Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en D-Link DSL-2750U (CVE-2019-1010156)
Gravedad:
Sin asignarSin asignar
Publication date: 23/07/2019
Last modified:
29/07/2019
Descripción:
D-Link DSL-2750U Firmware versión 1.11 está afectado por: Omisión de Autenticación. El impacto es: denegación de servicio y una fuga de información. El componente es: formulario de inicio de sesión.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Jeesite (CVE-2019-1010201)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/07/2019
Descripción:
Jeesite versión 1.2.7 está afectado por: Inyección de SQL. El impacto es: divulgación de información confidencial. El componente es: hay una vulnerabilidad de inyección SQL en la función updateProcInsIdByBusinessId() function in src/main/java/com.thinkgem.jeesite/modules/act/ActDao.java. El vector de ataque es: conectividad de red, autenticado. La versión corregida es: 4.0 y posteriores.
Vulnerabilidad en Jsish (CVE-2019-1010173)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
23/07/2019
Descripción:
Jsish versión 2.4.84 2.0484 está afectado por: Aserción Accesible. El impacto es: Denegación de servicio. El componente es: función Jsi_ValueArrayIndex (jsiValue.c:366). El vector de ataque es: ejecutando código JavaScript diseñado. La versión corregida es: después del commit 738ead193aff380a7e3d7ffb8e11e446f76867f3.
Vulnerabilidad en D-Link DSL-2750U (CVE-2019-1010155)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
08/08/2019
Descripción:
** EN DISPUTA ** D-Link DSL-2750U versión 1.11 está afectado por: Omisión de Autenticación. El impacto es: denegación del servicio y una fuga de información. El componente es: login. NOTA: Las terceras partes discuten estos problemas por no ser una vulnerabilidad porque, aunque se puede acceder al asistente sin autenticación, en realidad no puede configurar nada. Por lo tanto, no hay denegación de servicio o fuga de información.
Vulnerabilidad en jsish (CVE-2019-1010162)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
09/10/2019
Descripción:
jsish versión 2.4.74 2.0474 está afectado por: CWE-476: desreferencia de puntero NULL. El impacto es: denegación del servicio. El componente es: la función Jsi_StrcmpDict (jsiChar.c:121). El vector de ataque es: la víctima ejecuta código JavaScript diseñado. La versión corregida es: 2.4.77.
Vulnerabilidad en Jsish (CVE-2019-1010169)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
23/07/2019
Descripción:
Jsish versión 2.4.77 2.0477 está afectado por: lectura fuera de límites. El impacto es: Denegación de servicio. El componente es: la función lexer_getchar (jsiLexer.c:9). El vector de ataque es: ejecutando código JavaScript diseñado. La versión corregida es: 2.4.78.
Vulnerabilidad en Jsish (CVE-2019-1010170)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
23/07/2019
Descripción:
Jsish versión 2.4.77 2.0477 está afectado por: Uso de Memoria previamente liberada. El impacto es: Denegación de servicio. El componente es: la función Jsi_ObjFree (jsiObj.c:230). El vector de ataque es: ejecutando código JavaScript diseñado. La versión corregida es: 2.4.78.
Vulnerabilidad en Jsish (CVE-2019-1010171)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
23/07/2019
Descripción:
Jsish versión 2.4.83 2.0483 está afectado por: desreferencia de puntero NULL. El impacto es: denegación del servicio. El componente es: la función jsi_DumpFunctions (jsiEval.c:567). El vector de ataque es: ejecutando código JavaScript diseñado. La versión corregida es: 2.4.84.
Vulnerabilidad en el plugin GoUrl.io GoURL de Wordpress (CVE-2019-1010209)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
09/10/2019
Descripción:
El plugin GoUrl.io GoURL de Wordpress versión 1.4.13 y versiones anteriores está afectado por: CWE-434. El impacto es: el atacante no autenticado/no autorizado puede cargar un archivo ejecutable en el sitio web. El componente es: gourl.php#L5637. La versión corregida es: 1.4.14.
Vulnerabilidad en Cunder en Thunderbird (CVE-2019-11703)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
16/08/2019
Descripción:
Una fallo en la implementación de iCunder en Thunderbird provoca un desbordamiento del búfer del montón en parser_get_next_char cuando se procesan ciertos mensajes de correo electrónico, lo que resulta en una fallo potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird anterior a la versión 60.7.1.
Vulnerabilidad en iCunder de Thunderbird (CVE-2019-11704)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
16/08/2019
Descripción:
Un fallo en la implementación de iCunder por parte de Thunderbird provoca un desbordamiento del búfer de pila en icalmemory_strdup_and_dequote cuando se procesan ciertos mensajes de correo electrónico, lo que resulta un fallo potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird anterior a la 60.7.1.
Vulnerabilidad en el comando cherokee principal en el servidor web de Cherokee más reciente de Cherokee Webserver (CVE-2019-1010218)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
09/10/2019
Descripción:
El servidor web de Cherokee más reciente de Cherokee Webserver Hasta Versión 1.2.103 (estable actual) está afectado por: Desbordamiento de Búfer - CWE-120. El impacto es: Bloqueo. El componente es: Comando cherokee principal. El vector de ataque es: Sobrescribir argv[0] en una longitud no sana con execl. La versión corregida es: no hay ninguna solución aún.
Vulnerabilidad en la interfaz de administración web del teléfono UC902 VoIP de Htek (CVE-2019-12325)
Gravedad:
AltaAlta
Publication date: 22/07/2019
Last modified:
09/10/2019
Descripción:
La interfaz de administración web del teléfono UC902 VoIP de Htek, contiene varias vulnerabilidades de desbordamiento de búfer en la versión de firmware 2.0.4.4.46, que permiten a un atacante bloquear el dispositivo (DoS) sin autenticación o ejecutar un código (autenticado como usuario) para generar un shell remoto como un usuario root.
Vulnerabilidad en la contraseña de usuario mediante formulario de registro de TronLink Wallet (CVE-2019-13098)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
24/07/2019
Descripción:
La contraseña de usuario por medio del formulario de registro de TronLink Wallet versión 2.2.0 es almacenada en el registro cuando se llama a la clase CreateWalletTwoActivity. Otros usuarios autenticados pueden leerlo en el registro más adelante. Los datos registrados pueden ser leídos utilizando Logcat en el dispositivo. Cuando se usan plataformas anteriores a Android versión 4.1 (Jelly Bean), los datos de registro no se encuentran en un sandbox por aplicación; Cualquier aplicación instalada en el dispositivo tiene la capacidad de leer datos registrados por otras aplicaciones.
