Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en scan() en mad.c (CVE-2019-14247)
Gravedad:
MediaMedia
Publication date: 24/07/2019
Last modified:
26/07/2019
Descripción:
La función scan() en mad.c en mpg321 versión 0.3.2 permite que atacantes remotos desencadene una escritura fuera de límites mediante una tasa de bits cero en un archivo MP3.
Vulnerabilidad en Oracle BI Publisher en Fusion Middleware de Oracle (CVE-2019-2742)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad en el componente Oracle BI Publisher de Fusion Middleware de Oracle (subcomponente: Web service API). La versión compatible que está afectada es 11.1.1.9.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle BI Publisher. Aunque la vulnerabilidad está en Oracle BI Publisher, los ataques pueden tener un impacto significativo en productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle BI Publisher, así como el acceso no autorizado de lectura a un subconjunto de datos accesibles de Oracle BI Publisher. CVSS 3.0 Puntuación Base 7.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle One-to-One Fulfillment de Oracle E-Business Suite (CVE-2019-2666)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Vulnerabilidad en el componente Oracle One-to-One Fulfillment de Oracle E-Business Suite (subcomponente: Print Server). Las versiones compatibles que se ven afectadas son 12.1.1 - 12.1.3 y 12.2.3 - 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante sin identificar con acceso a la red por medio de HTTP comprometer a Oracle One-to-One Fulfillment. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y mientras que la vulnerabilidad está en Oracle One-to-One Fulfillment, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle One-to-One Fulfillment, así como a la actualización no autorizada, inserción o eliminación de acceso a algunos datos accesibles de Oracle One-to-One Fulfillment. CVSS 3.0 Puntuación Base 8.2 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle One-to-One Fulfillment de Oracle E-Business Suite (CVE-2019-2668)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Vulnerabilidad en el componente Oracle One-to-One Fulfillment de Oracle E-Business Suite (subcomponente: Print Server). Las versiones compatibles que se ven afectadas son 12.1.1 - 12.1.3 y 12.2.3 - 12.2.8. Vulnerabilidad de fácil operación que permite a un atacante sin identificar con acceso a la red por medio de HTTP comprometer Oracle One-to-One Fulfillment. Los ataques con éxito requieren la interacción humana con otra persona distinta al atacante y mientras que la vulnerabilidad está en Oracle One-to-One Fulfillment, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle One-to-One Fulfillment, así como a la actualización no autorizada, inserción o eliminación de acceso a algunos datos accesibles de Oracle One-to-One Fulfillment. CVSS 3.0 Puntuación Base 8.2 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Demantra Demand Management en Supply Chain Products Suite de Oracle (CVE-2019-2732)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad en el componente Oracle Demantra Demand Management de Supply Chain Products Suite de Oracle (subcomponente: Product Segurity). La versión compatible que está afectada es 7.3.1.5.2. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Demantra Demand Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Demantra Demand Management. CVSS 3.0 Puntuación Base 5.3 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en Java SE en Java SE de Oracle (CVE-2019-2745)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
30/07/2019
Descripción:
Una vulnerabilidad en el componente Java SE de Java SE de Oracle (subcomponente: Security). Las versiones compatibles que están afectadas son Java SE: 7u221, 8u212 y 11.0.3. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado iniciar sesión en la infraestructura donde se ejecuta Java SE para comprometer a Java SE. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Java SE. Nota: esta vulnerabilidad aplica para las implementaciones de Java, típicamente en clientes que ejecutan aplicaciones Java Web Start en sandbox o en applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y confían en el sandbox de Java por seguridad. Esta vulnerabilidad también puede explotarse mediante el uso de la API en el Componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 5.1 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle Text en Database Server de Oracle (CVE-2019-2753)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad en el componente Oracle Text de Database Server de Oracle. Las versiones compatibles que están afectadas son 11.2.0.4, 12.1.0.2, 12.2.0.1 y 18c. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener privilegios de Crear Sesión con acceso a la red por medio de OracleNet para comprometer a Oracle Text. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Text y en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Text. CVSS 3.0 Puntuación Base 4.6 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:L).
