Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en cPanel (CVE-2016-10787)
Gravedad:
MediaMedia
Publication date: 06/08/2019
Last modified:
09/08/2019
Descripción:
La funcionalidad de Control de Acceso del Host en cPanel anterior a versión 60.0.25, maneja inapropiadamente las entradas host.deny sin acción (SEC-187).
Vulnerabilidad en cPanel (CVE-2016-10786)
Gravedad:
MediaMedia
Publication date: 06/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 60.0.25, permite a los miembros del grupo nobody leer las claves SSL del servidor HTTP de Apache (SEC-186).
Vulnerabilidad en Firefly III (CVE-2019-14670)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
Firefly III versión 4.7.17.3, es vulnerable a una ataque de tipo XSS almacenado debido a la falta de filtración de datos suministrados por el usuario en el campo de nombre de factura. El código JavaScript es ejecutado durante la creación de la regla de factura.
Vulnerabilidad en Firefly III (CVE-2019-14669)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
Firefly III versión 4.7.17.3, es vulnerable a una ataque de tipo XSS almacenado debido a la falta de filtración de datos suministrados por el usuario en el nombre de cuenta del activo. El código JavaScript es ejecutado durante una visita a la página de estadísticas de la cuenta de auditoría.
Vulnerabilidad en Firefly III (CVE-2019-14668)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
Firefly III versión 4.7.17.3, es vulnerable a una ataque de tipo XSS almacenado debido a la falta de filtración de datos suministrados por el usuario en el campo de descripción de la transacción. El código JavaScript es ejecutado durante la eliminación de un enlace de transacción.
Vulnerabilidad en EspoCRM (CVE-2019-14547)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
Se detectó un problema en EspoCRM anterior a versión 5.6.9. Un ataque de tipo XSS almacenado fue ejecutado cuando un atacante envía un archivo adjunto al administrador con un JavaScript malicioso en el nombre de archivo. Este JavaScript es ejecutado cuando un administrador selecciona el archivo en particular de la lista de todos los archivos adjuntos. El atacante podría inyectar el JavaScript dentro del nombre de archivo y enviarlo a los usuarios, ayudándolo así a robar las cookies de las víctimas (comprometiendo sus cuentas).
Vulnerabilidad en EspoCRM (CVE-2019-14548)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
Se detectó un problema en EspoCRM anterior a versión 5.6.9. Un ataque de tipo XSS almacenado en el cuerpo de un Artículo fue ejecutado cuando una víctima abre los artículos recibidos por medio del correo. Este artículo puede ser formado por un atacante utilizando la funcionalidad Knowledge Base en la lista de pestañas. El atacante podría inyectar JavaScript malicioso dentro del cuerpo del artículo, ayudándolo así a robar las cookies de las víctimas (comprometiendo sus cuentas).
Vulnerabilidad en EspoCRM (CVE-2019-14549)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
Se detectó un problema en EspoCRM anterior a versión 5.6.9. Un ataque de tipo XSS almacenado fue ejecutado dentro del título y la ruta previa de navegación de una entidad recientemente formada disponible para todos los usuarios. Un usuario malicioso puede inyectar JavaScript en estos valores de una entidad, robando las cookies de usuario cuando alguien visita el enlace accesible públicamente.
Vulnerabilidad en EspoCRM (CVE-2019-14550)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
Se detectó un problema en EspoCRM anterior a versión 5.6.9. Un ataque de tipo XSS almacenado fue ejecutado cuando una víctima hace clic en la funcionalidad Edit Dashboard presente en la Página de Inicio. Un atacante puede cargar JavaScript malicioso dentro de la funcionalidad add tab list, que se dispararía cuando un usuario hace clic en el botón Edit Dashboard, ayudándolo así a robar las cookies de las víctimas (comprometiendo sus cuentas).