Vulnerabilidad en Assessment /TestQuestionPool en Ilias (CVE-2019-1010237)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
09/10/2019
Descripción:
Ilias versiones 5.3 anteriores a 5.3.12; versiones 5.2 anteriores a 5.2.21, está afectado por: Cross Site Scripting (XSS) - CWE-79 Tipo 2: XSS Almacenado (o Persistente). El impacto es: Ejecutar código en el navegador de la víctima. El componente es: Assessment / TestQuestionPool. El vector de ataque es: fallo de Cloze Test Text (atacante) / Vista de correcciones (víctima). La versión corregida es: versión 5.3.12.
Vulnerabilidad en el búfer de la pila en diversos productos Snapdragon (CVE-2018-13924)
Gravedad:
AltaAlta
Publication date: 22/07/2019
Last modified:
24/07/2019
Descripción:
La falta de comprobación para impedir que la longitud del búfer tome valores negativos puede conllevar a un desbordamiento de la pila. en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking en las versiones IPQ8074, MDM9150, MDM9206, MDM9607, MDM9615, MDM9625, MDM9635M, MDM9640, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA6174A, QCA8081, QCS404, QCS405, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 665, SD 675, SD 712 / SD 710 / SD 670, SD 730, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SD 8CX, SDA660, SDM439, SDM630, SDM660, SDX20, Snapdragon_High_Med_2016, SXR1130.
Vulnerabilidad en la política de depuración en la funcionalidad debug policy en diversos productos Snapdragon (CVE-2018-13927)
Gravedad:
AltaAlta
Publication date: 22/07/2019
Last modified:
24/07/2019
Descripción:
La política de depuración con firma no válida puede ser cargada cuando la funcionalidad debug policy está deshabilitada mediante el uso de la carga de imagen paralela en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wired Infrastructure and Networking en las versiones MDM9206, MDM9607, MDM9650, MDM9655, MSM8996AU, QCS404, QCS605, SD 410/12, SD 636, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SD 8CX, SDA660, SDM630, SDM660, SXR1130
Vulnerabilidad en el bucle de iteración en diversos productos Snapdragon (CVE-2019-2243)
Gravedad:
BajaBaja
Publication date: 22/07/2019
Last modified:
24/07/2019
Descripción:
Posible desbordamiento de búfer al final del bucle de iteración mientras se obtiene la información de la versión y conlleva a la divulgación de información en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9206, MDM9607, MDM9650, MSM8909W, MSM8996AU, QCS605, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 665, SD 675, SD 712 / SD 710 / SD 670, SD 730, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660
Vulnerabilidad en el procesamiento perf-event en diversos productos Snapdragon (CVE-2019-2260)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
24/07/2019
Descripción:
Una condición de carrera ocurre durante el procesamiento perf-event que puede conllevar a un uso de memoria previamente liberada en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8909W, QCS405, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 665, SD 712 / SD 710 / SD 670, SD 730, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDM439, SDM630, SDM660, SDX20, SDX24, Snapdragon_High_Med_2016, SXR1130
Vulnerabilidad en el canal glink en diversos productos Snapdragon (CVE-2019-2264)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
24/07/2019
Descripción:
Una desreferencia de puntero Null para el contexto del canal mientras se abre el canal glink en los productos Snapdragon Auto, Snapdragon Consumer IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9607, MDM9640, MSM8909W, QCS405, QCS605, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 712 / SD 710 / SD 670, SD 820A, SD 835, SD 845 / SD 850, SDM439, SDM630, SDM660, SDX24.
Vulnerabilidad en el marco action del proceso lim en diversos productos Snapdragon (CVE-2019-2269)
Gravedad:
AltaAlta
Publication date: 22/07/2019
Last modified:
22/07/2019
Descripción:
Un posible desbordamiento del búfer mientras se procesa el marco action del proceso lim de alto nivel debido a una comprobación inapropiada de la longitud del búfer en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music en la versiones MDM9150, MDM9650, MSM8996AU, QCS405, QCS605, SD 625, SD 636, SD 665, SD 712 / SD 710 / SD 670, SD 730, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM630, SDM660, SDX20, SDX24, SXR1130.
Vulnerabilidad en la WLAN en diversos productos de Snapdragon (CVE-2019-2277)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
22/07/2019
Descripción:
Una lectura fuera de límite puede presentarse debido a la falta de terminación NULL en los datos controlados por el usuario en la WLAN en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music en las versiones MSM8996AU, QCS405, QCS605, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 450, SD 625, SD 636, SD 665, SD 675, SD 712 / SD 710 / SD 670, SD 730, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM630, SDM660, SDX24.
Vulnerabilidad en Enterprise (CVE-2019-11553)
Gravedad:
MediaMedia
Publication date: 19/07/2019
Last modified:
23/07/2019
Descripción:
En Code42 para Enterprise hasta la versión 6.8.4, un administrador sin permiso de restauración web pero con la capacidad de administrar usuarios en una organización puede hacerse pasar por un usuario con permiso de restauración web. Al solicitar que el token realice una restauración web, un administrador con permiso para administrar un usuario puede solicitar el token de ese usuario. Si el administrador no estaba autorizado para realizar restauraciones web, pero el usuario estaba autorizado para realizar restauraciones web, esto permitiría al administrador suplantar al usuario con mayores permisos. Para aprovechar esta vulnerabilidad, el usuario tendría que ser un administrador con acceso para administrar una organización con un usuario con más permisos que ellos.
Vulnerabilidad en flatCore (CVE-2019-13961)
Gravedad:
MediaMedia
Publication date: 18/07/2019
Last modified:
19/07/2019
Descripción:
Se detectó una vulnerabilidad CSRF en flatCore en versiones anteriores a la 1.5, lo que llevó a la carga de archivos .php arbitrarios mediante acp/core/files.upload-script.php.
Vulnerabilidad en el archivo pnm2png.c en la función get_token en pnm2png en la decodificación PNM (CVE-2018-14550)
Gravedad:
MediaMedia
Publication date: 10/07/2019
Last modified:
03/08/2019
Descripción:
Se detecto un problema en la decodificación PNM de terceros asociada con libpng versión 1.6.35. Es un desbordamiento de búfer en la región stack de la memoria en la función get_token en el archivo pnm2png.c en pnm2png.