Vulnerabilidad en Java SE, Java SE Embedded de Java SE de Oracle (CVE-2019-2769)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
30/07/2019
Descripción:
Una Vulnerabilidad en el componente Java SE, Java SE Embedded de Java SE de Oracle (subcomponente: Utilities). Las versiones compatibles que están afectadas son Java SE: 7u221, 8u212, 11.0.3 y 12.0.1; Java SE Embedded: versión 8u211. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden causar una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad se aplica a las implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE versión 8), que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y confían en el sandbox de Java por seguridad. Esta vulnerabilidad también se puede explotar mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que proporciona datos a las API. CVSS 3.0 Puntuación base 5.3 (impactos de disponibilidad). CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Core RDBMS en Database Server de Oracle (CVE-2019-2776)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad en el componente Core RDBMS de Database Server de Oracle. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1, 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado tener el privilegio de Crear Cualquier Índice con acceso a la red por medio de OracleNet para comprometer a Core RDBMS. Aunque la vulnerabilidad está en Core RDBMS, los ataques pueden tener un impacto significativo en productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Core RDBMS, así como en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Core RDBMS. CVSS 3.0 Puntuación Base 7.6 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Solaris en Sun Systems Products Suite de Oracle (CVE-2019-2787)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad en el componente Oracle Solaris de Sun Systems Products Suite de Oracle (subcomponente: Automount). Las versiones compatibles que están afectadas son 11.4 y 10. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de NFS comprometer a Oracle Solaris. Los ataques con éxito requieren la interacción humana de una persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Solaris, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Solaris. CVSS 3.0 Puntuación Base 4.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/ UI: R / S: U / C: L / I: L / A: N).
Vulnerabilidad en Solaris en Sun Systems Products Suite de Oracle (CVE-2019-2788)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad en el componente Solaris de Sun Systems Products Suite de Oracle (subcomponente: Open Fabrics Tools). La versión compatible que está afectada es la 11.4. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado iniciar sesión en la infraestructura donde se ejecuta Solaris para comprometer a Solaris. Los ataques con éxito requieren la interacción humana de una persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de los datos críticos o en todos los datos accesibles de Solaris y en la capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de Solaris. CVSS 3.0 Puntuación Base 6.3 (impactos de integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H).
Vulnerabilidad en Oracle Hospitality Simphony de Oracle Food and Beverage Applications (CVE-2019-2836)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Vulnerabilidad en el componente Oracle Hospitality Simphony de Oracle Food and Beverage Applications. La versión compatible que está afectada es 18.2.1. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Hospitality Simphony. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos confidenciales o un acceso completo a todos los datos accesibles de Oracle Hospitality Simphony. CVSS 3.0 Base Score 7.5 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en los bugs de seguridad de memoria en Firefox (CVE-2019-9814)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad reportaron bugs de seguridad de memoria presentes en Firefox 66. Algunos de estos errores mostraron evidencias de corrupción de memoria y presumimos que, con un esfuerzo suficiente, algunos de ellos podrían ser explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox anterior a versión 67.
Vulnerabilidad en AssertWorkerThread en Firefox (CVE-2019-9821)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Puede ocurrir una vulnerabilidad de uso de la memoria previamente liberada en AssertWorkerThread debido a una condición de carrera con trabajadores compartidos. Esto resulta en un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox anterior a versión 67.
Vulnerabilidad en el controlador de eventos de Chrome en Thunderbird, Firefox y Firefox ESR (CVE-2019-9820)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Puede ocurrir una vulnerabilidad de uso de la memoria previamente liberada en el controlador de eventos de Chrome cuando se libera mientras aún está en uso. Esto resulta en un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird anterior a versión 60.7, Firefox anterior a versión 67 y Firefox ESR anterior a versión 60.7.
Vulnerabilidad en la API de fetch en Thunderbird, Firefox y Firefox ESR (CVE-2019-9819)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad donde puede ocurrir una discrepancia en el compartimento de JavaScript mientras trabaja con la API de fetch, lo que resulta en un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird anterior a versión 60.7, Firefox anterior a versión 67 y Firefox ESR anterior a versión 60.7.
Vulnerabilidad en los datos de imágenes en Thunderbird, Firefox y Firefox ESR (CVE-2019-9817)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Las imágenes desde un dominio diferente pueden ser leídas utilizando un objeto de canvas en ciertas circunstancias. Esto podría ser usado para robar datos de imágenes desde un sitio diferente en violación de la política del mismo origen. Esta vulnerabilidad afecta a Thunderbird anterior a versión 60.7, Firefox anterior a versión 67 y Firefox ESR anterior a versión 60.7.
Vulnerabilidad en los objetos de JavaScript en UnboxedObjects en Thunderbird, Firefox y Firefox ESR (CVE-2019-9816)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Se presenta una posible vulnerabilidad donde puede producirse una confusión de tipo al manipular objetos de JavaScript en grupos de objetos, lo que permite omitir las comprobaciones de seguridad dentro de estos grupos. *Nota: esta vulnerabilidad solo ha sido demostrado con UnboxedObjects, que está deshabilitada por defecto en todas las versiones compatibles.*. Esta vulnerabilidad afecta a Thunderbird anterior a versión 60.7, Firefox anterior a versión 67 y Firefox ESR anterior a versión 60.7.