Vulnerabilidad en IBM WebSphere MQ (CVE-2019-4261)
Gravedad:
MediaMedia
Publication date: 05/08/2019
Last modified:
09/10/2019
Descripción:
IBM WebSphere MQ versión V7.1, 7.5, IBM MQ versión V8, IBM MQ versión V9.0LTS, IBM MQ versión V9.1 LTS e IBM MQ versión V9.1 CD, son vulnerables a un ataque de denegación de servicio causado por mensajes especialmente diseñados. ID de IBM X-Force: 160013.
Vulnerabilidad en cPanel (CVE-2016-10773)
Gravedad:
MediaMedia
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 60.0.25, permite la inyección de cadena de formato en el manejo de mensajes de excepción (SEC-171).
Vulnerabilidad en cPanel (CVE-2016-10772)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 60.0.25, no aplica restricciones de lista de funcionalidades cuando se llama a adminbin multilang (SEC-168).
Vulnerabilidad en cPanel (CVE-2016-10771)
Gravedad:
MediaMedia
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 60.0.25, permite operaciones de creación de archivos y chmod de archivos durante el procesamiento del archivo de registro de ModSecurity Audit (SEC-165).
Vulnerabilidad en cPanel (CVE-2016-10767)
Gravedad:
BajaBaja
Publication date: 05/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 60.0.25 , permite un ataque de tipo XSS almacenado en la interfaz de WHM Repair Mailbox Permissions(SEC-159).
Vulnerabilidad en cPanel (CVE-2019-14654)
Gravedad:
MediaMedia
Publication date: 04/08/2019
Last modified:
24/08/2020
Descripción:
cPanel anterior al versión 67.9999.103, permite que los archivos de registro del Servidor HTTP de Apache sean legibles en todo el mundo debido al manejo inapropiado de un cambio de nombre de cuenta (SEC-296).
Vulnerabilidad en cPanel (CVE-2017-18425)
Gravedad:
BajaBaja
Publication date: 02/08/2019
Last modified:
09/08/2019
Descripción:
En cPanel anterior a versión 66.0.2, el archivo cpdavd_error_log puede ser creado con permisos débiles (SEC-280).
Vulnerabilidad en cPanel (CVE-2017-18426)
Gravedad:
MediaMedia
Publication date: 02/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 66.0.2, permite a los proveedores (resellers) leer los archivos de registro de dominio de otras cuentas (SEC-288).
Vulnerabilidad en 389-ds-base (CVE-2019-10171)
Gravedad:
AltaAlta
Publication date: 02/08/2019
Last modified:
02/10/2020
Descripción:
Se detectó que la corrección para el CVE-2018-14648 en 389-ds-base, versiones 1.4.0.x anteriores a 1.4.0.17, se aplicó incorrectamente en RHEL versión 7.5. Un atacante podría aún ser capaz de provocar un consumo excesivo de CPU conllevando a una denegación de servicio.
Vulnerabilidad en cPanel (CVE-2017-18391)
Gravedad:
BajaBaja
Publication date: 02/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 68.0.15, permite a los atacantes leer archivos de copia de seguridad debido a que son legibles por todo el mundo durante un intervalo de tiempo corto (SEC-323).
Vulnerabilidad en cPanel (CVE-2017-18388)
Gravedad:
AltaAlta
Publication date: 02/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 68.0.15, puede realizar operaciones de archivo no seguras debido a que Jailshell no ajusta la umask (SEC-315).
Vulnerabilidad en OpenCV (CVE-2019-14492)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
17/04/2020
Descripción:
Se detectó un problema en OpenCV anterior a versión 3.4.7 y versiones 4.x anteriores a 4.1.1. Se presenta una lectura y escritura fuera de límites en la función HaarEvaluator::OptFeature::calc en el archivo modules/objdetect/src/cascadedetect.hpp, lo que conlleva a la denegación de servicio.
Vulnerabilidad en OpenCV (CVE-2019-14491)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
01/12/2019
Descripción:
Se detectó un problema en OpenCV anterior a versión 3.4.7 y versiones 4.x anteriores a 4.1.1. Se presenta una lectura fuera de límites en la función cv::predictOrdered(cv::HaarEvaluator) en el archivo modules/objdetect/src/cascadedetect.hpp, lo que conlleva a la denegación de servicio.