Vulnerabilidad en MobaXterm (CVE-2019-13475)
Gravedad:
MediaMedia
Publication date: 09/07/2019
Last modified:
16/07/2019
Descripción:
En MobaXterm versión 11.1, el manejador URI mobaxterm: presenta una vulnerabilidad de inyección de argumentos que permite a los atacantes remotos ejecutar comandos arbitrarios cuando el usuario visita una URL especialmente diseñada. Basándose en los argumentos de línea de comando disponibles del software, uno puede simplemente inyectar -exec para ejecutar comandos arbitrarios. Los argumentos adicionales -hideterm y -exitwhendone en la carga útil hacen que el ataque sea menos visible.
Vulnerabilidad en SIMATIC HMI y SIMATIC WinCC (CVE-2019-6572)
Gravedad:
MediaMedia
Publication date: 14/05/2019
Last modified:
22/05/2019
Descripción:
Ha sido identificada una vulnerabilidad en SIMATIC HMI Comfort Panels 4" - 22" (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 y KTP900F (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC Runtime Advanced (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC Runtime Professional (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC (TIA Portal) (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (Todas las versiones). El dispositivo afectado ofrecía capacidades de lectura y escritura de SNMP con una cadena de comunidad codificada públicamente. La vulnerabilidad de la seguridad podría ser explotada por un atacante con acceso de red al dispositivo afectado. La explotación con éxito no requiere privilegios del sistema ni interacción del usuario. Un atacante podría utilizar la vulnerabilidad para comprometer la confidencialidad y la integridad del sistema afectado. En el momento de la publicación de asesoramiento, no se conocía la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en SIMATIC HMI y SIMATIC WinCC (CVE-2019-6576)
Gravedad:
MediaMedia
Publication date: 14/05/2019
Last modified:
22/05/2019
Descripción:
Ha sido identificada una vulnerabilidad en SIMATIC HMI Comfort Panels 4" - 22" (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 y KTP900F (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC Runtime Advanced (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC Runtime Professional (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC (TIA Portal) (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (Todas las versiones). Un atacante con acceso de red a los dispositivos afectados podría obtener una clave de sesión TLS. Si el atacante puede observar el tráfico TLS entre un usuario legítimo y el dispositivo, entonces el atacante podría descifrar el tráfico TLS. La vulnerabilidad de la seguridad podría ser explotada por un atacante que tenga acceso de red a la interfaz web del dispositivo y que pueda observar el tráfico TLS entre usuarios legítimos y la interfaz web del dispositivo afectado. La vulnerabilidad podría afectar la confidencialidad de la comunicación entre el dispositivo afectado y un usuario legítimo. En el momento de la publicación de asesoramiento, no se conocía la explotación pública de la vulnerabilidad de seguridad.
Vulnerabilidad en SIMATIC HMI y SIMATIC WinCC (CVE-2019-6577)
Gravedad:
BajaBaja
Publication date: 14/05/2019
Last modified:
22/05/2019
Descripción:
Ha sido identificada una vulnerabilidad en SIMATIC HMI Comfort Panels 4" - 22" (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI Comfort Outdoor Panels 7" & 15" (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI KTP Mobile Panels KTP400F, KTP700, KTP700F, KTP900 y KTP900F (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC Runtime Advanced (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC Runtime Professional (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC WinCC (TIA Portal) (Todas las versiones anteriores a la V15.1 Update 1), SIMATIC HMI Classic Devices (TP/MP/OP/MP Mobile Panel) (Todas las versiones). El servidor web integrado podría permitir ataques de Cross-Site Scripting (XSS) si un atacante puede modificar partes particulares de la configuración del dispositivo por medio de SNMP. La vulnerabilidad de la seguridad podría ser explotada por un atacante con acceso de red al sistema afectado. La explotación con éxito requiere privilegios del sistema e interacción del usuario. Un atacante podría utilizar la vulnerabilidad para comprometer la confidencialidad y la integridad del sistema afectado. En la etapa de publicación de este aviso de seguridad no se conoce ninguna explotación pública.
Vulnerabilidad en el archivo transform.c en la función transform_save en Augeas (CVE-2012-0786)
Gravedad:
BajaBaja
Publication date: 23/11/2013
Last modified:
24/01/2014
Descripción:
La función transform_save en el archivo transform.c en Augeas anterior a versión 1.0.0, permite a los usuarios locales sobrescribir archivos arbitrarios y obtener información confidencial mediante un ataque de enlace simbólico sobre un archivo .augnew.
Vulnerabilidad en el archivo transform.c en la función transform_save en Augeas (CVE-2012-6607)
Gravedad:
BajaBaja
Publication date: 23/11/2013
Last modified:
24/01/2014
Descripción:
La función transform_save en el archivo transform.c en Augeas anterior a versión 1.0.0, permite a los usuarios locales sobrescribir archivos arbitrarios y obtener información confidencial mediante un ataque de enlace simbólico sobre un archivo .augsave en una acción de copia de seguridad, un vector diferente del CVE-2012-0786.
Vulnerabilidad en el archivo sys/dev/nand/nand_geom.c en la función nand_ioctl en el controlador nand en el kernel en FreeBSD (CVE-2013-6832)
Gravedad:
MediaMedia
Publication date: 21/11/2013
Last modified:
25/11/2013
Descripción:
La función nand_ioctl en el archivo sys/dev/nand/nand_geom.c en el controlador nand en el kernel en FreeBSD versión 10 y anteriores no inicializa apropiadamente una cierta estructura de datos, lo que permite a usuarios locales obtener información confidencial de la memoria del kernel por medio de una llamada ioctl diseñada.
Vulnerabilidad en el archivo sys/dev/qlxge/qls_ioctl.c en la función qls_eioctl en el kernel en FreeBSD (CVE-2013-6833)
Gravedad:
MediaMedia
Publication date: 21/11/2013
Last modified:
25/11/2013
Descripción:
La función qls_eioctl en el archivo sys/dev/qlxge/qls_ioctl.c en el kernel en FreeBSD versión 10 y anteriores, no comprueba un parámetro de cierto tamaño, lo que permite a usuarios locales obtener información confidencial de la memoria del kernel por medio de una llamada ioctl diseñada.
Vulnerabilidad en el archivo sys/dev/qlxgbe/ql_ioctl.c en la función ql_eioctl en el kernel en FreeBSD (CVE-2013-6834)
Gravedad:
MediaMedia
Publication date: 21/11/2013
Last modified:
04/03/2014
Descripción:
La función ql_eioctl en el archivo sys/dev/qlxgbe/ql_ioctl.c en el kernel en FreeBSD versión 10 y anteriores, no comprueba un parámetro de tamaño determinado, lo que permite a usuarios locales obtener información confidencial de la memoria del kernel por medio de una llamada ioctl diseñada.
