Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en WordPress tiene CSRF (CVE-2018-20964)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El complemento contact-form-to-email anterior de 1.2.66 para WordPress tiene CSRF.
Vulnerabilidad en WordPress tiene XSS. (CVE-2018-20963)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El complemento contact-form-to-email anterior de 1.2.66 para WordPress tiene XSS.
Vulnerabilidad en El plugin wp-live-chat-support (CVE-2017-18507)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El plugin wp-live-chat-support anterior de 7.1.05 para WordPress tiene XSS.
Vulnerabilidad en El complemento the simple-job-board (CVE-2017-18498)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El complemento the simple-job-board anterior de 2.4.4 para WordPress ha reflejado XSS a través de la búsqueda de palabras clave.
Vulnerabilidad en El complemento liveforms (CVE-2017-18497)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El complemento liveforms anterior a 3.4.0 para WordPress tiene XSS
Vulnerabilidad en El complemento htaccess (CVE-2017-18496)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El complemento htaccess anterior a 1.7.6 para WordPress tiene múltiples problemas XSS.
Vulnerabilidad en El complemento gravity-forms-sms-notification (CVE-2017-18495)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El complemento gravity-forms-sms-notifications anterior de 2.4.0 para WordPress tiene XSS.
Vulnerabilidad en El complemento custom-search-plugin (CVE-2017-18494)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
15/08/2019
Descripción:
El complemento custom-search-plugin anterior de 1.36 para WordPress tiene múltiples problemas de XSS.
Vulnerabilidad en imcat (CVE-2019-14968)
Gravedad:
AltaAlta
Publication date: 12/08/2019
Last modified:
15/08/2019
Descripción:
Se detecto un problema en imcat versión 4.9. Hay inyección SQL a través del parámetro de orden index.php en una acción mod = faqs.
Vulnerabilidad en Frappe Framework (CVE-2019-14967)
Gravedad:
MediaMedia
Publication date: 12/08/2019
Last modified:
15/08/2019
Descripción:
Se detecto un problema en Frappe Framework versiones 10, 11 antes de 11.1.46 y 12. Existe una vulnerabilidad XSS.
Vulnerabilidad en WordPress (CVE-2016-10879)
Gravedad:
MediaMedia
Publication date: 12/08/2019
Last modified:
15/08/2019
Descripción:
El plugin wp-live-chat-support anterior a la versión 6.2.02 para WordPress tiene XSS.
Vulnerabilidad en WordPress (CVE-2016-10877)
Gravedad:
MediaMedia
Publication date: 12/08/2019
Last modified:
15/08/2019
Descripción:
El plugin wp-editor anterior a la versión 1.2.6.3 para WordPress tiene múltiples problemas de XSS.
Vulnerabilidad en WordPress (CVE-2017-18508)
Gravedad:
MediaMedia
Publication date: 12/08/2019
Last modified:
25/08/2019
Descripción:
El plugin wp-live-chat-support anterior a la versión 7.1.03 para WordPress tiene XSS.
Vulnerabilidad en Recommender (CVE-2018-20858)
Gravedad:
MediaMedia
Publication date: 09/08/2019
Last modified:
15/08/2019
Descripción:
Recommender antes del 18-07-2018, permite un ataque de tipo XSS.
Vulnerabilidad en Cognitoys Dino (CVE-2017-18485)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
Los dispositivos Cognitoys Dino permiten profiles_add.html CSRF.
Vulnerabilidad en Cognitoys Dino (CVE-2017-18484)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
Los dispositivos Cognitoys Dino permiten XSS a través del SSID.
Vulnerabilidad en Neet AirStream NAS (CVE-2016-10862)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
Los dispositivos Neet AirStream NAS versión 1.1 tienen una contraseña de ifconfig para la cuenta root. Esto no se puede cambiar a través de la página de configuración.
Vulnerabilidad en 6kbbs (CVE-2015-9292)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
6kbbs versiones 7.1 y 8.0 permite CSRF a través de portalchannel_ajax.php (parámetro de id o código) o admin.php (parámetro de fileids).
Vulnerabilidad en Huawei smart phones Emily-L29C (CVE-2019-5236)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
Huawei smart phones Emily-L29C con versiones de 8.1.0.132a (C432), 8.1.0.135 (C782), 8.1.0.154 (C10), 8.1.0.154 (C461), 8.1.0.154 (C635), 8.1.0.156 (C185 ), 8.1.0.156 (C605), 8.1.0.159 (C636) tienen una doble vulnerabilidad libre. Un atacante puede engañar a un usuario para que haga clic en una URL para aprovechar esta vulnerabilidad. La explotación exitosa puede causar que el teléfono afectado sea anormal.
