Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Plataformatec Devise (CVE-2019-16109)
Gravedad:
MediaMedia
Publication date: 08/09/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en Plataformatec Devise en versiones anteriores a la 4.7.1. Confirma las cuentas al recibir una solicitud con confirmation_token en blanco, si un registro de base de datos tiene un valor en blanco en la columna confirmation_token. (Sin embargo, no existe ningún escenario dentro de Devise en el que existan dichos registros de la base de datos).
Vulnerabilidad en Pivotal Container Services (PKS) (CVE-2019-11273)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
09/10/2019
Descripción:
Pivotal Container Services (PKS) versiones 1.3.x anteriores a 1.3.7, y versiones 1.4.x anteriores a 1.4.1, contienen un componente vulnerable que registra el nombre de usuario y la contraseña en la base de datos de facturación. Un usuario autenticado remoto con acceso a esos registros puede recuperar información no confidencial.
Vulnerabilidad en Citrix XenMobile Server (CVE-2018-18571)
Gravedad:
MediaMedia
Publication date: 05/06/2019
Last modified:
11/09/2019
Descripción:
Fue encontrada una vulnerabilidad de control de acceso incorrecto en Citrix XenMobile Server versión 10.8.0 anterior a Rolling Patch 6 y 10.9.0 anterior a Rolling Patch 3. Un atacante puede suplantar y tomar acciones en nombre de cualquier dispositivo inscrito en Mobile Application Management (MAM).
Vulnerabilidad en Teclib GLPI (CVE-2019-10233)
Gravedad:
MediaMedia
Publication date: 27/03/2019
Last modified:
24/08/2020
Descripción:
Teclib GLPI, en versiones anteriores a la 9.4.1.1, se ha visto afectado por un ataque de sincronización asociado a una cookie.
Vulnerabilidad en UML Designe (CVE-2018-1000837)
Gravedad:
AltaAlta
Publication date: 20/12/2018
Last modified:
11/09/2019
Descripción:
UML Designer, en versiones iguales o anteriores a la 8.0.0, contiene una vulnerabilidad de XEE (XML External Entity) en el analizador de XML para los plugins. Esto puede resultar en la divulgación de datos confidenciales, una denegación de servicio (DoS), Server-Side Request Forgery (SSRF) o el escaneo de puertos. Parece ser que este ataque puede ser explotado mediante un archivo plugins.xml malicioso.
Vulnerabilidad en Valine (CVE-2018-19289)
Gravedad:
MediaMedia
Publication date: 15/11/2018
Last modified:
24/08/2020
Descripción:
Se ha descubierto un problema en Valine v1.3.3. Permite la inyección HTML, que puede ser explotada para la ejecución de JavaScript mediante un elemento EMBED junto con un archivo .pdf.
Vulnerabilidad en Blueimp jQuery-File-Upload (CVE-2018-9206)
Gravedad:
AltaAlta
Publication date: 11/10/2018
Last modified:
11/09/2019
Descripción:
Vulnerabilidad de subida de archivos arbitrarios sin autenticar en Blueimp jQuery-File-Upload en versiones iguales o anteriores a la v9.22.0.
Vulnerabilidad en Couchbase Server (CVE-2018-15728)
Gravedad:
AltaAlta
Publication date: 24/08/2018
Last modified:
26/09/2019
Descripción:
Couchbase Server expuso el punto final '/ diag / eval' que por defecto está disponible en TCP / 8091 y / o TCP / 18091. Los usuarios autenticados que tienen asignada la función 'Administrador total' pueden enviar código arbitrario de Erlang al punto final 'diag / eval' de la API y el código se ejecutará posteriormente en el sistema operativo subyacente con privilegios del usuario que se utilizó para iniciar Couchbase. Afecta a la versión: 4.0.0, 4.1.2, 4.5.1, 5.0.0, 4.6.5, 5.0.1, 5.1.1, 5.5.0, 5.5.1. Versión de reparación: 6.0.0, 5.5.2
Vulnerabilidad en Marked 2 (CVE-2018-6806)
Gravedad:
MediaMedia
Publication date: 07/02/2018
Last modified:
11/09/2019
Descripción:
Marked 2 hasta la versión 2.5.11 permite que los atacantes remotos lean archivos arbitrarios mediante un documento HTML que desencadena una redirección a una URL x-marked://preview?text=. El valor del parámetro text puede incluir código JavaScript arbitrario. Por ejemplo, haciendo llamadas XMLHttpRequest.