Vulnerabilidad en el archivo admin/confnetworking.html en el parámetro nsserver en Mail-SeCure de PineApp sobre 5099SK (CVE-2013-6830)
Gravedad:
AltaAlta
Publication date: 20/11/2013
Last modified:
25/11/2013
Descripción:
El archivo admin/confnetworking.html en Mail-SeCure de PineApp versión 3.70 y anteriores sobre plataformas 5099SK y anteriores, permite que los atacantes remotos ejecuten comandos arbitrarios por medio de metacaracteres de shell en el parámetro nsserver durante una operación nslookup.
Vulnerabilidad en eñl archivo sudoers en cuenta qmailq en Mail-SeCure de PineApp en plataforma 5099SK (CVE-2013-6831)
Gravedad:
AltaAlta
Publication date: 20/11/2013
Last modified:
25/11/2013
Descripción:
Mail-SeCure de PineApp versión 3.70 y anteriores sobre plataformas 5099SK y anteriores, presenta un archivo sudoers que no restringe apropiadamente las especificaciones del usuario, lo que permite a usuarios locales alcanzar privilegios por medio de un comando sudo que aprovecha el acceso a la cuenta qmailq.
Vulnerabilidad en la autenticación de administradores para ciertas peticiones en DSL-2740B Gateway de D-Link (CVE-2013-5730)
Gravedad:
MediaMedia
Publication date: 20/11/2013
Last modified:
28/04/2017
Descripción:
Múltiples vulnerabilidades de tipo cross-site request forgery (CSRF) en DSL-2740B Gateway de D-Link con versión de firmware EU_1.00, permiten a los atacantes remotos secuestrar la autenticación de los administradores para peticiones que (1) habilitan o deshabilitan los filtros de direcciones MAC inalámbricas por medio de una acción wlFltMode en archivo wlmacflt.cmd, (2) habilita o inhabilita las protecciones de firewall mediante una petición al archivo scdmz.cmd, o (3) habilita o inhabilita la administración remota por medio de una acción save en archivo scsrvcntr.cmd.
Vulnerabilidad en el directorio CFIDE en Adobe ColdFusion (CVE-2013-5326)
Gravedad:
BajaBaja
Publication date: 12/11/2013
Last modified:
31/12/2013
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en Adobe ColdFusion versión 9.0 anterior a Update 12, versión 9.0.1 anterior a Update 11, versión 9.0.2 anterior a Update 6 y versión 10 anterior a Update 12, cuando el directorio CFIDE está disponible, permite a los usuarios autenticados remotamente inyectar script web o HTML arbitrario por medio de vectores no especificados relacionados con el directorio logviewer.
Vulnerabilidad en los archivo drivers/block/ploop/dev.c y fs/quota/quota.c en las funciones ploop_getdevice_ioc o quompat_quotactl en la memoria de la pila del kernel en vzkernel en modificación de OpenVZ para el kernel de Linux (CVE-2013-2239)
Gravedad:
MediaMedia
Publication date: 12/11/2013
Last modified:
07/02/2014
Descripción:
vzkernel anterior a versión 042stab080.2 en la modificación de OpenVZ para el kernel de Linux versión 2.6.32, no inicializa determinadas variables de longitud, lo que permite a usuarios locales obtener información confidencial de la memoria de la pila del kernel por medio de (1) una llamada ioctl del controlador ploop diseñada, relacionado con la función ploop_getdevice_ioc en el archivo drivers/block/ploop/dev.c, o (2) una llamada de sistema quotactl diseñada, relacionada con la función compat_quotactl en fs/quota/quota.c.
Vulnerabilidad en el servicio SOAP de APISiteScopeImpl en HP SiteScope (CVE-2013-4835)
Gravedad:
AltaAlta
Publication date: 04/11/2013
Last modified:
30/06/2017
Descripción:
El servicio SOAP de APISiteScopeImpl en HP SiteScope versiones 10.1x y versiones 11.x anteriores a 11.22, permite a los atacantes remotos omitir la autenticación y ejecutar código arbitrario mediante una petición directa al método issueSiebelCmd, también conocido como ZDI-CAN-1765.
Vulnerabilidad en la función de la API virConnectDomainXMLToNative en libvirt (CVE-2013-4401)
Gravedad:
AltaAlta
Publication date: 02/11/2013
Last modified:
02/01/2015
Descripción:
La función de la API virConnectDomainXMLToNative en libvirt versiones 1.1.0 hasta 1.1.3, comprueba el permiso connect:read en lugar del permiso connect:write, que permite a los atacantes conseguir privilegios domain:write y ejecutar archivos binarios de Qemu por medio de un XML diseñado. NOTA: algunos de estos detalles se obtienen a partir de información de terceros.
Vulnerabilidad en el analizador de paquetes comprimido en GnuPG (CVE-2013-4402)
Gravedad:
MediaMedia
Publication date: 28/10/2013
Last modified:
04/01/2014
Descripción:
El analizador de paquetes comprimido en GnuPG versiones 1.4.x anteriores a 1.4.15 y versiones 2.0.x anteriores a 2.0.22, permite a los atacantes remotos causar una denegación de servicio (recursión infinita) por medio de un mensaje OpenPGP diseñado.
Vulnerabilidad en Sybase Adaptive Server Enterprise (ASE) de SAP (CVE-2013-6245)
Gravedad:
AltaAlta
Publication date: 23/10/2013
Last modified:
25/11/2013
Descripción:
Una vulnerabilidad no especificada en Sybase Adaptive Server Enterprise (ASE) de SAP versiones anteriores a 15.0.3 ESD#4.3. versiones 15.5 anteriores a 15.5 ESD#5.3 y versiones 15.7 anteriores a 15.7 SP50 o versión 15.7 SP100, permite a los usuarios autenticados remotos ejecutar código arbitrario por medio de vectores no especificados.
Vulnerabilidad en el demonio de enrutamiento RPD en Juniper Junos en entorno NGEN MVPN (CVE-2013-6170)
Gravedad:
MediaMedia
Publication date: 17/10/2013
Last modified:
08/01/2014
Descripción:
Juniper Junos versiones 10.0 anteriores a 10.0S28, versiones 10.4 anteriores a 10.4R7, versiones 11.1 anteriores a 11.1R5,versiones 11.2 anteriores a 11.2R2 y versiones 11.4 anteriores a 11.4R1, cuando está en un entorno Next-Generation Multicast VPN (NGEN MVPN), permite a los atacantes remotos causar un denegación de servicio (bloqueo del demonio de enrutamiento RPD) mediante un gran número de peticiones de unión PIM (S,G) diseñadas.