Vulnerabilidad en UiPath Orchestrator (CVE-2018-19855)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
UiPath Orchestrator en versiones anteriores a 2018.3.4 permite la inyección de CSV, relacionada con las funciones de exportación de auditoría, exportación de registro de robot y exportación de registro de transacción.
Vulnerabilidad en D-Link DIR-600M (CVE-2019-13101)
Gravedad:
AltaAlta
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
Se detecto un problema en los dispositivos D-Link DIR-600M versiones 3.02, 3.03, 3.04 y 3.06. Se puede acceder a wan.htm directamente sin autenticación, lo que puede conducir a la divulgación de información sobre la WAN, y también puede ser aprovechado por un atacante para modificar los campos de datos de la página.
Vulnerabilidad en Webex Meetings Server de Cisco (CVE-2019-1954)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web del software Webex Meetings Server de Cisco, podría permitir a un atacante remoto no autenticado redireccionar a un usuario a una página web no deseada. La vulnerabilidad es debido a una comprobación de entrada inapropiada de los parámetros de URL en una petición HTTP que se envía a un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad diseñando una petición HTTP que podría causar que la aplicación web redireccione la petición hacia una URL maliciosa especificada. Una explotación con éxito podría permitir al atacante redireccionar a un usuario hacia un sitio web malicioso.
Vulnerabilidad en Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del software Firepower Threat Defense (FTD) de Cisco (CVE-2019-1970)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el motor de inspección del protocolo Secure Sockets Layer (SSL)/Transport Layer Security (TLS) del software Firepower Threat Defense (FTD) de Cisco, podría permitir a un atacante remoto no autenticado omitir las políticas de archivo configuradas en un sistema afectado. La vulnerabilidad es debido a errores cuando se manejan mensajes SSL/TLS específicos. Un atacante podría explotar esta vulnerabilidad enviando paquetes HTTP diseñados que fluirían por medio de un sistema afectado. Una explotación con éxito podría permitir al atacante omitir las políticas de archivos configuradas y entregar una carga maliciosa a la red protegida.
Vulnerabilidad en HyperFlex Software de Cisco (CVE-2019-1958)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de HyperFlex Software de Cisco, podría permitir a un atacante remoto no autenticado conducir un ataque de tipo cross-site request forgery (CSRF) en un sistema afectado. La vulnerabilidad es debido a protecciones de tipo CSRF insuficientes para la UI web en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario de la interfaz a seguir un enlace malicioso. Una explotación con éxito podría permitir al atacante realizar acciones arbitrarias con el nivel de privilegio del usuario afectado.
Vulnerabilidad en Sender Policy Framework (SPF) del software AsyncOS de Cisco para Email Security Appliances (ESA) de Cisco (CVE-2019-1955)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la funcionalidad Sender Policy Framework (SPF) del software AsyncOS de Cisco para Email Security Appliances (ESA) de Cisco, podría permitir a un atacante remoto no autenticado omitir los filtros de usuario configurados en el dispositivo. La vulnerabilidad es debido a mecanismos de entrada y comprobación de validación incompletos para ciertos mensajes SPF que se envían a un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando un paquete SPF personalizado hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante omitir los filtros de encabezado que están configurados para el dispositivo afectado, lo que podría permitir que el contenido malicioso pase a través del dispositivo.
Vulnerabilidad en SD-WAN Solution de Cisco (CVE-2019-1951)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en las funcionalidades de filtrado de paquete de SD-WAN Solution de Cisco, podría permitir a un atacante remoto no autenticado omitir los filtros de tráfico L3 y L4. La vulnerabilidad es debido a condiciones de filtrado de tráfico inapropiadas en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad diseñando un paquete TCP malicioso con características específicas y enviándolo a un dispositivo de destino. Una explotación con éxito podría permitir al atacante omitir los filtros de tráfico L3 y L4 e inyectar un paquete arbitrario en la red.
