Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en cPanel (CVE-2017-18449)
Gravedad:
BajaBaja
Publication date: 02/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 64.0.21, permite ciertas operaciones de cambio de nombre de archivo en el contexto de la cuenta root por medio del archivo scripts/convert_roundcube_mysql2sqlite (SEC-254).
Vulnerabilidad en cPanel (CVE-2017-18448)
Gravedad:
MediaMedia
Publication date: 02/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 64.0.21, permite ciertas operaciones de lectura de archivos por medio de una llamada de la API de Serverinfo_manpage (SEC-252).
Vulnerabilidad en cPanel (CVE-2017-18447)
Gravedad:
MediaMedia
Publication date: 02/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 64.0.21, permite a las cuentas demo ejecutar código por medio de la API de ClamScanner_getsocket (SEC-251).
Vulnerabilidad en cPanel (CVE-2017-18443)
Gravedad:
MediaMedia
Publication date: 02/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 64.0.21, permite a las cuentas demo y cuentas suspendidas utilizar el reenvío de puertos en SSH (SEC-247).
Vulnerabilidad en cPanel (CVE-2017-18390)
Gravedad:
AltaAlta
Publication date: 02/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 68.0.15, permite la ejecución de código en el contexto de la cuenta root debido a permisos débiles en copias de seguridad de tipo incremental (SEC-322).
Vulnerabilidad en cPanel (CVE-2017-18389)
Gravedad:
MediaMedia
Publication date: 02/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 68.0.15, permite una inyección de formato de cadenas en dovecot-xaps-plugin (SEC-318).
Vulnerabilidad en liblouis (CVE-2014-8184)
Gravedad:
MediaMedia
Publication date: 02/08/2019
Last modified:
09/10/2019
Descripción:
Se encontró una vulnerabilidad en liblouis, versiones 2.5.x anteriores a 2.5.4. Se encontró un desbordamiento de búfer en la región stack de la memoria en la función findTable() en liblouis. Un atacante podría crear un archivo malicioso que causaría que las aplicaciones que usan liblouis (como Orca) se bloqueen o ejecuten potencialmente código arbitrario cuando sean aperturadas.
Vulnerabilidad en MilkyTracker (CVE-2019-14497)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
16/09/2020
Descripción:
En la función ModuleEditor::convertInstrument en el archivo tracker/ModuleEditor.cpp en MilkyTracker versión 1.02.00, presenta un desbordamiento de búfer en la región heap de la memoria.
Vulnerabilidad en MilkyTracker (CVE-2019-14496)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
16/09/2020
Descripción:
En la función LoaderXM::load en el archivo LoaderXM.cpp en milkyplay en MilkyTracker versión 1.02.00, presenta un desbordamiento de búfer en la región stack de la memoria.
Vulnerabilidad en Happypoint (CVE-2019-9140)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
22/10/2020
Descripción:
Cuando se procesa el esquema Deeplink, la aplicación móvil Happypoint versión 6.3.19 y anteriores, no comprueba la URL de Deeplink correctamente. Esto podría conllevar a la ejecución de código JavaScript, redireccionamiento de URL y divulgación de información confidencial. Un atacante puede explotar este problema mediante la atracción de un usuario desprevenido para abrir una URL maliciosa específica.
Vulnerabilidad en cPanel (CVE-2018-20941)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 68.0.27, permite operaciones arbitrarias de lectura de archivos por medio adminbin de restore (SEC-349).
Vulnerabilidad en cPanel (CVE-2018-20928)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de la interfaz del proveedor de cpaddons (SEC-391).
Vulnerabilidad en cPanel (CVE-2018-20929)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 70.0.23, permite una redireccionamiento abierto por medio del endpoint del archivo /unprotected/redirect.html (SEC-392).
Vulnerabilidad en cPanel (CVE-2018-20924)
Gravedad:
AltaAlta
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 70.0.23, permite operaciones arbitrarias de lectura de archivos y desvinculación de archivos por medio de cargas de estilo de WHM (SEC-378).
Vulnerabilidad en cPanel (CVE-2016-10837)
Gravedad:
AltaAlta
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite la ejecución de código arbitraria debido a una ruta (path) no segura de @INC (SEC-46).
Vulnerabilidad en cPanel (CVE-2016-10841)
Gravedad:
BajaBaja
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
El script bin/mkvhostspasswd en cPanel anterior a versión 11.54.0.4, revela hashes de contraseña (SEC-73).