Vulnerabilidad en Swing en Oracle Java SE y Java SE Embedded (CVE-2013-5805)
Gravedad:
AltaAlta
Publication date: 16/10/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en Oracle Java SE versión 7un40 y anteriores y Java SE Embedded versión 7u40 y anteriores, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con Swing, una vulnerabilidad diferente del CVE-2013-5806.
Vulnerabilidad en Swing en Oracle Java SE y Java SE Embedded (CVE-2013-5806)
Gravedad:
AltaAlta
Publication date: 16/10/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en Oracle Java SE versión 7u40 y anteriores y Java SE Embedded versión 7u40 y anteriores, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con Swing, una vulnerabilidad diferente de CVE-2013-5805.
Vulnerabilidad en Java SE y Embedded de Oracle (CVE-2013-5774)
Gravedad:
MediaMedia
Publication date: 16/10/2013
Last modified:
04/01/2018
Descripción:
Una vulnerabilidad no especificada en Java SE versión 7u40 y anteriores, versión 6u60 y anteriores, versión 5.0u51 y anteriores, y Embedded versión 7u40 y anteriores de Oracle, permite a los atacantes remotos afectar la integridad por medio de vectores desconocidos relacionados con las bibliotecas.
Vulnerabilidad en el analizador de Microsoft Access en la biblioteca vsacs.dll en el componente Oracle Outside In Technology en Oracle Fusion Middleware (CVE-2013-5791)
Gravedad:
BajaBaja
Publication date: 16/10/2013
Last modified:
12/10/2018
Descripción:
Una vulnerabilidad no especificada en el componente Oracle Outside In Technology en Oracle Fusion Middleware versiones 8.4.0 y 8.4.1, permite a los atacantes dependiendo del contexto afectar la disponibilidad por medio de vectores desconocidos relacionados con Outside In Filters. NOTA: la información previa es de la CPU de octubre de 2013. Oracle no ha comentado sobre las afirmaciones de un tercero de que el problema es un desbordamiento de búfer en la región stack de la memoria en el analizador de Microsoft Access versiones 1.x en la biblioteca vsacs.dll anteriores a versión 8.4.0.108 y anterior a versión 8.4.1.52, lo que permite a los atacantes ejecutar código arbitrario por medio de un nombre de campo largo (también se conoce como columna).
Vulnerabilidad en la funcionalidad OS deployment en Baramundi Management Suite (CVE-2013-3624)
Gravedad:
AltaAlta
Publication date: 03/10/2013
Last modified:
13/12/2013
Descripción:
La funcionalidad OS deployment en Baramundi Management Suite versiones 7.5 hasta 8.9, almacena las credenciales del texto sin cifrar en las máquinas implementadas, lo que permite a los atacantes remotos obtener información confidencial mediante la lectura de un archivo. NOTA: este ID fue asignado incorrectamente a un problema separado en Oracle Outside In, pero el ID correcto para ese problema es CVE-2013-5763.
Vulnerabilidad en el archivo sys/kern/uipc_syscalls.c en la implementación de la llamada de sistema sendfile en el kernel en FreeBSD (CVE-2013-5666)
Gravedad:
MediaMedia
Publication date: 23/09/2013
Last modified:
25/09/2013
Descripción:
La implementación de la llamada de sistema sendfile en el archivo sys/kern/uipc_syscalls.c en el kernel en FreeBSD versiones 9.2-RC1 y 9.2-RC2 no completa apropiadamente las transmisiones, lo que permite a los usuarios locales obtener información confidencial (memoria del kernel) mediante una longitud mayor que la longitud del archivo.
Vulnerabilidad en el archivo sys/fs/nullfs/null_vnops.c en la implementación de nullfs en el kernel en FreeBSD (CVE-2013-5710)
Gravedad:
BajaBaja
Publication date: 23/09/2013
Last modified:
23/10/2013
Descripción:
La implementación de nullfs en el archivo sys/fs/nullfs/null_vnops.c en el kernel en FreeBSD versiones 8.3 hasta 9.2, permite a los usuarios locales con ciertos permisos omitir las restricciones de acceso mediante un enlace físico en una instancia de nullfs hacia un archivo en una instancia diferente.
Vulnerabilidad en el "faster LJPEG decoder" en libraw (CVE-2013-1439)
Gravedad:
MediaMedia
Publication date: 16/09/2013
Last modified:
15/11/2013
Descripción:
El "faster LJPEG decoder" en libraw versiones 0.13.x, 0.14.x, y versiones 0.15.x anteriores a 0.15.4, permite a los atacantes dependiendo del contexto causar una denegación de servicio (desreferencia de un puntero NULL) por medio de un archivo de fotos diseñado.
Vulnerabilidad en el archivo tools/tiff2pdf.c en la función t2p_readwrite_pdf_image en libtiff (CVE-2013-4232)
Gravedad:
MediaMedia
Publication date: 10/09/2013
Last modified:
29/06/2017
Descripción:
Una vulnerabilidad de uso de la memoria previamente liberada en la función t2p_readwrite_pdf_image en el archivo tools/tiff2pdf.c en libtiff versión 4.0.3, permite a los atacantes remotos causar una denegación de servicio (bloqueo de aplicación) o posiblemente ejecutar código arbitrario por medio de una imagen TIFF diseñada.
Vulnerabilidad en la biblioteca hawtjni-runtime/src/main/ java/org/fusesource/hawtjni/runtime/Library.java en /tmp en HawtJNI (CVE-2013-2035)
Gravedad:
MediaMedia
Publication date: 28/08/2013
Last modified:
17/01/2015
Descripción:
Una condición de carrera en la biblioteca hawtjni-runtime/src/main/ java/org/fusesource/hawtjni/runtime/Library.java en HawtJNI anterior a versión 1.8, cuando una ruta (path) de biblioteca personalizada no se especifica, permite a los usuarios locales ejecutar código Java arbitrario sobrescribiendo un Archivo JAR temporal con un nombre predecible en /tmp.
Vulnerabilidad en las referencias sobre las páginas almacenadas en Xen (CVE-2013-1432)
Gravedad:
AltaAlta
Publication date: 28/08/2013
Last modified:
29/06/2017
Descripción:
Xen versiones 4.1.x y 4.2.x, cuando el parche XSA-45 está en su lugar, no mantiene apropiadamente las referencias sobre las páginas almacenadas para una limpieza diferida, lo que permite a los kernels invitados PV locales causar una denegación de servicio (liberación de página prematura y bloqueo del hipervisor) o posiblemente conseguir privilegios por medio de vectores no especificados.
