Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking (CVE-2019-2239)
Gravedad:
BajaBaja
Publication date: 25/07/2019
Last modified:
26/07/2019
Descripción:
En el diseño faltan las comprobaciones de control que pueden llevar a la corrupción de SUI o la Denegación de Servicio en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en MDM9150, MDM9206, MDM9607, MDM9635M, MDM9640, MDM9650, MDM9655, MSM8996AU, QCS404, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 675, SD 712 / SD 710 / SD 670, SD 730, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 8CX, SDA660, SDM439, SDM630, SDM660, SDX20, SDX24, Snapdragon_High_Med_2016, SXR1130.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking (CVE-2019-2236)
Gravedad:
BajaBaja
Publication date: 25/07/2019
Last modified:
26/07/2019
Descripción:
Desreferencia de puntero NULL durante la finalización segura de la aplicación utilizando identificadores de aplicación específicos en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en IPQ8074, MDM9206, MDM9607, MDM9650, MDM9655, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 650/52, SD 675, SD 712 / SD 710 / SD 670, SD 730, SD 820, SD 820A, SD 835, SD 8CX, SDA660, SDM439, SDM630, SDM660, Snapdragon_High_Med_2016, SXR1130.
Vulnerabilidad en IBM Cloud Private (CVE-2019-4439)
Gravedad:
MediaMedia
Publication date: 25/07/2019
Last modified:
09/10/2019
Descripción:
IBM Cloud Private versiones 3.1.0, 3.1.1, y 3.1.2 no invalida la sesión después del cierre de sesión, lo que podría permitir a un usuario local suplantar a otro usuario en el sistema. ID de IBM X-Force: 162949.
Vulnerabilidad en IBM Cloud Private (CVE-2019-4415)
Gravedad:
MediaMedia
Publication date: 25/07/2019
Last modified:
24/08/2020
Descripción:
IBM Cloud Private versión 3.1.1 y versión 3.1.2 podría permitir a un usuario local obtener privilegios elevados debido a restricciones de contexto de seguridad inadecuadas. ID de IBM X-Force: 162706.
Vulnerabilidad en IBM QRadar SIEM (CVE-2019-4212)
Gravedad:
MediaMedia
Publication date: 25/07/2019
Last modified:
09/10/2019
Descripción:
IBM QRadar SIEM versión 7.2 y versión 7.3 es vulnerable a la falsificación de solicitudes entre sitios, lo que podría permitir que un atacante ejecute acciones malintencionadas y no autorizadas transmitidas por un usuario en las que el sitio web confía. ID de IBM X-Force: 159132.
Vulnerabilidad en IBM Cloud Private (CVE-2019-4116)
Gravedad:
BajaBaja
Publication date: 25/07/2019
Last modified:
24/08/2020
Descripción:
IBM Cloud Private versiones 2.1.0, 3.1.0, y versión 3.1.1 podría divulgar información altamente sensible en los registros del instalador que podría usarse para futuros ataques contra el sistema. ID de IBM X-Force: 158115.
Vulnerabilidad en Oracle CRM Technical Foundation (CVE-2019-2837)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle CRM Technical Foundation de E-Business Suite de Oracle (subcomponente: User Interface). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3 hasta 12.2.8. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle CRM Technical Foundation. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante y, aunque la vulnerabilidad se encuentra en Oracle CRM Technical Foundation, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle CRM Technical Foundation, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle CRM Technical Foundation. CVSS 3.0 Puntuación Base 8.2 (Impactos de Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Solaris de Sun Systems Products (CVE-2019-2844)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Solaris de Sun Systems Products Suite de Oracle (subcomponente: LDAP Client Tools). La versión compatible que está afectada es 11.4. La vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde Oracle Solaris se ejecuta comprometer a Oracle Solaris. Aunque la vulnerabilidad está en Oracle Solaris, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Solaris. CVSS 3.0 Puntuación Base 8.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en PeopleSoft Enterprise FIN Project Costing (CVE-2019-2831)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente PeopleSoft Enterprise FIN Project Costing de PeopleSoft Products de Oracle (subcomponente: Projects). La versión compatible que está afectada es 9.2. La vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise FIN Project Costing. Aunque la vulnerabilidad está en PeopleSoft Enterprise FIN Project Costing, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de PeopleSoft Enterprise FIN Project Costing y en la capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de PeopleSoft Enterprise FIN Project Costing. CvSS 3.0 Puntuación Base 6.4 (Impactos de integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C/N/I:L/A:L).
Vulnerabilidad en Oracle iSupport de E-Business Suite de Oracle (CVE-2019-2829)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle iSupport de E-Business Suite de Oracle (subcomponente: Service Requests). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.8. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle iSupport. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante y, aunque la vulnerabilidad está en Oracle iSupport, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iSupport, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle iSupport. CVSS 3.0 Puntuación Base 8.2 (Impactos de Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Field Service de E-Business Suite (CVE-2019-2828)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Field Service de E-Business Suite de Oracle (subcomponente: Wireless). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.8. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Field Service. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante y, aunque la vulnerabilidad está en Oracle Field Service, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Field Service. CVSS 3.0 Puntuación Base 9.6 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H).
Vulnerabilidad en Oracle WebLogic Server (CVE-2019-2827)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle WebLogic Server de Fusion Middleware de Oracle (subcomponente: WLS Core Components). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0. La vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle WebLogic Server, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 5.5 (Impactos de Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en Oracle Agile PLM de Supply Chain Products (CVE-2019-2817)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Agile PLM de Supply Chain Products Suite de Oracle (subcomponente: Folders, Files & Attachments). Las versiones compatibles que están afectadas son 9.3.3, 9.3.4, 9.3.5 y 9.3.6. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Agile PLM. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Agile PLM y en la capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Agile PLM. CVSS 3.0 Puntuación Base 5.4 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:L).
Vulnerabilidad en Oracle iRecruitment de E-Business Suite de Oracle (CVE-2019-2809)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle iRecruitment de E-Business Suite de Oracle (subcomponente: Password Reset). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.8. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle iRecruitment. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle iRecruitment. CVSS 3.0 Puntuación Base 5.3 (impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Oracle Solaris de Sun Systems Products Suite de Oracle (CVE-2019-2807)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Solaris de Sun Systems Products Suite de Oracle (subcomponente: Zones). La versión compatible que está afectada es 11.4. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle Solaris comprometer a Oracle Solaris. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Solaris y en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Solaris. CVSS 3.0 Puntuación Base 3.9 (Impactos de integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L).
