Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en REDCap (CVE-2019-15127)
Gravedad:
BajaBaja
Publication date: 21/08/2019
Last modified:
23/08/2019
Descripción:
REDCap anterior a la versión 9.3.0 permite ataques XSS contra cuentas que no son de administrador en la página Herramienta de importación de datos a través de un archivo de importación de datos CSV.
Vulnerabilidad en WordPress (CVE-2017-18521)
Gravedad:
MediaMedia
Publication date: 21/08/2019
Last modified:
23/08/2019
Descripción:
El plugin democracy-poll anterior a la versión 5.4 para WordPress tiene CSRF a través de wp-admin / options-general.php? Page = democracia-poll & subpage = l10n.
Vulnerabilidad en WordPress (CVE-2017-18564)
Gravedad:
MediaMedia
Publication date: 21/08/2019
Last modified:
23/08/2019
Descripción:
El plugin sender anterior a la versión 1.2.1 para WordPress tiene múltiples problemas XSS.
Vulnerabilidad en WordPress (CVE-2017-18563)
Gravedad:
MediaMedia
Publication date: 21/08/2019
Last modified:
23/08/2019
Descripción:
El plugin rsvp anterior a la versión 2.3.8 para WordPress tiene XSS persistente a través del campo de nota en la pantalla de la lista de asistentes.
Vulnerabilidad en El plugin GoDaddy (CVE-2016-10903)
Gravedad:
MediaMedia
Publication date: 21/08/2019
Last modified:
23/08/2019
Descripción:
El plugin GoDaddy godaddy-email-marketing-sign-up-forms antes de 1.1.3 para WordPress tiene CSRF.
Vulnerabilidad en IBM Security Guardium Big Data Intelligence (CVE-2019-4338)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Security Guardium Big Data Intelligence 4.0 (SonarG) no restringe correctamente el tamaño o la cantidad de recursos solicitados o influenciados por un actor. Esta debilidad se puede utilizar para consumir más recursos de los previstos. ID de IBM X-Force: 161417.
Vulnerabilidad en IBM StoredIQ (CVE-2019-4167)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM StoredIQ 7.6.0 es vulnerable a la falsificación de solicitudes entre sitios, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que el sitio web confía. ID de IBM X-Force: 158700.
Vulnerabilidad en IBM Cloud Private (CVE-2019-4120)
Gravedad:
BajaBaja
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Cloud Private 3.1.1 y 3.1.2 son vulnerables a los scripts entre sitios. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, lo que altera la funcionalidad prevista que puede conducir a la divulgación de credenciales dentro de una sesión de confianza. ID de IBM X-Force: 158146.
Vulnerabilidad en IBM API Connect (CVE-2019-4437)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM API Connect 2018.1 a 2018.4.1.6 puede filtrar inadvertidamente detalles confidenciales sobre servidores internos y redes a través de API swagger. IBM X-force ID: 162947.
Vulnerabilidad en IBM Emptoris Spend Analysis (CVE-2019-4482)
Gravedad:
BajaBaja
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Emptoris Spend Analysis 10.1.0 a 10.1.3 es vulnerable a las secuencias de comandos entre sitios. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, lo que altera la funcionalidad prevista que puede conducir a la divulgación de credenciales dentro de una sesión de confianza. ID de IBM X-Force: 164066.
Vulnerabilidad en IBM Contract Management (CVE-2019-4481)
Gravedad:
AltaAlta
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Contract Management 10.1.0 a 10.1.3 e IBM Emptoris Spend Analysis 10.1.0 a 10.1.3 es vulnerable a la inyección SQL. Un atacante remoto podría enviar instrucciones SQL especialmente diseñadas, lo que podría permitir al atacante ver, agregar, modificar o eliminar información en la base de datos back-end. ID de IBM X-Forc
Vulnerabilidad en IBM API Connect (CVE-2019-4460)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
El portal para desarrolladores de IBM API Connect 5.0.0.0 a 5.0.8.6 podría permitir que un atacante remoto atraviese directorios en el sistema. Un atacante podría enviar una solicitud de URL especialmente diseñada que contenga secuencias de "punto de punto" (/.. /) para ver archivos arbitrarios en el sistema. ID de IBM X-Force: 163681.
Vulnerabilidad en IBM Business Automation Workflow (CVE-2019-4425)
Gravedad:
BajaBaja
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Business Automation Workflow 18.0.0.0, 18.0.0.1 y 18.0.0.2 podría permitir a un usuario obtener información altamente confidencial de otro usuario insertando enlaces en los que los usuarios desprevenidos harían clic. ID de IBM X-Force: 162771.
