Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Bitcoin Core (CVE-2019-15947)
Gravedad:
MediaMedia
Publication date: 05/09/2019
Last modified:
19/11/2019
Descripción:
En Bitcoin Core versión 0.18.0, bitcoin-qt almacena los datos de wallet.dat sin cifrar en la memoria. Ante un bloqueo, puede volcar un archivo core. Si un usuario gestiona de manera incorrecta un archivo core, un atacante puede reconstruir el archivo wallet.dat del usuario, incluidas sus claves privadas, mediante un comando grep "6231 0500".
Vulnerabilidad en el proceso TMM en un servidor virtual de BIG-IP (CVE-2019-6643)
Gravedad:
MediaMedia
Publication date: 04/09/2019
Last modified:
09/10/2019
Descripción:
En las versiones 14.1.0 hasta 14.1.0.5, 14.0.0 hasta 14.0.0.4, 13.0.0 hasta 13.1.2, 12.1.0 hasta 12.1.4.1 y 11.5.2 hasta 11.6.4, un atacante envía peticiones DHCPv6 específicamente diseñadas por medio de un servidor virtual de BIG-IP configurado con un perfil DHCPv6 que puede ser capaz de causar que el proceso TMM produzca un archivo core.
Vulnerabilidad en el proceso nodejs de depuración en BIG-IP (CVE-2019-6644)
Gravedad:
MediaMedia
Publication date: 04/09/2019
Last modified:
09/09/2019
Descripción:
Similar al problema identificado en el CVE-2018-12120, en las versiones 14.1.0 hasta 14.1.0.5, 14.0.0 hasta 14.0.0.4, 13.0.0 hasta 13.1.2 y 12.1.0 hasta 12.1.4, BIG-IP enlazará un proceso nodejs de depuración a todas las interfaces cuando se invoca. Esto puede exponer el proceso a usuarios no autorizados si el plugin es dejado en modo de depuración y el puerto está accesible.
Vulnerabilidad en la interfaz de administración en el MCPD en BIG-IP (CVE-2019-6647)
Gravedad:
MediaMedia
Publication date: 04/09/2019
Last modified:
09/09/2019
Descripción:
En BIG-IP versiones 14.1.0 hasta 14.1.0.5, 14.0.0 hasta 14.0.0.4, 13.0.0 hasta 13.1.2, 12.1.0 hasta 12.1.4.1, 11.5.2 hasta 11.6.4, cuando se procesan intentos de autenticación por parte usuarios del plano de control del MCPD se pierde una pequeña cantidad de memoria. En condiciones poco comunes, los atacantes con acceso a la interfaz de administración podrían agotar la memoria del sistema.
Vulnerabilidad en el tráfico FTP en BIG-IP. (CVE-2019-6645)
Gravedad:
MediaMedia
Publication date: 04/09/2019
Last modified:
09/10/2019
Descripción:
En BIG-IP versiones 14.0.0 hasta 14.1.0.5, 13.0.0 hasta 13.1.2, 12.1.0 hasta 12.1.4.1, 11.5.2 hasta 11.6.4, el tráfico FTP que pasa por medio de un servidor virtual tanto con un perfil FTP asociado activo como con el reflejo de conexión configurado, puede conllevar a un bloqueo de TMM causando que la acción HA sea tomada.
Vulnerabilidad en la suite RSN AuthKey (CVE-2019-12588)
Gravedad:
BajaBaja
Publication date: 04/09/2019
Last modified:
09/09/2019
Descripción:
La implementación del cliente 802.11 mac en Espressif ESP8266_NONOS_SDK versiones 2.2.0 hasta 3.1.0, no comprueba correctamente el conteo de lista de la suite RSN AuthKey en tramas beacon, respuestas de sonda y respuestas de asociación, lo que permite a atacantes dentro de un radio de alcance causar una denegación de servicio (bloqueo ) por medio de un mensaje diseñado.