Vulnerabilidad en MySQL Server de MySQL de Oracle (CVE-2019-2805)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente MySQL Server de MySQL de Oracle (subcomponente: Server: Parser). Las versiones compatibles que están afectadas son 5.6.44 y anteriores, 5.7.26 y anteriores y 8.0.16 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.0 Puntuación Base 6.5 (impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle Solaris de Sun Systems Products Suite de Oracle (CVE-2019-2804)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Solaris de Sun Systems Products Suite de Oracle (subcomponente: Filesystem). Las versiones compatibles que están afectadas son 11.4 y 10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde Oracle Solaris se ejecuta comprometer a Oracle Solaris. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Solaris. CVSS 3.0 Puntuación Base 7.3 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en MySQL Server de MySQL de Oracle (CVE-2019-2800)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server de MySQL de Oracle (subcomponente: Server: Replication). Las versiones compatibles que están afectadas son 8.0.16 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completa) de MySQL Server, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 7.1 (impactos de integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H).
Vulnerabilidad en PeopleSoft Enterprise PT PeopleTools de PeopleSoft Products de Oracle (CVE-2019-2599)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente PeopleSoft Enterprise PT PeopleTools de PeopleSoft Products de Oracle (subcomponente: Pagelet Wizard). Las versiones compatibles que están afectadas son 8.55, 8.56 y 8.57. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise PT PeopleTools. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de PeopleSoft Enterprise PT PeopleTools. CVSS 3.0 Puntuación Base 6.5 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Core RDBMS de Database Server de Oracle (CVE-2019-2569)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Core RDBMS de Database Server de Oracle. Las versiones compatibles que están afectadas son 11.2.0.4, 12.1.0.2 y 12.2.0.1. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado tener privilegios de Inicio de Sesión Local con inicio de sesión en la infraestructura donde se ejecuta Core RDBMS para comprometer a Core RDBMS. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Core RDBMS. CVSS 3.0 Puntuación Base 4.0 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle Retail Xstore Office de Retail Applications (CVE-2019-2561)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle Retail Xstore Office de Retail Applications de Oracle (subcomponente: Internal Operations). Las versiones compatibles que están afectadas son 7.0 y 7.1. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Retail Xstore Office. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Retail Xstore Office, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Retail Xstore Office. CVSS 3.0 Puntuación Base 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en Application Express de Database Server de Oracle. (CVE-2019-2484)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Application Express de Database Server de Oracle. Las versiones compatibles que están afectadas son 5.1 y 18.2. Una vulnerabilidad fácilmente explotable permite que un atacante poco privilegiado tenga privilegios de cuenta válidos con acceso a la red por medio de HTTP comprometer a Application Express. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante y aunque la vulnerabilidad está en Application Express, los ataques pueden impactar significativamente en productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Application Express, así como en el acceso de lectura no autorizado a un subconjunto de datos accesibles de Application Express. CVSS 3.0 Puntuación Base 5.4 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle Retail Customer Management and Segmentation Foundation (CVE-2018-3316)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle Retail Customer Management and Segmentation Foundation de Retail Applications de Oracle (subcomponente: Segment). Las versiones compatibles que están afectadas son 16.0 y 17.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Retail Customer Management and Segmentation Foundation. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de Oracle Retail Customer Management and Segmentation Foundation, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Retail Customer Management and Segmentation Foundation y en la capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Retail Customer Management and Segmentation Foundation. CVSS 3.0 Puntuación Base 7.6 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L).
Vulnerabilidad en Oracle Retail Customer Management (CVE-2018-3315)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle Retail Customer Management and Segmentation Foundation de Retail Applications de Oracle (subcomponente: Customer). Las versiones compatibles que están afectadas son 16.0 y 17.0. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Retail Customer Management and Segmentation Foundation. Aunque la vulnerabilidad está en Oracle Retail Customer Management and Segmentation Foundation, los ataques pueden tener un impacto significativo en productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o en todos los datos accesibles de Oracle Retail Customer Management and Segmentation Foundation, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Retail Customer Management and Segmentation Foundation. CVSS 3.0 Puntuación 8.2 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N).
Vulnerabilidad en Oracle Retail Xstore Office de Retail Applications (CVE-2018-3111)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle Retail Xstore Office de Retail Applications de Oracle (subcomponente: Internal Operations). La versión compatible que está afectada es la 7.1. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Retail Xstore Office. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Retail Xstore Office, así como en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Retail Xstore Office y en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Retail Xstore Office. CVSS 3.0 Puntuación Base 7.6 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L).
Vulnerabilidad en Oracle FLEXCUBE Investor Servicing (CVE-2019-2843)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Financial Services Applications de Oracle (subcomponente: Infrastructure). Las versiones compatibles que están afectadas son 12.0.1, 12.0.3, 12.0.4, 12.1.0, 12.3.0, 12.4.0, 14.0.0 y 14.1.0. La vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP para comprometer a Oracle FLEXCUBE Investor Servicing. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle FLEXCUBE Investor Servicing, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle FLEXCUBE Investor Servicing . CVSS 3.0 Puntuación Base 5.4 (Impactos de Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N).
Vulnerabilidad en MySQL Server de MySQL de Oracle (CVE-2019-2879)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente MySQL Server de MySQL de Oracle (subcomponente: InnoDB). Las versiones compatibles que están afectadas son 8.0.16 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completa) de MySQL Server. CVSS 3.0 Puntuación 4.9 (Impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle VM VirtualBox de Virtualization (CVE-2019-2877)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle VM VirtualBox de Virtualization de Oracle (subcomponente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.32 y anteriores a 6.0.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completa) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 5.5 (Impactos en la disponibilidad). Vector CVSS:(CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle VM VirtualBox (CVE-2019-2876)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle VM VirtualBox de Virtualization de Oracle (subcomponente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.32 y anteriores a 6.0.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 3.3 (Impactos en la disponibilidad). Vector CVSS:(CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Oracle GraalVM Enterprise Edition (CVE-2019-2862)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle GraalVM Enterprise Edition de GraalVM de Oracle (subcomponente: Java). La versión compatible que está afectada es 19.0.0. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Oracle GraalVM Enterprise Edition. Los ataques con éxito requieren la interacción humana de una persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o en todos los datos accesibles de GraalVM de Oracle Enterprise Edition y en la capacidad no autorizada de causar una suspensión o bloqueo repetible frecuentemente (DOS completa) de GraalVM de Oracle Enterprise Edition. CVSS 3.0 Puntuación Base 6.8 (impactos de integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H).