Vulnerabilidad en Firepower Management Center de Cisco (CVE-2019-1949)
Gravedad:
BajaBaja
Publication date: 08/08/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Firepower Management Center de Cisco, podría permitir a un atacante remoto autenticado realizar un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de administración basada en web de un sistema afectado. La vulnerabilidad es debido a una comprobación insuficiente de la información suministrada por el usuario mediante la interfaz de administración basada en web del sistema afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un enlace malicioso. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
Vulnerabilidad en CMS de Backdrop (CVE-2019-14769)
Gravedad:
MediaMedia
Publication date: 08/08/2019
Last modified:
15/08/2019
Descripción:
CMS de Backdrop versiones 1.12.x anteriores a 1.12.8 y versiones 1.13.x anteriores a 1.13.3, no filtra suficiente la salida cuando se muestran ciertas etiquetas de bloque creadas por administradores. Un atacante podría diseñar una etiqueta especializada y luego hacer que un administrador ejecute scripting cuando se administre un diseño. (Este problema es mitigado por el atacante necesitando permiso para crear bloques personalizados en el sitio, que típicamente es un permiso administrativo).
Vulnerabilidad en kernel de Linux (CVE-2019-14763)
Gravedad:
MediaMedia
Publication date: 07/08/2019
Last modified:
02/09/2019
Descripción:
En el kernel de Linux anterior a versión 4.16.4, un error de doble bloqueo en el archivo drivers/usb/dwc3/gadget.c puede causar un punto muerto con f_hid.
Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1928)
Gravedad:
AltaAlta
Publication date: 07/08/2019
Last modified:
09/10/2019
Descripción:
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Vulnerabilidad en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft (CVE-2019-1929)
Gravedad:
AltaAlta
Publication date: 07/08/2019
Last modified:
09/10/2019
Descripción:
Múltiples vulnerabilidades en Webex Network Recording Player de Cisco para Windows de Microsoft y Webex Player de Cisco para Windows de Microsoft, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades se presentan porque el software afectado comprueba inapropiadamente los archivos de formato de grabación avanzado (ARF) y de formato de grabación Webex (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario para que abra el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario sobre el sistema afectado con los privilegios del usuario apuntado.
Vulnerabilidad en Adaptive Security Appliance (ASA) de Cisco (CVE-2019-1934)
Gravedad:
MediaMedia
Publication date: 07/08/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web del software Adaptive Security Appliance (ASA) de Cisco, podría permitir a un atacante remoto autenticado elevar los privilegios y ejecutar funciones administrativas en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de autorización insuficiente. Un atacante podría explotar esta vulnerabilidad iniciando sesión en un dispositivo afectado como un usuario poco privilegiado y luego enviando peticiones HTTPS específicas para ejecutar funciones administrativas utilizando la información recuperada durante el inicio de sesión inicial.
Vulnerabilidad en Adaptive Security Appliance (ASA) de Cisco (CVE-2019-1944)
Gravedad:
MediaMedia
Publication date: 07/08/2019
Last modified:
09/10/2019
Descripción:
Múltiples vulnerabilidades en la funcionalidad de smart tunnel de Adaptive Security Appliance (ASA) de Cisco, podrían permitir a un atacante local autenticado elevar los privilegios al usuario root o cargar un archivo de biblioteca malicioso mientras el túnel está siendo establecido. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso de seguridad.
Vulnerabilidad en Adaptive Security Appliance (ASA) de Cisco (CVE-2019-1945)
Gravedad:
MediaMedia
Publication date: 07/08/2019
Last modified:
09/10/2019
Descripción:
Múltiples vulnerabilidades en la funcionalidad de smart tunnel de Adaptive Security Appliance (ASA) de Cisco, podrían permitir a un atacante local autenticado elevar los privilegios al usuario root o cargar un archivo de biblioteca malicioso mientras el túnel está siendo establecido. Para más información sobre estas vulnerabilidades, consulte la sección de Detalles de este aviso de seguridad.
Vulnerabilidad en KDE Frameworks KConfig (CVE-2019-14744)
Gravedad:
MediaMedia
Publication date: 07/08/2019
Last modified:
15/08/2019
Descripción:
En KDE Frameworks KConfig en versiones anteriores a 5.61.0, los archivos de escritorio y los archivos de configuración maliciosos conllevan a la ejecución de código con una interacción mínima del usuario. Esto se relaciona con el archivo libKF5ConfigCore.so y el manejo inapropiado de archivos .desktop y .directory, como es demostrado por un comando de shell en una línea Icon en un archivo .desktop.
Vulnerabilidad en kernel de Linux (CVE-2018-20961)
Gravedad:
AltaAlta
Publication date: 07/08/2019
Last modified:
27/08/2019
Descripción:
En el kernel de Linux anterior a versión 4.16.4, una vulnerabilidad de doble liberación en la función f_midi_set_alt en el archivo drivers/usb/gadget/function/f_midi.c en el controlador f_midi puede permitir a los atacantes causar una denegación de servicio o posiblemente tener otro impacto no especificado.
