamente los objetos en la memoria, también se conoce como "Win32k Elevation of Privilege Vulnerability".
Vulnerabilidad en La fuente de un archivo en Microsoft .NET Framework. (CVE-2019-1113)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
19/07/2019
Descripción:
Existe una vulnerabilidad de ejecución de código remota en el programa .NET cuando el programa no puede comprobar el margen de la fuente de un archivo. Un atacante que explotó con éxito la vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual, también se conoce como ".NET Framework Remote Code Execution Vulnerabilidad".
Vulnerabilidad en Windows Graphics Device Interface (CVE-2019-1102)
Gravedad:
AltaAlta
Publication date: 15/07/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de ejecución de código remoto en la manera en que Windows Graphics Device Interface (GDI) maneja los objetos en la memoria, también se conoce como "GDI+ Remote Code Execution Vulnerability".
Vulnerabilidad en Kernel de Activación del servicio RPC en Microsoft Windows. (CVE-2019-1089)
Gravedad:
AltaAlta
Publication date: 15/07/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios en la biblioteca rpcss.dll cuando el Kernel de Activación del servicio RPC maneja inapropiadamente una petición de RPC. Para explotar esta vulnerabilidad, un atacante autenticado de bajo nivel podría ejecutar una aplicación especialmente diseñada. La actualización de seguridad aborda esta vulnerabilidad mediante la corrección de cómo la biblioteca rpcss.dll maneja estas peticiones. También se conoce como "Windows RPCSS Elevation of Privilege Vulnerability".
Vulnerabilidad en Core de ASP.NET (CVE-2019-1075)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
19/07/2019
Descripción:
Existe una vulnerabilidad de suplantación de identidad en el Core de ASP.NET que podría conllevar a un redireccionamiento abierto, también se conoce como "ASP.NET Core Spoofing Vulnerability".
Vulnerabilidad en Azure DevOps Server y Team Foundation Server (TFS) de Microsoft (CVE-2019-1072)
Gravedad:
AltaAlta
Publication date: 15/07/2019
Last modified:
19/07/2019
Descripción:
Existe una vulnerabilidad de ejecución de código remota cuando Azure DevOps Server y Team Foundation Server (TFS), manejan inapropiadamente las entradas de los usuarios, también se conoce como "Azure DevOps Server and Team Foundation Server Remote Code Execution Vulnerability".
Vulnerabilidad en Windows Communication Foundation (CVE-2019-1006)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de omisión de autenticación en Windows Communication Foundation (WCF) y Windows Identity Foundation (WIF), permitiendo la firma de tokens SAML con claves simétricas arbitrarias, también se conoce como "WCF/WIF SAML Token Authentication Bypass Vulnerability".
Vulnerabilidad en runbooks "RunAs account" de Azure Automation (CVE-2019-0962)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de elevación de privilegios en los runbooks "RunAs account" de Azure Automation para usuarios con función de colaborador, también se conoce como "Azure Automation Elevation of Privilege Vulnerability".
Vulnerabilidad en Windows Server DHCP (CVE-2019-0785)
Gravedad:
AltaAlta
Publication date: 15/07/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de corrupción de memoria en el servicio Windows Server DHCP cuando un atacante envía paquetes especialmente diseñados a un servidor de failover DHCP, también se conoce como 'Windows DHCP Server Remote Code Execution Vulnerability'.
Vulnerabilidad en el archivo database_code.php en la función "AllBarCodes" en WebLibrarian del Software Deepwoods (CVE-2019-1010034)
Gravedad:
MediaMedia
Publication date: 15/07/2019
Last modified:
21/08/2019
Descripción:
WebLibrarian versiones 3.5.2 y anteriores del Software Deepwoods, está afectado por: Inyección SQL. El impacto es: Exponer la base de datos completa. El componente es: La función "AllBarCodes" (definida en database_code.php line 1018) es vulnerable a una inyección SQL a ciegas basada en boolean. Esta llamada a la función puede ser activada por cualquier usuario que haya iniciado sesión con al menos un rol de Voluntario o capacidades manage_circulation. PoC:/wordpress/wp-admin/admin.php?page=weblib-circulation-desk&orderby=title&order=DESC.
Vulnerabilidad en Junos (CVE-2019-0049)
Gravedad:
MediaMedia
Publication date: 11/07/2019
Last modified:
09/10/2019
Descripción:
En los dispositivos Junos con el modo auxiliar de reinicio amigable BGP habilitado o el mecanismo de reinicio amigable BGP habilitado, una secuencia determinada de reinicio de la sesión BGP en un peer remoto que tenga habilitado el mecanismo de reinicio elegante puede causar que el proceso routing protocol daemon (RPD) se bloquee y reinicie. Los bloqueos repetidos del proceso RPD pueden causar la denegación de servicio (DoS) prolongada. El modo auxiliar de reinicio apropiado para BGP está habilitado por defecto. Ningún otro producto o plataforma de Juniper Networks esta afectado por este problema. Las versiones afectadas son Junos OS de Juniper Networks: versiones 16.1 anteriores a 16.1R7-S3; versiones 16.2 anteriores a 16.2R2-S9; versiones 17.1 anteriores a 17.1R3; versiones 17.2 anteriores a 17.2R3; versiones 17.2X75 anteriores a 17.2X75-D105; versiones 17.3 anteriores a 17.3R3-S2; versiones 17.4 anteriores a 17.4R1-S7, 17.4R2-S2, 17.4R3; versiones 18.1 anteriores a 18.1R3-S2; versiones 18.2 anteriores a 18.2R2; versiones 18.2X75 anteriores a 18.2X75-D12, 18.2X75-D30; versiones 18.3 anteriores a 18.3R1-S4, 18.3R2. Las versiones del sistema operativo Junos anteriores a 16.1R1 no están afectadas.