Vulnerabilidad en Oracle Clusterware de Support (CVE-2019-2860)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Clusterware de Support Tools de Oracle (subcomponente: Trace File Analyzer (TFA) Collector). La versión compatible que está afectada es 12.1.0.2.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer el Oracle Clusterware. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Clusterware, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Clusterware y en la capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Clusterware. CVSS 3.0 Puntuación Base 5.6 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en Oracle VM VirtualBox de Virtualization (CVE-2019-2859)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle VM VirtualBox de Virtualization de Oracle (subcomponente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.32 y anteriores a 6.0.10. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox para comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 8.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en Oracle Identity Manager (CVE-2019-2858)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Identity Manager de Fusion Middleware de Oracle (subcomponente: Advanced Console). Las versiones compatibles que están afectadas son 11.1.2.3.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Identity Manager. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Identity Manager. CVSS 3.0 Puntuación Base 4.3 (Impactos de integridad). Vector CVSS:(CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en Oracle Outside In Technology (CVE-2019-2855)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Outside In Technology de Fusion Middleware de Oracle (subcomponente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso hacia algunos de los datos accesibles de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de software development kits (SDK). El protocolo y la puntuación CVSS dependen del programa que usa el código de Outside In Technology. La puntuación CVSS asume que el programa pasa los datos recibidos por medio de una red directamente al código de Outside In Technology, pero si los datos no se reciben por medio de una red, la puntuación CVSS puede ser menor. CVSS 3.0 Puntuación Base 7.3 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS:(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
Vulnerabilidad en Oracle Outside In Technology (CVE-2019-2854)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Outside In Technology de Fusion Middleware de Oracle (subcomponente: Outside In Filters). La versión compatible que está afectada es 8.5.4. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de software development kits (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al código de Outside In Technology, pero si los datos no se reciben por medio de una red, la puntuación CVSS puede ser menor. CVSS 3.0 Puntuación Base 7.3 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en Oracle Outside (CVE-2019-2853)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Outside In Technology de Fusion Middleware de Oracle (subcomponente: Outside In Filters). La versión compatible que está afectada es 8.5.4. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de software development kits (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al código de Outside In Technology, pero si los datos no se reciben por medio de una red, la puntuación CVSS puede ser menor. CVSS 3.0 Puntuación Base 7.3 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en Oracle Outside In Technology (CVE-2019-2852)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Outside In Technology de Fusion Middleware de Oracle (subcomponente: Outside In Filters). La versión compatible que está afectada es 8.5.4. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de software development kits (SDK). El protocolo y la puntuación CVSS dependen del software que utiliza el código de Outside In Technology. La puntuación CVSS asume que el software pasa los datos recibidos por medio de una red directamente al código de Outside In Technology, pero si los datos no se reciben por medio de una red, la puntuación CVSS puede ser menor. CVSS 3.0 Puntuación Base 7.3 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en Oracle VM VirtualBox (CVE-2019-2850)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle VM VirtualBox de Virtualization de Oracle (subcomponente: Core). Las versiones compatibles que están afectadas son anterior a 5.2.32 y anteriores a 6.0.10. La vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde Oracle VM VirtualBox se ejecuta para comprometer a Oracle VM VirtualBox. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 2.8 (impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L).
Vulnerabilidad en Oracle VM VirtualBox de Virtualization (CVE-2019-2848)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle VM VirtualBox de Virtualization de Oracle (subcomponente: Core). Las versiones compatibles que están afectadas son anteriores a 5.2.32 y anteriores a 6.0.10. La vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde Oracle VM VirtualBox se ejecuta para comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completa) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 6.5 (impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C/N/I:N/A:H).
Vulnerabilidad en Oracle FLEXCUBE Investor Servicing (CVE-2019-2847)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Financial Services Applications de Oracle (subcomponente: Infrastructure). Las versiones compatibles que están afectadas son 12.0.1, 12.0.3, 12.0.4, 12.1.0, 12.3.0, 12.4.0, 14.0.0 y 14.1.0. La vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle FLEXCUBE Investor Servicing. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle FLEXCUBE Investor Servicing. CVSS 3.0 Puntuación Base 5.7 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle FLEXCUBE Investor Servicing (CVE-2019-2846)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Financial Services Applications de Oracle (subcomponente: Infrastructure). Las versiones compatibles que están afectadas son 12.0.1, 12.0.3, 12.0.4, 12.1.0, 12.3.0, 12.4.0, 14.0.0 y 14.1.0. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle FLEXCUBE Investor Servicing. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle FLEXCUBE Investor Servicing. CVSS 3.0 Puntuación Base 5.3 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle FLEXCUBE Investor Servicing (CVE-2019-2845)
Gravedad:
BajaBaja
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle FLEXCUBE Investor Servicing de Financial Services Applications de Oracle (subcomponente: Infrastructure). Las versiones compatibles que están afectadas son 12.0.1, 12.0.3, 12.0.4, 12.1.0, 12.3.0, 12.4.0, 14.0.0 y 14.1.0. La vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle FLEXCUBE Investor Servicing. Los ataques con éxito requieren la interacción humana de otra persona distinta al atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle FLEXCUBE Investor Servicing. CVSS 3.0 Puntuación Base 3.5 (impactos de disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L).
Vulnerabilidad en Oracle Solaris de Sun Systems Products (CVE-2019-2838)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el componente Oracle Solaris de Sun Systems Products Suite de Oracle (subcomponente: Kernel). La versión compatible que está afectada es 11.4. La vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de NFS comprometer a Oracle Solaris. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de acceso a datos críticos o a todos los datos accesibles de Oracle Solaris. CVSS 3.0 Puntuación Base 7.5 (Impactos de integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N).
Vulnerabilidad en PAN-OS (CVE-2019-1579)
Gravedad:
MediaMedia
Publication date: 19/07/2019
Last modified:
24/08/2020
Descripción:
La ejecución de código remota en PAN-OS versión 7.1.18 y anteriores, PAN-OS versión 8.0.11-h1 y anteriores, y PAN-OS versión 8.1.2 y anteriores con GlobalProtect Portal o GlobalProtect Gateway Interface habilitados pueden permitir que un atacante remoto no autenticado ejecute código arbitrario.