Vulnerabilidad en ZenTao (CVE-2019-14731)
Gravedad:
BajaBaja
Publication date: 06/08/2019
Last modified:
15/08/2019
Descripción:
Se detectó un problema en ZenTao versión 11.5.1. Se presenta una vulnerabilidad de tipo XSS (almacenado) que conlleva a la captura de cookies de otras personas por medio del Cuadro de Texto Enriquecido.
Vulnerabilidad en productos Appleproductos Apple (CVE-2018-4183)
Gravedad:
AltaAlta
Publication date: 11/01/2019
Last modified:
02/10/2019
Descripción:
En macOS High Sierra en versiones anteriores a la 10.13.5, se abordó un problema de acceso con restricciones adicionales del sandbox.
Vulnerabilidad en productos Apple (CVE-2018-4182)
Gravedad:
AltaAlta
Publication date: 11/01/2019
Last modified:
02/10/2019
Descripción:
En macOS High Sierra en versiones anteriores a la 10.13.5, se abordó un problema de acceso con restricciones adicionales del sandbox en CUPS.
Vulnerabilidad en productos Apple (CVE-2018-4181)
Gravedad:
MediaMedia
Publication date: 11/01/2019
Last modified:
02/10/2019
Descripción:
En macOS High Sierra en versiones anteriores a la 10.13.5, existía un problema en CUPS. Este problema se abordó mediante la mejora de las restricciones de acceso.
Vulnerabilidad en productos Apple (CVE-2018-4180)
Gravedad:
MediaMedia
Publication date: 11/01/2019
Last modified:
02/10/2019
Descripción:
En macOS High Sierra en versiones anteriores a la 10.13.5, existía un problema en CUPS. Este problema se abordó mediante la mejora de las restricciones de acceso.
Vulnerabilidad en polkit (CVE-2018-1116)
Gravedad:
BajaBaja
Publication date: 10/07/2018
Last modified:
05/05/2020
Descripción:
Se ha descubierto un problema en versiones anteriores a la 0.116 de polkit. La implementación de la función polkit_backend_interactive_authority_check_authorization en polkitd permite probar la autenticación y desencadenar la autenticación de procesos no relacionados propiedad de otros usuarios. Esto podría resultar en una denegación de servicio (DoS) local y una divulgación de información.
Vulnerabilidad en Apache httpd (CVE-2017-9788)
Gravedad:
MediaMedia
Publication date: 13/07/2017
Last modified:
15/08/2019
Descripción:
En Apache httpd, en versiones anteriores a la 2.2.34 y en versiones 2.4.x anteriores a la 2.4.27, el valor placeholder en cabeceras [Proxy-]Authorization del tipo 'Digest' no se inicializó o reinició antes de o entre las asignaciones sucesivas key=value por mod_auth_digest. Proporcionar una clave inicial sin asignación "=" podría reflejar el valor obsoleto de la memoria agrupada no inicializada utilizada por la petición anterior. Esto podría dar lugar al filtrado de información potencialmente confidencial y, en otros casos, a un fallo de segmentación que daría como resultado una denegación de servicio (DoS)
Vulnerabilidad en el módulo mod_proxy en Apache HTTP Server (CVE-2014-0117)
Gravedad:
MediaMedia
Publication date: 20/07/2014
Last modified:
15/08/2019
Descripción:
El módulo mod_proxy en Apache HTTP Server 2.4.x anterior a 2.4.10, cuando un proxy inverso está habilitado, permite a atacantes remotos causar una denegación de servicio (caída del proceso hijo) a través de una cabecera de conexión HTTP manipulada.
Vulnerabilidad en Vulnerabilidad CRLF en el módulo mod_negotiation de Apache HTTP Server (CVE-2008-0456)
Gravedad:
BajaBaja
Publication date: 24/01/2008
Last modified:
15/08/2019
Descripción:
Vulnerabilidad de inyección CRLF (se refiere a CR (retorno de carro) y LF (salto de línea)) en el módulo mod_negotiation de Apache HTTP Server 2.2.6 y anteriores en las series 2.2.x, 2.0.61 y anteriores en las series 2.0.x, y 1.3.39 y anteriores en las series 1.3.x permite a usuarios remotos autenticados inyectar cabeceras HTTP y llevar a cabo ataques de ruptura de respuestas HTTP subiendo un fichero con un nombre multi-línea que contiene secuencias de cabeceras HTTP y una extensión de fichero, lo cual conduce a la inyección en respuestas HTTP (1) "406 Not Acceptable" o (2) "300 Multiple Choices" al omitir la extensión en una petición al fichero.