Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Nagios XI (CVE-2019-15949)
Gravedad:
AltaAlta
Publication date: 05/09/2019
Last modified:
10/03/2020
Descripción:
Nagios XI en versiones anteriores a la 5.6.6 permite la ejecución remota de comandos como root. La explotación requiere acceso al servidor como usuario nagios, o acceso como usuario administrador a través de la interfaz web. El script getprofile.sh, invocado al descargar un perfil del sistema (profile.php?cmd=download), se ejecuta como root mediante una entrada de sudo sin contraseña; el script ejecuta check_plugin, propiedad del usuario nagios. Un usuario que inició sesión en Nagios XI con permisos para modificar complementos, o el usuario de nagios en el servidor, puede modificar el ejecutable check_plugin e insertar comandos maliciosos para ejecutar como root.
Vulnerabilidad en el parámetro GET en la interfaz web en dispositivos DASAN Zhone ZNID GPON 2426A EU (CVE-2019-10677)
Gravedad:
MediaMedia
Publication date: 05/09/2019
Last modified:
09/09/2019
Descripción:
Múltiples problemas de tipo Cross-Site Scripting (XSS) en la interfaz web en dispositivos DASAN Zhone ZNID GPON 2426A EU versión S3.1.285, permiten a un atacante remoto ejecutar JavaScript arbitrario mediante la manipulación de un parámetro GET no saneado: /zhndnsdisplay.cmd (name), /wlsecrefresh.wl (wlWscCfgMethod, wl_wsc_reg).
Vulnerabilidad en BIG-IP y Enterprise Manager (CVE-2019-6646)
Gravedad:
MediaMedia
Publication date: 04/09/2019
Last modified:
04/09/2019
Descripción:
En BIG-IP versiones 11.5.2 hasta 11.6.4 y Enterprise Manager versión 3.1.1, los usuarios de REST con privilegios de invitado pueden escalar sus privilegios y ejecutar comandos con privilegios de administrador.