Vulnerabilidad en el analizador de secuencias XML en Apache CXF (CVE-2013-2160)
Gravedad:
MediaMedia
Publication date: 19/08/2013
Last modified:
30/10/2013
Descripción:
El analizador de secuencias XML en Apache CXF versiones 2.5.x anteriores a 2.5.10, versiones 2.6.x anteriores a 2.6.7 y versiones 2.7.x anteriores a 2.7.4, permite a los atacantes remotos causar una denegación de servicio (consumo de CPU y memoria) por medio de XML diseñado con un gran número de (1) elementos, (2) atributos, (3) construcciones anidadas y posiblemente otros vectores.
Vulnerabilidad en el archivo actionscript/Jplayer.as en el parámetro jQuery o id en el componente Flash SWF (jplayer.swf) en jPlayer (CVE-2013-2022)
Gravedad:
MediaMedia
Publication date: 17/08/2013
Last modified:
24/07/2014
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el archivo actionscript/Jplayer.as en el componente Flash SWF (jplayer.swf) en jPlayer anterior a versión 2.2.23, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro (1) jQuery o (2 ) id, una vulnerabilidad diferente de CVE-2013-1942 y CVE-2013-2023, como es demostrado mediante el uso de la función alert en el parámetro jQuery. NOTA: estos son los mismos parámetros del CVE-2013-1942, pero la solución para CVE-2013-1942 usa una lista negra para el parámetro jQuery.
Vulnerabilidad en el archivo actionscript/Jplayer.as en el componente Flash SWF (jplayer.swf) en jPlayer (CVE-2013-2023)
Gravedad:
MediaMedia
Publication date: 15/08/2013
Last modified:
24/07/2014
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo actionscript/Jplayer.as en el componente Flash SWF (jplayer.swf) en jPlayer anterior a versión 2.3.1, permite a atacantes remotos inyectar script web o HTML por medio de vectores no especificados, posiblemente relacionados con listas negras incompletas, una vulnerabilidad diferente de CVE-2013-1942 y CVE-2013-2022.
Vulnerabilidad en la implementación OSPF en diversos enrutadores y suiches de HP (CVE-2013-4806)
Gravedad:
AltaAlta
Publication date: 12/08/2013
Last modified:
04/01/2014
Descripción:
La implementación OSPF en los enrutadores JD9 ## A de HP; switches J4###A, J484#B, J8###A, JD3##A, JE###A, y JF55#A de HP; enrutadores y suiches 3COM de HP ; y enrutadores y switches H3C de HP, no consideran la posibilidad de duplicar los valores de Link State ID en los paquetes Link State Advertisement (LSA) antes de las operaciones realizadas en la base de datos de LSA, lo que permite a los usuarios autenticados remotos causar una denegación de servicio (interrupción de enrutamiento) u obtener información confidencial del paquete por medio de un paquete LSA diseñado, un problema relacionado con el CVE-2013-0149.
Vulnerabilidad en el archivo cw3dgrph.ocx en el control de 3D Graph ActiveX en LabWindows/CVI 2012 y LabVIEW 2012 y otros productos de National Instruments (CVE-2013-5022)
Gravedad:
AltaAlta
Publication date: 06/08/2013
Last modified:
17/09/2013
Descripción:
Una vulnerabilidad de salto de ruta (path) en el control de 3D Graph ActiveX en el archivo cw3dgrph.ocx en LabWindows/CVI 2012 SP1 y anteriores, LabVIEW 2012 SP1 y anteriores, y otros productos de National Instruments, permiten a los atacantes remotos crear y ejecutar archivos arbitrarios por medio de una ruta (path) de acceso completa en un argumento para el método ExportStyle, en conjunción con el contenido del archivo en el valor de la propiedad (a) Caption o (b) FormatString.
Vulnerabilidad en el método ExportStyle en el archivo cwui.ocx en National Instruments LabWindows/CVI 2012, National Instruments LabVIEW 2012 y el componente de Data Analysis en ABB DataManager (CVE-2013-5021)
Gravedad:
AltaAlta
Publication date: 06/08/2013
Last modified:
17/09/2013
Descripción:
Múltiples vulnerabilidades de salto de ruta (path) en el archivo cwui.ocx de National Instruments , como se usado en National Instruments LabWindows/CVI 2012 SP1 y anteriores, National Instruments LabVIEW 2012 SP1 y anteriores, el componente de Data Analysis en ABB DataManager versión 1 hasta 6.3.6, y otros productos permiten atacantes remotos crear y ejecutar archivos arbitrarios por medio de un acceso de ruta (path) completo en un argumento del método ExportStyle en el control de (1) CWNumEdit, (2) CWGraph, (3) CWBoolean, (4) CWSlide o (5) ActiveX CWKnob, en conjunción con el contenido del archivo en el valor de la propiedad (a) Caption o (b) FormatString.
Vulnerabilidad en un control ActiveX en los archivos lookout650.ocx, lookout660.ocx y lookout670.ocx en Lookout de National Instruments (CVE-2013-5026)
Gravedad:
AltaAlta
Publication date: 06/08/2013
Last modified:
17/09/2013
Descripción:
Un control ActiveX en los archivos lookout650.ocx, lookout660.ocx y lookout670.ocx en Lookout de National Instruments versiones 6.5 hasta 6.7, permite a los atacantes remotos ejecutar código arbitrario activando la descarga de las llamadas hacia un archivo DLL arbitrario.
Vulnerabilidad en la funcionalidad JMX Remoting en Apache Geronimo en WebSphere Application Server (WAS) Community Edition de IBM (CVE-2013-1777)
Gravedad:
AltaAlta
Publication date: 11/07/2013
Last modified:
01/04/2014
Descripción:
La funcionalidad JMX Remoting en Apache Geronimo versiones 3.x anteriores a 3.0.1, tal y como se usa en WebSphere Application Server (WAS) Community Edition de IBM versión 3.0.0.3 y otros productos, no implementa apropiadamente el cargador de clases RMI, lo que permite a los atacantes remotos ejecutar código arbitrario usando el conector JMX para enviar un objeto serializado diseñado.
Vulnerabilidad en Folsom, Grizzly y Havana de OpenStack Compute (Nova) (CVE-2013-2096)
Gravedad:
BajaBaja
Publication date: 09/07/2013
Last modified:
08/01/2014
Descripción:
Folsom, Grizzly y Havana de OpenStack Compute (Nova), no comprueba el tamaño virtual de una imagen QCOW2, lo que permite a los usuarios locales causar una denegación de servicio (consumo de disco del sistema de archivos host) creando una imagen con un gran tamaño virtual que sí, no contiene una gran cantidad de datos.