Vulnerabilidad en Rust (CVE-2019-15550)
Gravedad:
MediaMedia
Publication date: 26/08/2019
Last modified:
09/09/2019
Descripción:
Se descubrió un problema en el paquete simd-json antes de 0.1.15 para Rust. Hay una lectura fuera de los límites y un cruce incorrecto de un límite de página.
Vulnerabilidad en Rexical en Nokogiri. (CVE-2019-5477)
Gravedad:
AltaAlta
Publication date: 16/08/2019
Last modified:
26/09/2019
Descripción:
Una vulnerabilidad de inyección de comandos en Nokogiri versión v1.10.3 y anteriores, permite que los comandos sean ejecutados en un subproceso por medio del método "Kernel.open" de Ruby. Los procesos son vulnerables solo si el método no documentado "Nokogiri::CSS::Tokenizer#load_file" está siendo llamado con una entrada de usuario no segura como el nombre de archivo. Esta vulnerabilidad aparece en un código generado por la gema Rexical versión v1.0.6 y anteriores. Nokogiri es usada por Rexical para generar código de escáner léxico para analizar consultas CSS. La vulnerabilidad subyacente fue abordada en Rexical versión v1.0.7 y Nokogiri actualizada a esta versión de Rexical en Nokogiri versión v1.10.4.
Vulnerabilidad en El complemento liveforms (CVE-2015-9301)
Gravedad:
AltaAlta
Publication date: 13/08/2019
Last modified:
09/09/2019
Descripción:
El complemento liveforms anterior a 3.2.0 para WordPress tiene inyección SQL.
Vulnerabilidad en Oracle Solaris de Oracle Sun Systems Products Suite (CVE-2019-2832)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
09/09/2019
Descripción:
Vulnerabilidad en el componente Oracle Solaris de Oracle Sun Systems Products Suite (subcomponente: Common Desktop Environment). La versión compatible que se ve afectada es la 10. La vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios inicie sesión en la infraestructura donde es ejecutado Oracle Solaris para comprometer a Oracle Solaris. Mientras la vulnerabilidad se encuentra en Oracle Solaris, los ataques pueden afectar significativamente productos adicionales. Los ataques con éxito a esta vulnerabilidad pueden resultar en la toma de control de Oracle Solaris. CVSS 3.0 Base Score 8.8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en GitLab Community y Enterprise Edition (CVE-2019-7353)
Gravedad:
MediaMedia
Publication date: 17/05/2019
Last modified:
09/09/2019
Descripción:
Se descubrió un problema de control de acceso incorrecto en GitLab Community y Enterprise Edition 11.7.x antes de 11.7.4. Los lanzamientos de GitLab eran vulnerables a un problema de autorización que permitía a los usuarios ver los temas confidenciales y fusionar títulos de solicitud de otros proyectos.
Vulnerabilidad en just-extend (CVE-2018-16489)
Gravedad:
AltaAlta
Publication date: 01/02/2019
Last modified:
09/10/2019
Descripción:
Se ha detectado una vulnerabilidad de contaminación de prototipo en just-extend, en versiones anteriores a la 4.0.0, que permite a los atacantes inyectar propiedades en Object.prototype mediante sus funciones.
Vulnerabilidad en gitolite (CVE-2012-4506)
Gravedad:
MediaMedia
Publication date: 22/10/2012
Last modified:
09/09/2019
Descripción:
Vulnerabilidad de salto de directorio en gitolite v3.x antes de v3.1, cuando repositorios wild card y un patrón que coincida con "../" está activado, permite a usuarios remotos autenticados crear repositorios arbitrarios y posiblemente realizar otras acciones a través de un .. (punto punto) en un nombre de repositorio.
Vulnerabilidad en Admin Defined Commands (ADC) en gitolite (CVE-2011-1572)
Gravedad:
MediaMedia
Publication date: 04/10/2011
Last modified:
09/09/2019
Descripción:
Vulnerabilidad de salto de directorio en la característica Admin Defined Commands (ADC) en gitolite antes de la versión v1.5.9.1, permite a atacantes remotos incluir y ejecutar comandos al utilizar caracteres .. (punto punto) en comandos admin-defined.