Vulnerabilidad en VideoLAN VLC Media Player (CVE-2019-13615)
Gravedad:
MediaMedia
Publication date: 16/07/2019
Last modified:
24/08/2020
Descripción:
libebml en versiones anteriores a la 1.3.6, tal como se usa en el módulo MKV en los binarios de VideoLAN VLC Media Player en versiones anteriores a la 3.0.3, tiene una sobrelectura de búfer basada en memoria dinámica (heap) en EbmlElement :: FindNextElement.
Vulnerabilidad en Java Runtime Environment (CVE-2013-2430)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; JavaFX versión 2.2.7 y anteriores; y OpenJDK versiones 6 y 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados a ImageIO. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado a "JPEGImageReader state corruption" cuando se usa el código nativo.
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-2423)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la integridad por medio de vectores desconocidos relacionados a HotSpot. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones del investigador original de que esta vulnerabilidad permite a los atacantes remotos omitir las comprobaciones de permisos mediante el método MethodHandles y modificar campos finales públicos arbitrarios mediante la reflexión y la confusión de tipos, como es demostrado usando los campos enteros y dobles para deshabilitar el administrador de seguridad.
Vulnerabilidad en Java Runtime Environment (CVE-2013-2426)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versiones 6 y 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados a Libraries. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado a la invocación incorrecta del método defaultReadObject en la clase ConcurrentHashMap, que permite a los atacantes remotos omitir el sandbox de Java.
Vulnerabilidad en Java Runtime EnvironmenT (CVE-2013-2429)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; y OpenJDK versiones 6 y 7 de Oracle; permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados a ImageIO. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado a "JPEGImageWriter state corruption" cuando se usa un código nativo, lo que desencadena la corrupción de memoria.
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-2436)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, la integridad y la disponibilidad por medio de vectores desconocidos relacionados a Libraries, una vulnerabilidad diferente de CVE-2013-1488 y CVE-2013-2426. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado a un incorrecto "type checks" y "method handle binding" involucrando a Wrapper.convert.
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-2431)
Gravedad:
AltaAlta
Publication date: 17/04/2013
Last modified:
18/09/2017
Descripción:
Una vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versiones 6 y 7 de Oracle, permite a los atacantes remotos afectar la confidencialidad, integridad y disponibilidad por medio de vectores desconocidos relacionados a HotSpot. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado al omitir el sandbox de Java utilizando "method handle intrinsic frames."
Vulnerabilidad en los archivos ZeroClipboard.swf (CVE-2013-1808)
Gravedad:
MediaMedia
Publication date: 02/04/2013
Last modified:
19/04/2014
Descripción:
Una vulnerabilidad de tipo Cross-site scripting (XSS) en los archivos ZeroClipboard.swf y ZeroClipboard10.swf en ZeroClipboard anterior a versión 1.0.8, tal como es usado en em-shorty, RepRapCalculator, Fulcrum, Django, aCMS y otros productos, permite a atacantes remotos inyectar script web HTML arbitrario por medio del parámetro id. NOTA: esta es la misma vulnerabilidad que CVE-2013-1463. Si es así, es probable que CVE-2013-1463 será RECHAZADO.
Vulnerabilidad en ZeroClipboard (CVE-2012-6550)
Gravedad:
MediaMedia
Publication date: 02/04/2013
Last modified:
03/07/2013
Descripción:
Una vulnerabilidad de tipo Cross-site scripting (XSS) en ZeroClipboard anterior a versión 1.1.4, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de "the clipText returned from the flash object," una vulnerabilidad diferente de CVE-2013-1808.
Vulnerabilidad en OpenStack Compute (CVE-2013-1838)
Gravedad:
MediaMedia
Publication date: 22/03/2013
Last modified:
28/08/2017
Descripción:
OpenStack Compute (Nova) Grizzly, Folsom (versión 2012.2) y Essex (versión 2012.1) no implementan apropiadamente una cuota para direcciones IP fijas, lo que permite a los usuarios autenticados remotos causar una denegación de servicio (agotamiento de recursos y fallo para crear nuevas instancias) por medio de un gran número de llamadas a la función addFixedIp.
Vulnerabilidad en Microsoft Windows Vista SP2 (CVE-2013-2556)
Gravedad:
AltaAlta
Publication date: 11/03/2013
Last modified:
28/09/2020
Descripción:
Una vulnerabilidad no especificada en Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, y Windows 7 hasta SP1, permite a los atacantes omitir el mecanismo de protección ASLR por medio de vectores desconocidos, como es demostrado contra Adobe Flash Player mediante VUPEN durante una competencia Pwn2Own en CanSecWest 2013, también se conoce como "ASLR Security Feature Bypass Vulnerability."
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-1488)
Gravedad:
AltaAlta
Publication date: 08/03/2013
Last modified:
18/09/2017
Descripción:
El componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, y OpenJDK versiones 6 y 7 de Oracle, permite a los atacantes remotos ejecutar código arbitrario por medio de vectores no especificados que implican reflexión, Libraries, "improper toString calls," y el administrador del controlador JDBC , como fue demostrado por James Forshaw durante una competencia de Pwn2Own en CanSecWest 2013.
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-1491)
Gravedad:
AltaAlta
Publication date: 08/03/2013
Last modified:
18/09/2017
Descripción:
El componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, versión 5.0 Update 41 y anteriores, y JavaFX versión 2.2.7 y anteriores de Oracle, permite a los atacantes remotos ejecutar código arbitrario por medio de vectores relacionados con 2D, como fue demostrado por Joshua Drake durante una competencia pwn2Own en CanSecWest 2013.
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-0401)
Gravedad:
AltaAlta
Publication date: 08/03/2013
Last modified:
18/09/2017
Descripción:
El componente Java Runtime Environment (JRE) en Java SE versión 7 Update 17 y anteriores, versión 6 Update 43 y anteriores, y versión 5.0 Update 41 y anteriores; y OpenJDK versiones 6 y 7 de Oracle; permite a los atacantes remotos ejecutar código arbitrario por medio de vectores relacionados a AWT, como fue demostrado por Ben Murphy durante una competencia Pwn2Own en CanSecWest 2013. NOTA: la información anterior es de la CPU de abril de 2013. Oracle no ha comentado sobre las afirmaciones de otro proveedor de que este problema está relacionado a la invocación del cargador de clases del sistema por la clase sun.awt.datatransfer.ClassLoaderObjectInputStream, que permite a los atacantes remotos omitirlas restricciones del sandbox de Java.