Vulnerabilidad en el archivo testurls.html en el iDRAC6 de Dell (CVE-2013-4785)
Gravedad:
AltaAlta
Publication date: 08/07/2013
Last modified:
26/09/2013
Descripción:
La interfaz web en el iDRAC6 de Dell con versión de firmware anterior a 1.95, permite a los atacantes remotos modificar la interfaz CLP para usuarios arbitrarios y posiblemente tener otro impacto por medio de una petición a un formulario no especificado que es accesible desde el archivo testurls.html. NOTA: el proveedor cuestiona la importancia de este problema, declarando que "Los DRAC están destinados a estar en una red de administración separada; no están diseñados ni destinados a ser conectados o conectados a Internet".
Vulnerabilidad en los dispositivos iDRAC6 y iDRAC7 de Dell (CVE-2013-4783)
Gravedad:
AltaAlta
Publication date: 08/07/2013
Last modified:
26/09/2013
Descripción:
El dispositivo iDRAC6 de Dell con versiones de firmware 1.x anteriores a 1.92 y versiones 2.x y versiones 3.x anteriores a 3.42, e iDRAC7 con versión de firmware anterior a 1.23.23, permite a los atacantes remotos omitir la autenticación y ejecutar comandos IPMI arbitrarios usando el conjunto de cifrado 0 (también se conoce como cifrado cero) y una contraseña arbitraria. NOTA: el proveedor cuestiona la importancia de este problema, declarando que "Los DRAC están destinados a estar en una red de administración separada; no están diseñados ni destinados a ser conectados o conectados a Internet".
Vulnerabilidad en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2407)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores y versión 6 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad y disponibilidad por medio de vectores desconocidos relacionados con Bibliotecas. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con "XML security and the class loader"
Vulnerabilidad en Serviceability en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2412)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores y versión 6 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad por medio de vectores desconocidos relacionados con Serviceability. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con una indicación insuficiente de un fallo de conexión SSL por JConsole, relacionado con el cuadro de diálogo de conexión RMI.
Vulnerabilidad en Libraries en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2443)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad por medio de vectores desconocidos relacionados con Libraries, esta vulnerabilidad es diferente de CVE-2013-2452 y CVE-2013-2455. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema se debe a un "checking order" incorrecto dentro de la clase AccessControlContext.
Vulnerabilidad en AWT en el componente Java Runtime Environment (JRE) en Java SE, JavaFX y OpenJDK de Oracle (CVE-2013-2444)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores; JavaFX versión 2.2.21 y anteriores; y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar a la disponibilidad por medio de vectores relacionados con AWT. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema no "properly manage and restrict certain resources related to the processing of fonts", lo que posiblemente implica archivos temporales.
Vulnerabilidad en Hotspot en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2445)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar a la disponibilidad por medio de vectores desconocidos relacionados con Hotspot. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con el "handling of memory allocation errors".
Vulnerabilidad en CORBA en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2446)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad por medio de vectores relacionados con CORBA. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema no aplica apropiadamente las restricciones de acceso para las secuencias de salida CORBA.
Vulnerabilidad en Libraries en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2449)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
18/09/2017
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar a la confidencialidad por medio de vectores desconocidos relacionados con Libraries. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con GnomeFileTypeDetector y una falta de comprobación para los permisos de lectura de una ruta (path).
Vulnerabilidad en las Redes en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2451)
Gravedad:
BajaBaja
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores y versión 6 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los usuarios locales confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con Networking. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con la aplicación inapropiada de enlaces de puerto exclusivo cuando se ejecuta en Windows, lo que permite a los atacantes enlazar a puertos que ya están en uso.
Vulnerabilidad en JMX en el componente Java Runtime Environment (JRE) en Java SE de Oracle (CVE-2013-2453)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores y versión 6 Update 45 y anteriores de Oracle, permite a los atacantes remotos afectar a la integridad por medio de vectores relacionados con JMX. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema se debe a una falta de comprobación para el "package access" por parte del Introspector de MBeanServer.
Vulnerabilidad en Libraries en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2458)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
18/09/2017
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar a la confidencialidad y la integridad por medio de desconocidos vectores relacionados con Libraries. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de "an error related to method handles".
Vulnerabilidad en Serviceability en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2460)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
18/09/2017
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar a la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con Serviceability. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con "insufficient access checks" en el componente de seguimiento.
Vulnerabilidad en 2D en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2463)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con 2D. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con la "Incorrect image attribute verification" en 2D.
Vulnerabilidad en 2D en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-1500)
Gravedad:
BajaBaja
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los usuarios locales afectar la confidencialidad y la integridad por medio de vectores desconocidos relacionados con 2D. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con permisos débiles para la memoria compartida.
Vulnerabilidad en las Redes en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2447)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad por medio de vectores desconocidos relacionados con el Networking. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos obtener la dirección local de un socket por medio de vectores que implican incoherencias entre Socket.getLocalAddress e InetAddress.getLocalHost.
Vulnerabilidad en Sound en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2448)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con Sound. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con "access restrictions" insuficientes y "robustness of sound classes".
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2450)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar a la disponibilidad por medio de vectores desconocidos relacionados con Serialization. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con el manejo inapropiado de referencias circulares en ObjectStreamClass.
Vulnerabilidad en Libraries en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2452)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad por medio de vectores desconocidos relacionados con Libraries, esta vulnerabilidad es diferente de CVE-2013-2443 y CVE-2013-2455. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con el "network address handling in virtual machine identifiers" y la falta de "unique and unpredictable IDs" en la clase java.rmi.dgc.VMID.
Vulnerabilidad en JDBC en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2454)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad y la integridad por medio de vectores relacionados con JDBC. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema no restringe apropiadamente el acceso a determinados paquetes de clase en la clase SerialJavaObject, lo que permite a los atacantes remotos omitir el sandbox de Java.
Vulnerabilidad en Libraries en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2455)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad por medio de vectores desconocidos relacionados con Libraries, esta vulnerabilidad es diferente de CVE-2013-2443 y CVE-2013-2452. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con comprobaciones de acceso inapropiado por los métodos. (1) getEnclosingClass, (2) getEnclosingMethod, y (3) getEnclosingConstructor.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2456)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad por medio de vectores desconocidos relacionados con Serialization. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre notificaciones de otro proveedor que este problema está relacionado con comprobaciones de acceso inapropiadas para subclases en la clase ObjectOutputStream.