Vulnerabilidad en cPanel (CVE-2018-20943)
Gravedad:
BajaBaja
Publication date: 01/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 68.0.27, permite a los atacantes leer el archivo crontab de root durante un intervalo de tiempo corto en una tarea post-actualización (SEC-352).
Vulnerabilidad en cPanel (CVE-2018-20942)
Gravedad:
BajaBaja
Publication date: 01/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 68.0.27, permite a los atacantes leer el archivo crontab de root durante un intervalo de tiempo corto al configurar crontab (SEC-351).
Vulnerabilidad en cPanel (CVE-2018-20938)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 68.0.27, no aplica la propiedad durante las llamadas de la API de WHM addpkgext y delpkgext (SEC-324).
Vulnerabilidad en cPanel (CVE-2016-10849)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite ciertas operaciones file-chmod en el archivo scripts/secureit (SEC-82).
Vulnerabilidad en cPanel (CVE-2016-10858)
Gravedad:
AltaAlta
Publication date: 01/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 11.54.0.0, permite la ejecución de código arbitraria no autenticada por medio de envenenamiento de entrada NS de DNS (SEC-64).
Vulnerabilidad en cPanel (CVE-2016-10857)
Gravedad:
MediaMedia
Publication date: 01/08/2019
Last modified:
09/08/2019
Descripción:
cPanel anterior a versión 11.54.0.0, permite una omisión del límite de envío de correo electrónico (SEC-60).
Vulnerabilidad en los dispositivos 6600-AP y DWL-3600AP de D-Link. (CVE-2019-14337)
Gravedad:
BajaBaja
Publication date: 01/08/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en los dispositivos 6600-AP y DWL-3600AP de D-Link revisión Ax versión 4.2.0.14 fecha 21/03/2019. Se presenta la posibilidad de escapar hacia un shell en la interfaz de línea de comandos restringida, como es demostrado por la secuencia "/bin/sh -c wget".
Vulnerabilidad en los dispositivos 6600-AP y DWL-3600AP de D-Link. (CVE-2019-14336)
Gravedad:
BajaBaja
Publication date: 01/08/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en los dispositivos 6600-AP y DWL-3600AP de D-Link revisión Ax versión 4.2.0.14 fecha 21/03/2019. Se presenta un volcado posterior a la identificación de todos los archivos de configuración por medio de una determinada petición HTTP no segura de admin.cgi?action=.
Vulnerabilidad en el endpoint /v1/continue en la función node_cache.find_node() en ironic-inspector de openstack (CVE-2019-10141)
Gravedad:
MediaMedia
Publication date: 30/07/2019
Last modified:
15/08/2019
Descripción:
Se detectó una vulnerabilidad en ironic-inspector de openstack en todas las versiones, excluyendo a la 5.0.2, 6.0.3, 7.2.4, 8.0.3 y 8.2.1. Se detectó una vulnerabilidad de inyección SQL en la función node_cache.find_node() de ironic-inspector de openstack. Esta función realiza una consulta SQL usando datos sin filtrar de un servidor que informa los resultados de la inspección (mediante una POST hacia el endpoint /v1/continue). Porque la API no está autenticada, el fallo podría ser explotado por un atacante con acceso a la red en la que ironic-inspector es detectado. Debido a que ironic-inspector usa los resultados de la consulta, es poco probable que se puedan obtener datos. Sin embargo, el atacante podría pasar datos maliciosos y crear una denegación de servicio.
Vulnerabilidad en IBM MQ (CVE-2019-4055)
Gravedad:
MediaMedia
Publication date: 19/04/2019
Last modified:
09/10/2019
Descripción:
IBM MQ versiones desde la 8.0.0.0.0 hasta 8.0.0.0.10, desde la 9.0.0.0.0 hasta la 9.0.0.5 y desde la 9.1.0.0 hasta la 9.1.1.1 es vulnerable a un ataque de denegación de servicio dentro de la función de renegociación de claves de TLS. IBM X-Force ID: 156564.