Vulnerabilidad en Joomla! (CVE-2013-1453)
Gravedad:
AltaAlta
Publication date: 12/02/2013
Last modified:
28/08/2017
Descripción:
El archivo plugins/system/highlight/highlight.php en Joomla! versiones 3.0.x hasta 3.0.2 y versiones 2.5.x hasta 2.5.8, permite a atacantes deserializar objetos PHP arbitrarios para obtener información confidencial, eliminar directorios arbitrarios, conducir ataques de inyección SQL, y posiblemente tener otros impactos por medio del parámetro highlight. Nota: originalmente se informó que este problema sólo permitía a los atacantes obtener información confidencial, pero el análisis posterior demostró que se presentan otros ataques.
Vulnerabilidad en JBoss Enterprise Application Platform (CVE-2011-4575)
Gravedad:
MediaMedia
Publication date: 05/02/2013
Last modified:
17/01/2015
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en la consola JMX en JBoss Enterprise Application Platform (EAP) anterior a versión 5.2.0, Web Platform (EWP) anterior a versión 5.2.0, BRMS Platform anterior a versión 5.3.1, y SOA Platform anterior a versión 5.3.1, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Vulnerabilidad en JBoss Enterprise Application Platform (CVE-2012-5478)
Gravedad:
MediaMedia
Publication date: 05/02/2013
Last modified:
28/08/2017
Descripción:
El AuthorizationInterceptor en JBoss Enterprise Application Platform (EAP) anterior a versión 5.2.0, Web Platform (EWP) anterior a versión 5.2.0, BRMS Platform anterior a versión 5.3.1 y SOA Platform anterior a versión 5.3.1, no restringe apropiadamente el acceso, lo que permite a los usuarios remotos autenticados omitir las restricciones de rol previstas y realizar operaciones JMX arbitrarias por medio de vectores no especificados.
Vulnerabilidad en JBoss Enterprise Application Platform (CVE-2012-3369)
Gravedad:
MediaMedia
Publication date: 05/02/2013
Last modified:
28/08/2017
Descripción:
CallerIdentityLoginModule en JBoss Enterprise Application Platform (EAP) anterior a versión 5.2.0, Web Platform (EWP) anterior a versión 5.2.0, BRMS Platform anterior a versión 5.3.1 y SOA Platform anterior a versión 5.3.1, y SOA Platform anterior a Versión 5.3.1, permite a los atacantes remotos alcanzar privilegios del usuario anterior por medio de una contraseña null, lo que causa que sea usada la contraseña del usuario anterior.
Vulnerabilidad en Plataforma Web (CVE-2012-0874)
Gravedad:
MediaMedia
Publication date: 05/02/2013
Last modified:
28/08/2017
Descripción:
Los servlets invocadores (1) JMXInvokerHAServlet y (2) EJBInvokerHAServlet en JBoss Enterprise Application Platform (EAP) anterior a versión 5.2.0, Plataforma Web (EWP) anterior a versión 5.2.0, BRMS Platform anterior a versión 5.3.1, y SOA Platform anterior a versión 5.3.1, no requieren autenticación por defecto en ciertos perfiles, lo que podría permitir a los atacantes remotos invocar métodos MBean y ejecutar código arbitrario por medio de vectores. NOTA: este problema solo puede ser explotado cuando el interceptor no está configurado apropiadamente con una "second layer of authentication", o cuando es usada junto con otras vulnerabilidades que omiten esta segunda capa.
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-0440)
Gravedad:
MediaMedia
Publication date: 01/02/2013
Last modified:
18/09/2017
Descripción:
Una Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 hasta Update 11, versión 6 hasta Update 38, versión 5.0 hasta Update 38, y versión 1.4.2_40 y anteriores, y OpenJDK versión 7 de Oracle, permite a los atacantes remotos afectar la disponibilidad por medio de vectores relacionados con JSSE. NOTA: la información anterior es de la CPU de febrero de 2013. Oracle no ha comentado las afirmaciones de otro proveedor de que este problema está relacionado con el consumo de CPU en la implementación SSL/TLS por medio de muchos paquetes ClientHello que no son manejados apropiadamente por los archivos (1) ClientHandshaker.java y (2) ServerHandshaker.java.
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-1489)
Gravedad:
AltaAlta
Publication date: 31/01/2013
Last modified:
18/09/2017
Descripción:
Una Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 Update 10 y Update 11 de Oracle, cuando se ejecuta en Windows con Internet Explorer, Firefox, Opera y Google Chrome, permite a los atacantes remotos omitir el nivel de seguridad "Very High" del Panel de Control de Java y ejecutar código Java no firmado sin consultar al usuario por medio de vectores desconocidos, también se conoce como "Issue 53" y la vulnerabilidad "Java Security Slider".
Vulnerabilidad en Java Runtime Environment (JRE) (CVE-2013-0431)
Gravedad:
MediaMedia
Publication date: 31/01/2013
Last modified:
18/09/2017
Descripción:
Una Vulnerabilidad no especificada en el componente Java Runtime Environment (JRE) en Java SE versión 7 hasta Update 11 y OpenJDK versión 7 de Oracle, permite a los atacantes remotos asistidos por el usuario omitir el sandbox de seguridad Java por medio de vectores no especificados relacionados con JMX, también se conoce como "Issue 52", una vulnerabilidad diferente de CVE-2013-1490.
Vulnerabilidad en Zingiri Web Shop (CVE-2012-6506)
Gravedad:
MediaMedia
Publication date: 23/01/2013
Last modified:
28/08/2017
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el plugin Zingiri Web Shop versión 2.4.0 para WordPress, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio de los parámetros (1) page en el archivo zing.inc.php o (2) notes en el archivo fws/pages-front/onecheckout.php.
Vulnerabilidad en Joomla (CVE-2012-6514)
Gravedad:
MediaMedia
Publication date: 23/01/2013
Last modified:
05/05/2014
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente nBill (com_nbill) versión 2.3.2 para Joomla!, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro message en una acción income en el archivo administrator/index.php.
Vulnerabilidad en administrator.cfc en ColdFusion (CVE-2013-0632)
Gravedad:
AltaAlta
Publication date: 16/01/2013
Last modified:
17/01/2014
Descripción:
En el archivo administrator.cfc en ColdFusion de Adobe versiones 9.0, 9.0.1, 9.0.2 y 10, permite a los atacantes remotos omitir la autenticación y posiblemente ejecutar código arbitrario mediante el inicio de sesión en el componente RDS con el valor de contraseña vacía por defecto y aprovechando esta sesión para acceder a la interfaz web administrativa, como se explotó “in the wild” en Enero de 2013.