Vulnerabilidad en JMX en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2457)
Gravedad:
MediaMedia
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la integridad por medio de vectores relacionados con JMX. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema se debe a una implementación inapropiada de "certain class checks" que permite a los atacantes remotos omitir las restricciones de clase previstas.
Vulnerabilidad en AWT en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2459)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores relacionados con AWT. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con "integer overflow checks".
Vulnerabilidad en 2D en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2465)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con 2D. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con la "Incorrect image attribute verification" en 2D.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2469)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con 2D. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con la "Incorrect image attribute verification" en 2D.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2470)
Gravedad:
AltaAlta
Publication date: 18/06/2013
Last modified:
04/01/2018
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 21 y anteriores, versión 6 Update 45 y anteriores, y versión 5.0 Update 45 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con 2D. NOTA: la información previa es de la CPU de junio de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema permite a los atacantes remotos omitir el sandbox de Java por medio de vectores relacionados con el "ImagingLib byte lookup processing".
Vulnerabilidad en SOA WebSphere DataPower de IBM (CVE-2013-0499)
Gravedad:
MediaMedia
Publication date: 28/05/2013
Last modified:
28/08/2017
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en la funcionalidad echo en dispositivos SOA WebSphere DataPower de IBM con la versión de firmware 3.8.2, 4.0, 4.0.1, 4.0.2 y 5.0.0, permite a los atacantes remotos inyectar script web o HTML arbitrarios por medio de un mensaje SOAP, como es demostrado por los servicios Firewall XML, Multi Protocol Gateway (MPGW), Proxy de servicio web y Token web.
Vulnerabilidad en Xen (CVE-2013-1964)
Gravedad:
MediaMedia
Publication date: 21/05/2013
Last modified:
29/06/2017
Descripción:
Xen versiones 4.0.x y 4.1.x, libera incorrectamente una referencia de concesión al liberar una concesión sin-v1, sin transmitir, que permite a los administradores invitados locales causar una denegación de servicio (bloqueo del host), obtener información, o posiblemente tener otros impactos por medio de vectores no especificados.
Vulnerabilidad en Service Manager Web Tier de HP (CVE-2012-5222)
Gravedad:
MediaMedia
Publication date: 02/05/2013
Last modified:
09/10/2019
Descripción:
Service Manager Web Tier de HP versión 9.31 anterior a 9.31.2004 p2, permite a los atacantes remotos obtener información confidencial por medio de vectores no especificados.
Vulnerabilidad en iManager de Novell en Apache Tomcat (CVE-2013-1088)
Gravedad:
MediaMedia
Publication date: 24/04/2013
Last modified:
16/05/2013
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en iManager de Novell versión 2.7 anterior a SP6 Parche 1, permite a los atacantes remotos secuestrar la autenticación de usuarios arbitrarios mediante el aprovechamiento de la comprobación incorrecta de peticiones para código desplegado de iManager dentro de un contenedor Apache Tomcat.
Vulnerabilidad en el archivo LogReceiver.exe de la biblioteca Logger.dll. en RSLinx Enterprise de Rockwell Automation (CVE-2012-4715)
Gravedad:
AltaAlta
Publication date: 18/04/2013
Last modified:
02/10/2013
Descripción:
Un desbordamiento de búfer en el archivo LogReceiver.exe en RSLinx Enterprise de Rockwell Automation versiones CPR9, CPR9-SR1, CPR9-SR2, CPR9-SR3, CPR9-SR4, CPR9-SR5, CPR9-SR5.1 y CPR9-SR6, permite a los atacantes remotos causar una denegación de servicio (bloqueo del demonio) o posiblemente ejecutar código arbitrario por medio de un paquete UDP con un cierto valor de longitud de entero que es (1) demasiado grande o (2) demasiado pequeño, conllevando a un manejo inapropiado por parte de la biblioteca Logger.dll.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-1557)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; y OpenJDK la versiones 6 y 7 de Oracle; permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores relacionados con RMI. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con "missing security restrictions" en el método LogStream.setDefaultStream.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2415)
Gravedad:
BajaBaja
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versiones 6 y 7 de Oracle, permite a los usuarios locales afectar a la confidencialidad por medio de vectores relacionados con JAX-WS. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con el "processing of MTOM attachments" y la creación de archivos temporales con permisos débiles.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2421)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
La vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versiones 6 y 7 de Oracle, permite a los atacantes remotos afectar a la confidencialidad, integridad, y disponibilidad por medio de vectores desconocidos relacionados con HotSpot. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con búsquedas incorrectas de MethodHandle, lo que permite a los atacantes remotos omitir las restricciones del sandbox de Java.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2422)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores y versión 6 Update 43 y anteriores; y OpenJDK versiones 6 y 7 de Oracle; permite atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con Libraries. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con restricciones inapropiadas de invocación de método para la clase de trampolín MethodUtil, lo que permite a los atacantes remotos omitir el sandbox de Java.
Vulnerabilidad en JAXP en el componente Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-1518)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; y OpenJDK la versiones 6 y 7 de Oracle; permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores relacionados con JAXP. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con "missing security restrictions".
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-1537)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; y OpenJDK la versiones 6 y 7 de Oracle; permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores relacionados con RMI. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con la configuración por defecto de false de java.rmi.server.useCodebaseOnly, lo que permite a los atacantes remotos realizar "dynamic class downloading" y ejecutar código arbitrario.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2417)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; y OpenJDK versiones 6 y 7 de Oracle; permite a los atacantes remotos afectar la disponibilidad por medio de vectores desconocidos relacionados con Networking. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con una pérdida de información que implica la serialización de InetAddress. CVE no ha investigado la aparente discrepancia entre los informes de proveedor con respecto al impacto de este problema.
Vulnerabilidad en Java Runtime Environment (JRE) en Java SE y OpenJDK de Oracle (CVE-2013-2420)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; y OpenJDK la versiones 6 y 7 de Oracle; permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados con 2D. NOTA: la información anterior procede de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado con la "validation of images" en el archivo share/native/sun/awt/image/awt_ImageRep.c, lo que posiblemente implica desplazamientos.
Vulnerabilidad en la Partición de Servidor en MySQL de Oracle (CVE-2013-1555)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
La vulnerabilidad no especificada en MySQL de Oracle versión 5.1.67 y anteriores, y versión 5.5.29 y anteriores, permite a los usuarios autenticados remotos afectar a la disponibilidad por medio de vectores desconocidos relacionados con la Partición del Servidor.