Vulnerabilidad en los bugs de seguridad de memoria en Firefox, Firefox ESR y Thunderbird (CVE-2019-9800)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad reportaron bugs de seguridad de memoria presentes en Firefox versión 66, Firefox ESR versión 60.6 y Thunderbird versión 60.6. Algunos de estos errores mostraron evidencias de corrupción de memoria y presumimos que, con un esfuerzo suficiente, algunos de estos podrían ser explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Thunderbird anterior a versión 60.7, Firefox anterior a versión 67 y Firefox ESR anterior a versión 60.7.
Vulnerabilidad en el archivo user/licence_save.php en zzcms (CVE-2019-1010149)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
zzcms versión 8.3 y anteriores está afectada por: Eliminación de Archivos para Ejecución de Código. El impacto es: Eliminación de Archivos de zzcms para Ejecución de Código. El componente es: el archivo user/licence_save.php.
Vulnerabilidad en el archivo /user/zssave.php en zzcms (CVE-2019-1010150)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
zzcms versión 8.3 y anteriores están afectados por :Eliminación de Archivos de zzcms para Ejecución de Código. El impacto es: getshell. El componente es: el archivo /user/zssave.php.
Vulnerabilidad en LINAGORA (CVE-2019-1010205)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
LINAGORA hublin el más reciente (commit 72ead897082403126bf8df9264e70f0a9de247ff) está afectado por: Directory Traversal. El impacto es: La vulnerabilidad le permite a un atacante acceder a cualquier archivo (con una extensión fija) en el servidor. El componente es: un renderizador de vista web; más detalles aquí: https://lgtm.com/projects/g/linagora/hublin.parag.thg.cg/f9ce1f4ce923ff8da8f9d908d02a8e95.png_files_cap.php.cf.ces/fiews/webserver/views.js? El vector de ataque es: El atacante envía una solicitud HTTP especialmente diseñada.
Vulnerabilidad en XMLHttpRequest (CVE-2019-11691)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Puede ocurrir una vulnerabilidad de uso después de liberarse cuando se trabaja con XMLHttpRequest (XHR) en un bucle de eventos, lo que hace que se llame al subproceso principal de XHR después de que se haya liberado. Esto da lugar a una caída potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird inferior a 60.7, Firefox inferior a 67 y Firefox ESR inferior a 60.7 ..
Vulnerabilidad en Windows sandbox (CVE-2019-11694)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Existe una vulnerabilidad en el entorno limitado de Windows sandbox donde un valor no inicializado en la memoria puede filtrarse a un procesador desde un intermediario cuando se realiza una llamada para acceder a un archivo que de otra manera no está disponible. Esto da como resultado la posible pérdida de información almacenada en esa ubicación de memoria. * Nota: este problema solo ocurre en Windows. Otros sistemas operativos no se ven afectados. *. Esta vulnerabilidad afecta a Thunderbird anterior a 60.7, Firefox anterior a 67 y Firefox ESR anterior a 60.7.
Vulnerabilidad en Firefox (CVE-2019-11695)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
26/07/2019
Descripción:
Un cursor personalizado definido mediante secuencias de comandos en un sitio puede posicionarse sobre la barra de direcciones para falsificar el cursor real cuando no se debe permitir fuera del área de contenido web principal. Esto podría ser utilizado por un sitio malicioso para engañar a los usuarios para que hagan clic en los avisos de permisos, notificaciones de cambio de puerta u otros botones de forma inadvertida si la ubicación está falsificada a través de la interfaz del usuario. Esta vulnerabilidad afecta a Firefox anterior a 67.
Vulnerabilidad en el modo de navegación privada o en la Extensión Web de Contenedores de Cuentas Múltiples de Firefox (CVE-2019-11723)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
15/08/2019
Descripción:
Se presenta una vulnerabilidad durante la instalación de complementos donde la captura inicial ignoró los atributos de origen del contexto de navegación. Esto podría filtrar cookies en el modo de navegación privada o en diferentes "containers" para personas que utilizan la Extensión Web de Contenedores de Cuentas Múltiples de Firefox. Esta vulnerabilidad afecta a Firefox anterior a versión 68.
Vulnerabilidad en Network Security Services (NSS) en CertificateVerify en Firefox (CVE-2019-11727)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
30/07/2019
Descripción:
Se presenta una vulnerabilidad donde es posible forzar a Network Security Services (NSS) para firmar CertificateVerify con firmas de PKCS#1 versión v1.5 cuando esas son las únicas anunciadas por el servidor en CertificateRequest en TLS versión 1.3. Las firmas de PKCS#1 versión v1.5 no deben ser usadas para mensajes de TLS versión 1.3. Esta vulnerabilidad afecta a Firefox anterior a versión 68.