Vulnerabilidad en Múltiples vulnerabilidades en Java de Oracle (CVE-2013-0422)
Gravedad:
AltaAlta
Publication date: 10/01/2013
Last modified:
21/02/2014
Descripción:
Múltiples vulnerabilidades en Java de Oracle versión 7 anterior a Update 11, permiten a los atacantes remotos ejecutar código arbitrario mediante (1) utilizando el método público getMBeanInstantiator en la clase JmxMBeanServer para obtener una referencia a un objeto MBeanInstantiator privado, a continuación, recuperar referencias arbitrarias Class mediante el método findClass y (2) mediante la API Reflection con recursión de una manera que omita una comprobación de seguridad mediante el método java.lang.invoke.MethodHandles.Lookup.checkSecurityManager debido a la incapacidad del método sun.reflect.Reflection.getCallerClass para omitir marcos relacionados con la nueva API reflection, como se explotó “in the wild” en Enero de 2013, como es demostrado por Blackhole y Nuclear Pack, y una vulnerabilidad diferente de CVE-2012-4681 y CVE-2012-3174. NOTA: algunas partes han mapeado el problema recursivo de la API Reflection al CVE-2012-3174, pero el CVE-2012-3174 es para una vulnerabilidad diferente cuyos detalles no son públicos a partir de 20130114. El CVE-2013-0422 cubre los problemas de JMX/MBean y API Reflection. NOTA: originalmente se informó que Java versión 6 también era vulnerable, pero el reportero se ha retractado de esta afirmación, declarando que Java versión 6 no es explotable porque el código relevante se llama de una manera que no omita las comprobaciones de seguridad. NOTA: a partir de 20130114, un tercero confiable ha afirmado que el vector findClass/MBeanInstantiator no se corrigió en Java de Oracle versión 7 Update 11. Si todavía hay una condición vulnerable, se podría crear un identificador CVE independiente para el problema no corregido.
Vulnerabilidad en la memoria en MySQL (CVE-2012-5612)
Gravedad:
MediaMedia
Publication date: 03/12/2012
Last modified:
18/09/2017
Descripción:
El desbordamiento de búfer en la región heap de la memoria en MySQL versión 5.5.19 y otras versiones hasta 5.5.28, y MariaDB versión 5.5.28a y posiblemente otras versiones, de Oracle, permite a los usuarios remotos autenticados causar una denegación de servicio (corrupción de memoria y bloqueo) y posiblemente ejecutar código arbitrario, como es demostrado utilizando ciertas variaciones de los comandos (1) USE, (2) SHOW TABLES, (3) DESCRIBE, (4) SHOW FIELDS FROM, (5) SHOW COLUMNS FROM, (6) SHOW INDEX FROM, (7) CREATE TABLE, (8) DROP TABLE, (9) ALTER TABLE, (10) DELETE FROM, (11) UPDATE y (12) SET PASSWORD.
Vulnerabilidad en Collabtive (CVE-2010-5284)
Gravedad:
MediaMedia
Publication date: 26/11/2012
Last modified:
13/08/2013
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en Collabtive versión 0.6.5, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio del (1) parámetro User en la funcionalidad edit user profile en el archivo manageuser.php, (2) parámetro y en una acción newcal en el archivo manageajax.php, y (3) parámetro pic en el archivo thumb.php.
Vulnerabilidad en Google Web Toolkit (CVE-2012-5920)
Gravedad:
MediaMedia
Publication date: 19/11/2012
Last modified:
28/08/2017
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en Google Web Toolkit (GWT) versión 2.4 hasta la final 2.5, tal y como es usada en JBoss Operations Network (ON) versión 3.1.1 y posiblemente otros productos, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados. NOTA: este problema se presenta debido a una corrección incompleta para el CVE-2012-4563.
Vulnerabilidad en ActiveX ARDoc (CVE-2012-5897)
Gravedad:
AltaAlta
Publication date: 17/11/2012
Last modified:
01/09/2017
Descripción:
Las clases (1) SimpleTree y (2) ReportTree del control ActiveX ARDoc (ARDoc.dll) de Quest InTrust versión 10.4.0.853 y anteriores, no implementan apropiadamente el método SaveToFile, que permite a los atacantes remotos escribir o sobrescribir archivos arbitrarios por medio del argumento bstrFileName.
Vulnerabilidad en Joomla! (CVE-2012-5827)
Gravedad:
MediaMedia
Publication date: 11/11/2012
Last modified:
28/08/2017
Descripción:
Joomla! versiones 2.5.x anteriores a 2.5.8 y versiones 3.0.x anteriores a 3.0.2, permite a los atacantes remotos conducir ataques de secuestro de cliqueo por medio de vectores no especificados que implican "Inadequate protection".
Vulnerabilidad en Pdf Printer Preferences ActiveX Control (CVE-2012-5324)
Gravedad:
AltaAlta
Publication date: 08/10/2012
Last modified:
01/09/2017
Descripción:
Múltiples desbordamientos de búfer en Pdf Printer Preferences ActiveX Control en la biblioteca pdfxctrl.dll en PDF-XChange de Tracker Software versión 3.60.0128, permiten a los atacantes remotos ejecutar código arbitrario por medio de una cadena larga en el (1) parámetro sub_path en la función StoreInRegistry o (2) parámetro sub_key en la función InitFromRegistry.
Vulnerabilidad en en el módulo Password Policy (CVE-2012-1633)
Gravedad:
MediaMedia
Publication date: 19/09/2012
Last modified:
28/04/2017
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en el módulo Password Policy anterior a versiones 6.x hasta 1.4 y 7.x hasta 1.0 beta3 para Drupal, permite a los atacantes remotos secuestrar la autenticación de usuarios administrativos para peticiones que desbloqueen a un usuario.
Vulnerabilidad en actions/files/files.php en WikkaWiki (CVE-2011-4449)
Gravedad:
MediaMedia
Publication date: 05/09/2012
Last modified:
07/09/2012
Descripción:
El archivo actions/files/files.php en WikkaWiki versiones 1.3.1 y 1.3.2, cuando INTRANET_MODE está habilitado, soporta cargas de archivos para extensiones de archivo que normalmente están ausentes desde un archivo TypesConfig de Apache HTTP Server, lo que le facilita a atacantes remotos ejecutar código PHP arbitrario mediante la colocación de este código en un archivo cuyo nombre tiene varias extensiones, como es demostrado por una archivo (1) .mm o (2) .vpp.