Vulnerabilidad en IBM Intelligent Operations Center (CVE-2019-4420)
Gravedad:
BajaBaja
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Intelligent Operations Center V5.1.0 a V5.2.0 podría revelar mensajes de error detallados, revelando información confidencial que podría ayudar en nuevos ataques contra el sistema. ID de IBM X-Force: 162738.
Vulnerabilidad en IBM Contract Management (CVE-2019-4483)
Gravedad:
AltaAlta
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Contract Management 10.1.0 a 10.1.3 e IBM Emptoris Spend Analysis 10.1.0 a 10.1.3 es vulnerable a la inyección SQL. Un atacante remoto podría enviar instrucciones SQL especialmente diseñadas, lo que podría permitir al atacante ver, agregar, modificar o eliminar información en la base de datos back-end. ID de IBM X-Force: 164067.
Vulnerabilidad en IBM Emptoris Sourcing (CVE-2019-4484)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Emptoris Sourcing 10.1.0 a 10.1.3, IBM Contract Management 10.1.0 a 10.1.3 e IBM Emptoris Spend Analysis 10.1.0 a 10.1.3 genera un mensaje de error que incluye información confidencial que podría utilizarse en otros ataques contra el Sistema. ID de IBM X-Force: 164068.
Vulnerabilidad en IBM Intelligent Operations Center (CVE-2019-4419)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Intelligent Operations Center V5.1.0 a V5.2.0 es vulnerable a un ataque de inyección de entidadexterna XML (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. ID de IBM X-Force: 162737.
Vulnerabilidad en IBM API Connect (CVE-2019-4402)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
El portal para desarrolladores de IBM API Connect 2018.1 a 2018.4.1.6 podría permitir que un usuario no autorizado cause una denegación de servicio a través de una API desprotegida. ID de IBM X-Force: 162263.
Vulnerabilidad en IBM Security Guardium Big Data Intelligence (CVE-2019-4310)
Gravedad:
MediaMedia
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM Security Guardium Big Data Intelligence 4.0 (SonarG) utiliza una configuración de bloqueo de cuenta inadecuada que podría permitir a un atacante remoto forzar credenciales de cuenta. ID de IBM X-Force: 161036.
Vulnerabilidad en IBM DataPower Gateway (CVE-2019-4294)
Gravedad:
AltaAlta
Publication date: 20/08/2019
Last modified:
09/10/2019
Descripción:
IBM DataPower Gateway 2018.4.1.0 a 2018.4.1.6, 7.6.0.0 a 7.6.0.15 e IBM MQ Appliance 8.0.0.0 a 8.0.0.12, 9.1.0.0 a 9.1.0.2 y 9.1.1 a 9.1.2 podría permitir que un atacante local ejecute comandos arbitrarios en el sistema, vulnerabilidad de inyección de comandos. ID de IBM X-Force: 16188.
Vulnerabilidad en IBM Informix Dynamic Server Enterprise Edition (CVE-2018-1631)
Gravedad:
AltaAlta
Publication date: 20/08/2019
Last modified:
03/09/2019
Descripción:
IBM Informix Dynamic Server Enterprise Edition 12.1 podría permitir que un usuario local que haya iniciado sesión con el usuario administrador de base de datos obtenga privilegios raíz a través de una vulnerabilidad de vínculo simbólico en oninit mongohash. ID de IBM X-Force: 144431.
Vulnerabilidad en IBM Informix Dynamic Server Enterprise Edition (CVE-2018-1630)
Gravedad:
AltaAlta
Publication date: 20/08/2019
Last modified:
03/09/2019
Descripción:
IBM Informix Dynamic Server Enterprise Edition 12.1 podría permitir que un usuario local que haya iniciado sesión con el usuario administrador de base de datos obtenga privilegios de root a través de una vulnerabilidad de enlace simbólica en modo. ID de IBM X-Force: 144430.
Vulnerabilidad en el subsistema sound en el kernel de Linux (CVE-2019-15214)
Gravedad:
MediaMedia
Publication date: 19/08/2019
Last modified:
06/03/2020
Descripción:
Se descubrió un problema en el kernel de Linux versiones anteriores a 5.0.10. Se presenta un uso de memoria previamente liberada en el subsistema sound porque la desconexión de la tarjeta hace que ciertas estructuras de datos se eliminen demasiado pronto. Esto está relacionado con los archivos sound/core/init.c y sound/core/info.c.
Vulnerabilidad en El archivo stb_image.h en la función stbi__tga_load en stb image loader (CVE-2019-15058)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
06/09/2019
Descripción:
El archivo stb_image.h (también se conoce como stb image loader) versión 2.23, tiene una lectura excesiva de búfer en la región heap de la memoria en la función stbi__tga_load, conllevando a la divulgación de información o la denegación de servicio.
