Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en ABUS Secvest (CVE-2019-14261)
Gravedad:
MediaMedia
Publication date: 03/09/2019
Last modified:
05/09/2019
Descripción:
Se ha descubierto un fallo en los dispositivos ABUS Secvest FUAA50000 versión 3.01.01. Debido a una implementación insuficiente de la detección de interferencias, un atacante puede suprimir correctamente los mensajes de RF recibidos enviados entre componentes periféricos inalámbricos, por ejemplo, detectores inalámbricos o controles remotos, y la central de alarmas ABUS Secvest. Un atacante puede realizar un ataque de "interferencia reactiva". El bloqueo reactivo simplemente detecta el inicio de un mensaje de RF enviado por un componente del sistema de alarma inalámbrico ABUS Secvest, por ejemplo, un detector de movimiento inalámbrico (FUBW50000) o un control remoto (FUBE50014 o FUBE50015), y lo superpone con datos aleatorios antes del finaliza el mensaje RF original. De este modo, el receptor (central de alarma) no puede decodificar adecuadamente la señal transmitida original. Esto permite que un atacante suprima mensajes RF recibidos correctamente del sistema de alarma inalámbrico de una manera no autorizada, por ejemplo, mensajes de estado enviados por un detector que indica una intrusión.
Vulnerabilidad en Samba (CVE-2019-10197)
Gravedad:
MediaMedia
Publication date: 03/09/2019
Last modified:
18/08/2020
Descripción:
Se ha encontrado un error en Samba en las versiones 4.9.x hasta 4.9.13, samba versiones 4.10.x hasta 4.10.8 y samba versiones 4.11.x hasta 4.11.0rc3, cuando ciertos parámetros se establecieron en el archivo de configuración de samba. Un atacante no autenticado podría usar este defecto para escapar del directorio compartido y acceder al contenido de los directorios fuera del recurso compartido.
Vulnerabilidad en el backend POWER9 en GNU Compiler Collection (GCC) (CVE-2019-15847)
Gravedad:
MediaMedia
Publication date: 02/09/2019
Last modified:
17/09/2020
Descripción:
El backend POWER9 en GNU Compiler Collection (GCC) en versiones anteriores a la 10 podría optimizar múltiples llamadas de __builtin_darn intrínsecas en una sola llamada, reduciendo así la entropía del generador de números aleatorios. Esto ocurrió porque no se especificó una operación volátil. Por ejemplo, dentro de una sola ejecución de un programa, la salida de cada llamada __builtin_darn() puede ser la misma.
Vulnerabilidad en MuleSoft Mule Runtime y MuleSoft API Gateway (CVE-2019-15630)
Gravedad:
MediaMedia
Publication date: 30/08/2019
Last modified:
05/09/2019
Descripción:
Directory Traversal en APIkit, http connector y OAuth2 Provider components en MuleSoft Mule Runtime versión 3.2.0 y versiones anteriores lanzadas antes del 1 de agosto de 2019, MuleSoft Mule Runtime versión 4.1.0 y versiones anteriores lanzadas antes del 1 de agosto de 2019, y todas las versiones de MuleSoft API Gateway lanzado antes del 1 de agosto de 2019 permiten a los atacantes remotos leer los archivos accesibles para el proceso de Mule.
Vulnerabilidad en el tomacorriente inteligente Eques elf y la aplicación móvil. (CVE-2019-15745)
Gravedad:
BajaBaja
Publication date: 29/08/2019
Last modified:
05/09/2019
Descripción:
El tomacorriente inteligente Eques elf y la aplicación móvil utilizan una clave embebida AES de 256 bits para cifrar los comandos y las respuestas entre el dispositivo y la aplicación. La comunicación se realiza por medio del puerto UDP 27431. Un atacante sobre la red local puede usar la misma clave para encriptar y enviar comandos para detectar todos los toma corrientes inteligentes en una red, tomar el control de un dispositivo y realizar acciones como encenderlo y apagarlo.