Vulnerabilidad en El archivo main/SAPI.c en PHP (CVE-2011-1398)
Gravedad:
MediaMedia
Publication date: 30/08/2012
Last modified:
10/10/2013
Descripción:
La función sapi_header_op en el archivo main/SAPI.c en PHP anterior a versión 5.3.11 y versiones 5.4.x anteriores a 5.4.0RC2, no comprueba si hay secuencias de %0D (también se conoce como caracteres de retorno de acarreo), lo que permite a atacantes remotos omitir un mecanismo de protección de división de respuesta HTTP por medio de una URL diseñada, relacionada con la interacción inapropiada entre la función de PHP header y ciertos navegadores, como es demostrado por Internet Explorer y Google Chrome.
Vulnerabilidad en AdaptCMS (CVE-2011-5108)
Gravedad:
MediaMedia
Publication date: 23/08/2012
Last modified:
28/08/2017
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo config.php en AdaptCMS versiones 2.0.0 y 2.0.1, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Vulnerabilidad en WordPress (CVE-2012-3383)
Gravedad:
BajaBaja
Publication date: 22/07/2012
Last modified:
17/09/2012
Descripción:
La función map_meta_cap en el archivo wp-includes/capabilities.php de WordPress versiones 3.4.x anteriores a 3.4.2, cuando la funcionalidad multisite está habilitada, no asigna apropiadamente la capacidad unfiltered_html, que permite a los usuarios remotos autenticados omitir las restricciones de acceso previstas y conducir ataques de tipo cross-site scripting (XSS) mediante el aprovechamiento del rol de administrador o editor y componiendo texto especialmente diseñado.
Vulnerabilidad en PeopleSoft Enterprise PeopleTools (CVE-2012-3118)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
21/12/2017
Descripción:
Una Vulnerabilidad no especificada en el componente PeopleSoft Enterprise PeopleTools en PeopleSoft Products de Oracle versión 8.52, permite a los usuarios remotos autenticados afectar a la confidencialidad, relacionada con PANPROC.
Vulnerabilidad en getAllPassedParams (CVE-2012-3805)
Gravedad:
MediaMedia
Publication date: 12/07/2012
Last modified:
26/07/2012
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en la función getAllPassedParams en el archivo system/functions.php en Kajona anterior a versión 3.4.2, permiten a los atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro (1) absender_name, (2) absender_email o (3) absender_nachricht en la página contetnt; parámetro (4) comment_name, (5) comment_subject o (6) comment_message en el módulo postacomment; (7) parámetro module en archivo index.php; (8) parámetro action en la página admin login; parámetro (9) pv o (10) pe en una acción list en el módulo user; parámetro (11) user_username, (12) user_email, (13) user_forename, (14) user_name, (15) user_street, (16) user_mail, (17) user_city, (18) user_tel o (19) user_mobil en una acción newUser en el módulo user; parámetro (20) group_name o (21) group_desc en una acción groupNew en el módulo user; parámetro (22) name, (23) browsername, (24) seostring, (25) keywords o (26) folder_id en una acción newPage en el módulo pages; parámetro (27) element_name o (28) element_cachetime en una acción newElement en el módulo pages; (29) parámetro aspect_name en una acción newAspect en el módulo del system; parámetro (30) filemanager_name, (31) filemanager_path, (32) filemanager_upload_filter o (33) filemanager_view_filter en una acción NewRepo en el módulo filemanager; o parámetro (34) archive_title o (35) archive_path en una acción newArchive en el módulo downloads. NOTA: algunos de estos datos se obtienen de la información de terceros.
Vulnerabilidad en Post Affiliate Pro (CVE-2012-2706)
Gravedad:
MediaMedia
Publication date: 26/06/2012
Last modified:
28/08/2017
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el módulo Post Affiliate Pro (PAP) para Drupal, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de vectores relacionados con el registro de usuarios.
Vulnerabilidad en Gnash (CVE-2011-4328)
Gravedad:
MediaMedia
Publication date: 15/06/2012
Last modified:
08/01/2014
Descripción:
En el archivo plugin/npapi/plugin.cpp en Gnash anterior a versión 0.8.10, utiliza permisos débiles (legibles en todo el mundo) para archivos de cookies con nombres predecibles en /tmp, lo que permite a los usuarios locales obtener información confidencial.
Vulnerabilidad en Photoshop CS5 (CVE-2012-2027)
Gravedad:
AltaAlta
Publication date: 09/05/2012
Last modified:
21/06/2014
Descripción:
Una vulnerabilidad de uso de memoria previamente liberada en Photoshop CS5 versiones 12.x anteriores a 12.0.5 y CS5.1 versiones 12.1.x anteriores a 12.1.1 de Adobe, permite a los atacantes remotos ejecutar código arbitrario por medio de un TIFF diseñada (también se conoce como .TIF).
Vulnerabilidad en VMware Workstation (CVE-2012-1518)
Gravedad:
AltaAlta
Publication date: 17/04/2012
Last modified:
28/12/2017
Descripción:
VMware Workstation versiones 8.x anteriores a 8.0.2, VMware Player versiones 4.x anteriores a 4.0.2, VMware Fusion versiones 4.x anteriores a 4.1.2, VMware ESXi versiones 3.5 hasta 5.0, y VMware ESX versiones 3.5 hasta 4.1 utilizan una ACL incorrecta para la carpeta VMware Tools, que permite a los usuarios del Sistema Operativo invitado alcanzar privilegios de SO invitado por medio de vectores no especificados.