Vulnerabilidad en el archivo proto_htx.c en la función htx_manage_client_side_cookies en HAProxy (CVE-2019-14241)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
23/11/2019
Descripción:
HAProxy hasta versión 2.0.2, permite a los atacantes causar una denegación de servicio (ha_panic) por medio de vectores relacionados con la función htx_manage_client_side_cookies en el archivo proto_htx.c.
Vulnerabilidad en la aplicación API de Cat Runner Decorate Home para Android (CVE-2019-13097)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
26/07/2019
Descripción:
La aplicación API de Cat Runner Decorate Home versión 2.8.0 para Android, no comprueba suficientemente las entradas que son asumidas inmutables pero que en realidad son controlables externamente. Los atacantes pueden manipular los parámetros de puntuación de usuarios intercambiados entre cliente y servidor.
Vulnerabilidad en el almacén de claves (keystore) en TronLink Wallet (CVE-2019-13096)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
26/07/2019
Descripción:
TronLink Wallet versión 2.2.0, guarda el almacén de claves (keystore) de la cartera del usuario en texto plano y los coloca en un almacenamiento no seguro. Un atacante puede leer y reutilizar el almacén de claves (keystore) de un usuario válido por medio de /data/data/com.tronlink.wallet/shared_prefs/(wallet-name).xml para conseguir acceso no autorizado.
Vulnerabilidad en Momo (CVE-2019-13099)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
26/07/2019
Descripción:
La aplicación Momo versión 2.1.9 para Android almacena información confidencial de forma no segura en el sistema (es decir, texto claro), lo que permite a un usuario que no sea tipo root descubrir el nombre y contraseña de un usuario válido y acceso al token de dicho usuario mediante Logcat.
Vulnerabilidad en la función JPXStream::init en Poppler (CVE-2019-9959)
Gravedad:
MediaMedia
Publication date: 22/07/2019
Last modified:
12/08/2019
Descripción:
La función JPXStream::init en Poppler versión 0.78.0 y anteriores, no comprueba los valores negativos de la longitud de la transmisión, lo que conlleva a un Desbordamiento de Enteros, y por lo tanto hace posible asignar una gran fragmento de memoria en la pila, con un tamaño controlado por un atacante, como es demostrado por pdftocairo.
Vulnerabilidad en el archivo script adaptive-images.php en el parámetro $REQUEST['adaptive-images-settings']['source_file'] en el plugin Adaptive Images de Nevma para WordPress (CVE-2019-14205)
Gravedad:
MediaMedia
Publication date: 21/07/2019
Last modified:
31/07/2019
Descripción:
Una vulnerabilidad de Inclusión de Archivos Locales en el plugin Adaptive Images anterior a versión 0.6.67 de Nevma para WordPress, permite a los atacantes remotos recuperar archivos arbitrarios por medio del parámetro $REQUEST['adaptive-images-settings']['source_file'] en el archivo script adaptive-images.php
Vulnerabilidad en la cookie de sesión en Central Print Services (CPS) de PrinterOn (CVE-2018-17210)
Gravedad:
MediaMedia
Publication date: 19/07/2019
Last modified:
26/07/2019
Descripción:
Se detectó un problema en Central Print Services (CPS) hasta versión 4.1.4 de PrinterOn. Los componentes core que crean y ejecutan un trabajo de impresión no realizan la comprobación completa de la cookie de sesión que se les suministra. Como resultado, un atacante con permisos de nivel invitado y pseudo-invitado puede omitir las comprobaciones de sesión (que de lo contrario sacaría de sesión a un usuario poco privilegiado) llamando directamente a los componentes core del trabajo de impresión por medio de las peticiones GET y POST de HTTP diseñadas.
Vulnerabilidad en IceWall SSO Agent Option y IceWall MFA de HPE (CVE-2019-11989)
Gravedad:
AltaAlta
Publication date: 19/07/2019
Last modified:
26/07/2019
Descripción:
Una vulnerabilidad de seguridad en IceWall SSO Agent Option y IceWall MFA (módulo Agent) de HPE podría ser explotada remotamente para causar una denegación de servicio. Las versiones y plataformas de los módulos Agent Option que están afectadas son las siguientes: versión 10.0 para Apache versión 2.2 en RHEL versiones 5 y 6.0, versión 10.0 para Apache versión 2.4 en RHEL versión 7, versión 10.0 para Apache versión 2.4 en HP-UX 11i versión v3, versión 10.0 para IIS en Windows, versión 11.0 para Apache versión 2.4 en RHEL versión 7, MFA Proxy versión 4.0 (solo módulo Agent) para Apache versión 2.4 en RHEL versión 7.