Vulnerabilidad en cPanel (CVE-2016-10844)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
El script chcpass en cPanel anterior a versión 11.54.0.4, revela un hash de contraseña (SEC-77).
Vulnerabilidad en cPanel (CVE-2016-10847)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite operaciones arbitrarias de lectura de archivos y escritura de archivos por medio de scripts/fixmailboxpath (SEC-80).
Vulnerabilidad en cPanel (CVE-2016-10848)
Gravedad:
AltaAlta
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite operaciones de sobrescritura de archivos arbitrarias en el archivo scripts/quotacheck (SEC-81).
Vulnerabilidad en cPanel (CVE-2016-10852)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 11.54.0.4, carece de aplicación de la ACL en el subsistema AppConfig (SEC-85).
Vulnerabilidad en cPanel (CVE-2016-10853)
Gravedad:
BajaBaja
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite un ataque de tipo XSS almacenado en la interfaz Feature Manager de WHM (SEC-86).
Vulnerabilidad en cPanel (CVE-2016-10859)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 11.54.0.0, permite cambios de contraseña no autorizados por medio de comandos de la API de Webmail (SEC-65).
Vulnerabilidad en Jolokia (CVE-2018-10899)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
17/09/2019
Descripción:
Se detectó un fallo en Jolokia versiones 1.2 anteriores a 1.6.1. Las versiones afectadas son vulnerables a un ataque de tipo CSRF en todo el sistema. Esto es válido para las instancias configuradas apropiadamente con comprobación estricta de los encabezados de origen y de referencia. Esto podría resultar en un ataque de Ejecución de Código Remoto.
Vulnerabilidad en cPanel (CVE-2018-20899)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite un ataque de tipo XSS almacenado en la interfaz de instalación cPAddons de WHM (SEC-398).
Vulnerabilidad en cPanel (CVE-2018-20890)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 74.0.0, permite modificaciones arbitrarias de archivos de zona durante las ediciones de registros (SEC-426).
Vulnerabilidad en evolution-ews (CVE-2019-3890)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
09/10/2019
Descripción:
Se detectó que evolution-ews anterior a versión 3.31.3, no comprueba la validez de los certificados SSL. Un atacante podría abusar de este fallo para conseguir información confidencial mediante el engaño del usuario para que se conecte a un servidor falso sin que el usuario note la diferencia.
CVE-2019-3884
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
09/10/2019
Descripción:
Se presenta una vulnerabilidad en el mecanismo garbage collection de atomic-openshift. Un atacante capaz de suplantar el UUID de un objeto válido de otro espacio de nombres es capaz de eliminar elementos secundarios de esos objetos. Versiones 3.6, 3.7, 3.8, 3.9, 3.10, 3.11 y 4.1 están afectadas.
Vulnerabilidad en Solr de Apache (CVE-2019-0193)
Gravedad:
AltaAlta
Publication date: 01/08/2019
Last modified:
24/08/2020
Descripción:
En Solr de Apache, el DataImportHandler, un módulo opcional pero popular para extraer datos de bases de datos y otras fuentes, presenta una funcionalidad en la que toda la configuración de DIH puede provenir del parámetro "dataConfig" de una petición. El modo de depuración de la pantalla de administración DIH utiliza esto para permitir la depuración y desarrollo conveniente de una configuración DIH. Puesto que una configuración DIH puede contener scripts, este parámetro es un riesgo de seguridad. A partir de la versión 8.2.0 de Solr, el uso de este parámetro requiere ajustar la propiedad del Sistema Java "enable.dih.dataConfigParam" en true.
Vulnerabilidad en cPanel (CVE-2018-20892)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
24/08/2020
Descripción:
cPanel anterior a versión 74.0.0, permite modificaciones arbitrarias de archivos de zona debido al manejo incorrecto de registros CAA (SEC-439).
Vulnerabilidad en cPanel (CVE-2018-20897)
Gravedad:
BajaBaja
Publication date: 01/08/2019
Last modified:
08/08/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite operaciones arbitrarias de desenlace de archivos por medio del sistema de moderación cPAddons (SEC-395).
Vulnerabilidad en ActiveMQ (CVE-2015-7559)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
09/10/2019
Descripción:
Se encontró que el cliente ActiveMQ de Apache anterior a versión 5.15.5, expuso un comando de apagado remoto en clase ActiveMQConnection. Un atacante que inicio sesión en un broker comprometido podría utilizar este fallo para lograr una denegación de servicio en un cliente conectado.