Vulnerabilidad en AhnLab V3 Internet Security (CVE-2012-1459)
Gravedad:
MediaMedia
Publication date: 21/03/2012
Last modified:
17/01/2018
Descripción:
El analizador de archivos TAR en AhnLab V3 Internet Security versión 2011.01.18.00, Avira AntiVir versión 7.11.1.163, Antiy Labs AVL SDK versión 2.0.3.7, avast! antivirus versiones 4.8.1351.0 y 5.0.677.0, AVG Anti-Virus versión 10.0.0.1190, Bitdefender versión 7.2, Quick Heal (también se conoce como Cat QuickHeal) versión 11.00, ClamAV versión 0.96.4, Command Antivirus versión 5.2.11.5, Comodo Antivirus versión 7424, Emsisoft Anti-Malware versión 5.1.0.1, F-Prot Antivirus versión 4.6.2.117, F-Secure Anti-Virus versión 9.0.16160.0, Fortinet Antivirus versión 4.2.254.0, G Data AntiVirus versión 21, Ikarus Virus Utilities T3 Command Line Scanner versión 1.1.97.0, Jiangmin Antivirus versión 13.0.900, K7 AntiVirus versión 9.77.3565, Kaspersky Anti-Virus versión 7.0.0.125, McAfee Anti-Virus Scanning Engine versión 5.400.0.1158, McAfee Gateway (anteriormente Webwasher) versión 2010.1C, Antimalware Engine versión 1.1.6402.0 en Microsoft Security Essentials versión 2.0, NOD32 Antivirus versión 5795, Norman Antivirus versión 6.06.12, nProtect antivirus versión 2011-01-17.01, Panda Antivirus versión 10.0.2.7, PC Tools AntiVirus versión 7.0.3.5, Rising Antivirus versión 22.83.00.03, Sophos Anti-Virus versión 4.61.0, AVEngine versión 20101.3.0.103 en Symantec Endpoint Protection versión 11, Trend Micro AntiVirus versión 9.120.0.1004, Trend Micro HouseCall versión 9.120.0.1004, VBA32 versión 3.12.14.2 y VirusBuster versión 13.6.151.0, permite a los atacantes remotos omitir la detección de malware por medio de una entrada de archivo TAR con un campo de longitud correspondiente a toda la entrada, además de parte del encabezado de la siguiente entrada. NOTA: esto puede ser más tarde SPLIT en varios CVE si se publica información adicional que muestra que el error se produjo de manera independiente en diferentes implementaciones de analizador de TAR.
Vulnerabilidad en vira AntiVir (CVE-2012-1457)
Gravedad:
MediaMedia
Publication date: 21/03/2012
Last modified:
17/01/2018
Descripción:
El analizador de archivos TAR en Avira AntiVir versión 7.11.1.163, Antiy Labs AVL SDK versión 2.0.3.7, avast! antivirus versiones 4.8.1351.0 y 5.0.677.0, AVG Anti-Virus versión 10.0.0.1190, Bitdefender versión 7.2, Quick Heal (también se conoce como Cat QuickHeal) versión 11.00, ClamAV versión 0.96.4, Command Antivirus versión 5.2.11.5, Emsisoft Anti-Malware versión 5.1.0.1, eSafe versión 7.0.17.0, F-Prot antivirus versión 4.6.2.117, G Data AntiVirus versión 21, Ikarus Virus Utilities T3 Command Line Scanner versión 1.1.97.0, Jiangmin Antivirus versión 13.0.900, K7 AntiVirus versión 9.77.3565, Kaspersky Anti-Virus versión 7.0.0.125, McAfee Anti-Virus Scanning Engine versión 5.400.0.1158, McAfee Gateway (anteriormente Webwasher) versión 2010.1C, Antimalware Engine versión 1.1.6402.0 en Microsoft Security Essentials versión 2.0, NOD32 Antivirus versión 5795, Norman Antivirus versión 6.06.12 , PC Tools AntiVirus versión 7.0.3.5, Rising Antivirus versión 22.83.00.03, AVEngine versión 20101.3.0.103 en Symantec Endpoint Protection versión 11, Trend Micro AntiVirus versión 9.120.0.1004, Trend Micro HouseCall versión 9.120.0.1004, VBA32 versión 3.12.14.2 y VirusBuster versión 13.6.151.0 , permite a los atacantes remotos omitir la detección de malware por medio de una entrada de archivo TAR con un campo de longitud que supera el tamaño total del archivo TAR. NOTA: esto puede ser más tarde SPLIT en varios CVE si se publica información adicional que muestra que el error se produjo de manera independiente en diferentes implementaciones de analizador de TAR.
Vulnerabilidad en ClamAV (CVE-2012-1443)
Gravedad:
MediaMedia
Publication date: 21/03/2012
Last modified:
06/11/2012
Descripción:
El analizador de archivos RAR en ClamAV versión 0.96.4, Rising Antivirus versión 22.83.00.03, Quick Heal (también se conoce como Cat QuickHeal) versión 11.00, G Data AntiVirus versión 21, AVEngine versión 20101.3.0.103 en Symantec Endpoint Protection versión 11, Command Antivirus versión 5.2.11.5, Ikarus Virus Utilities T3 Command Line Scanner versión 1.1.97.0, Emsisoft Anti-Malware versión 5.1.0.1, PC Tools AntiVirus versión 7.0.3.5, F-Prot Antivirus versión 4.6.2.117, VirusBuster versión 13.6.151.0, Fortinet antivirus versión 4.2.254.0, Antiy Labs AVL SDK versión 2.0.3.7, K7 AntiVirus versión 9.77.3565, Trend Micro HouseCall versión 9.120.0.1004, Kaspersky Antivirus versión 7.0.0.125, Jiangmin Antivirus versión 13.0.900, Antimalware Engine versión 1.1.6402.0 en Microsoft Security Essentials versión 2.0, Sophos Anti-Virus versión 4.61.0, NOD32 Antivirus versión 5795, Avira AntiVir versión 7.11.1.163, Norman Antivirus versión 6.06.12, McAfee Anti-Virus Scanning Engine versión 5.400.0.1158, Panda Antivirus versión 10.0.2.7, McAfee Gateway (anteriormente Webwasher) versión 2010.1C, Trend Micro AntiVirus versión 9.120.0.1004, Comodo Antivirus versión 7424, Bitdefender versión 7.2, eSafe versión 7.0.17.0, F-Secure Anti-Virus versión 9.0.16160.0, nProtect Versión antivirus 2011-01-17.01, AhnLab V3 Internet Security versión 2011.01.18.00, AVG Anti-Virus versión 10.0.0.1190, avast! antivirus versiones 4.8.1351.0 y 5.0.677.0, y VBA32 versión 3.12.14.2, permite a los atacantes remotos asistidos por el usuario omitir la detección de malware por medio de un archivo RAR con una inicial Secuencia de caracteres MZ. NOTA: esto puede ser más tarde SPLIT en varios CVE si se publica información adicional que muestra que el error se produjo de manera independiente en diferentes implementaciones de analizador RAR.
Vulnerabilidad en 7-Technologies (7T) AQUIS (CVE-2012-0224)
Gravedad:
AltaAlta
Publication date: 21/02/2012
Last modified:
24/02/2012
Descripción:
Una Vulnerabilidad de ruta (path) de búsqueda no confiable en 7-Technologies (7T) AQUIS versión 1.5 y anterior, permite a los usuarios locales alcanzar privilegios por medio de un archivo DLL de tipo caballo de Troya en el directorio de trabajo actual, una vulnerabilidad diferente del CVE-2012-0223.