Vulnerabilidad en ZIP en el plugin svg-vector-icon-plugin en WordPress. (CVE-2019-14216)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
23/08/2019
Descripción:
Se descubrió un problema en el plugin svg-vector-icon-plugin (también se conoce como WP SVG Icons) versiones hasta 3.2.1 para WordPress. Un ataque de tipo CSRF conlleva a la carga de un archivo ZIP que contiene un archivo .php.
Vulnerabilidad en el plugin responsive-menu para WordPress (CVE-2017-18513)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
20/08/2019
Descripción:
El plugin responsive-menu versiones anteriores a 3.1.4 para WordPress, no presenta un mecanismo de protección CSRF para la interfaz de la administración.
Vulnerabilidad en el plugin newsletter-by-supsystic para WordPress (CVE-2017-18512)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
20/08/2019
Descripción:
El plugin newsletter-by-supsystic versiones anteriores a 1.1.8 para WordPress, presenta una vulnerabilidad de tipo CSRF.
Vulnerabilidad en Kernel de SAP (ABAP Debugger) (CVE-2019-0349)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
10/02/2020
Descripción:
Kernel de SAP (ABAP Debugger), versiones KRNL32NUC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL32UC 7.21, 7.21EXT, 7.22, 7.22EXT, KRNL64NUC 7.21, 7.21EXT, 7.22, 7.22EXT, 7.49, KRNL64UC 7.21, 7.21EXT , 7.22EXT, 7.49, 7.73, KERNEL 7.21, 7.49, 7.53, 7.73, 7.75, 7.76, 7.77, le permite al usuario ejecutar "GO to statement" sin poseer la autorización S_DEVELOP DEBUG 02, lo que resulta en la falta de verificación de autorización
Vulnerabilidad en SAP NetWeaver UDDI Server (Services Registry) (CVE-2019-0351)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
23/08/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en SAP NetWeaver UDDI Server (Services Registry), versiones 7.10, 7.20, 7.30, 7.31, 7.40, 7.50. Debido a esto, un atacante puede explotar el Services Registry potencialmente permitiéndoles tomar el control completo del producto, incluyendo visualizar, cambiar o eliminar datos mediante la inyección de código en la memoria de trabajo que posteriormente es ejecutada por la aplicación. También puede ser usada para causar un fallo general en el producto, provocando que el producto finalice.
Vulnerabilidad en SAP Business Objects Business Intelligence Platform (Central Management Console) (CVE-2019-0346)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
23/08/2019
Descripción:
Error de comunicación no cifrada en SAP Business Objects Business Intelligence Platform (Central Management Console), versión 4.2, conlleva a la divulgación de la lista de nombres de usuario y roles importados desde los sistemas SAP NetWeaver BI, resultando en una Divulgación de Información.
Vulnerabilidad en SAP NetWeaver Application Server for Java (Administrator System Overview) (CVE-2019-0345)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
23/08/2019
Descripción:
Un atacante remoto no autenticado puede abusar de un servicio web en SAP NetWeaver Application Server for Java (Administrator System Overview), versiones 7.30, 7.31, 7.40, 7.50, enviando un archivo XML especialmente diseñado y engañando al servidor de aplicaciones al filtrar credenciales de autenticación para su propia consola de SAP Management, resultando en un ataque de tipo Server-Side Request Forgery.
Vulnerabilidad en SAP Commerce Cloud (Mediaconversion Extension) (CVE-2019-0343)
Gravedad:
MediaMedia
Publication date: 14/08/2019
Last modified:
23/08/2019
Descripción:
SAP Commerce Cloud (Mediaconversion Extension), versiones 6.4, 6.5, 6.6, 6.7, 1808, 1811, 1905, permite a un usuario autenticado de Backoffice/HMC inyectar código que puede ser ejecutado por la aplicación, conllevando a la Inyección de Código. De este modo, un atacante podría controlar el comportamiento de la aplicación.
Vulnerabilidad en PDFResurrect (CVE-2019-14934)
Gravedad:
MediaMedia
Publication date: 11/08/2019
Last modified:
06/09/2019
Descripción:
Se detectó un problema en PDFResurrect anterior a versión 0.18. La función pdf_load_pages_kids en el archivo pdf.c no comprueba un cierto valor de tamaño, lo que conlleva a un error de malloc y a una escritura fuera de límites.
Vulnerabilidad en Apache Struts (CVE-2016-0785)
Gravedad:
AltaAlta
Publication date: 12/04/2016
Last modified:
23/08/2019
Descripción:
Apache Struts 2.x en versiones anteriores a 2.3.28 permite a atacantes remotos ejecutar código arbitrario a través de una secuencia "%{}" en un atributo de etiqueta, también conocido como evaluación OGNL doble forzada.