Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en parse-server (CVE-2019-1020012)
Gravedad:
MediaMedia
Publication date: 29/07/2019
Last modified:
02/08/2019
Descripción:
parse-server anterior a versión 3.4.1, permite una DoS después de cualquier POST en una clase volátil.
Vulnerabilidad en Undertow (CVE-2019-10184)
Gravedad:
MediaMedia
Publication date: 25/07/2019
Last modified:
30/09/2019
Descripción:
Undertow en versiones anteriores a la 2.0.23.Final es vulnerable a un problema de fuga de información. Las aplicaciones web pueden tener sus estructuras de directorio predecibles a través de solicitudes sin barras finales mediante la API.
Vulnerabilidad en Proxygen (CVE-2019-11921)
Gravedad:
AltaAlta
Publication date: 25/07/2019
Last modified:
02/08/2019
Descripción:
Una escritura fuera de límites es posible a través de un paquete especialmente diseñado en ciertas configuraciones de Proxygen debido al manejo inadecuado de Base64 cuando se analiza contenido binario mal formado en Structured HTTP Headers. Este problema afecta a las versiones de proxygen anteriores a v2019.07.22.00.
Vulnerabilidad en Octopus Deploy (CVE-2019-14268)
Gravedad:
MediaMedia
Publication date: 25/07/2019
Last modified:
02/08/2019
Descripción:
En Octopus Deploy versiones 3.0.19 hasta 2019.7.2, cuando es configurado un proxy de petición web, un usuario autenticado (en ciertas circunstancias limitadas) podría desencadenar un despliegue que escribe la contraseña del proxy de petición web en el registro de implementación en texto sin cifrar. Esto se corrige en versión 2019.7.3. La corrección fue respaldada para versión LTS 2019.6.5 así como para versión LTS 2019.3.7.
Vulnerabilidad en Voice Builder (CVE-2019-1010200)
Gravedad:
AltaAlta
Publication date: 23/07/2019
Last modified:
09/10/2019
Descripción:
Voice Builder en versiones anteriores al commit c145d4604df67e6fc625992412eef0bf9a85e26b y f6660e6d8f0d1d931359d591dbdec580fef36d36 está afectado por: CWE-78: Una neutralización incorrecta de elementos especiales en un comando del sistema operativo ('OS Command Injection'). El impacto es: Ejecución remota de código con los mismos privilegios que los servidores. El componente es: Dos servidores web en los proyectos exponen tres endpoints vulnerables a los que se puede acceder de forma remota. Los endpoints se definen en: - /tts: https://github.com/google/voice-builder/blob/3a449a3e8d5100ff323161c89b897f6d5ccdb6f9/merlin_model_server/api.js#L34 - /alignment: https://github.com/google/voice-builder/blob/3a449a3e8d5100ff323161c89b897f6d5ccdb6f9/festival_model_server/api.js#L28 - /tts: https://github.com/google/voice-builder/blob/3a449a3e8d5100ff323161c89b897f6d5ccdb6f9/festival_model_server/api.js#L65. El vector de ataque es: El atacante envía una solicitud GET al endpoint vulnerable con un parámetro de consulta especialmente formateado. La versión corregida es: Después del commit f6660e6d8f0d1d931359d591dbdec580fef36d36.