Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el comando de bloque de estadísticas "connections" de Memcached en Couchbase Server (CVE-2019-11465)
Gravedad:
MediaMedia
Publication date: 10/09/2019
Last modified:
13/09/2019
Descripción:
Se detectó un problema en Couchbase Server versiones 5.5.x hasta 5.5.3 y versión 6.0.0. El comando de bloque de estadísticas "connections" de Memcached emite un nombre de usuario no redactado. La información del sistema enviada a Couchbase como parte de un reporte de bug incluía los nombres de usuario para todos usuarios que actualmente inician sesión en el sistema, incluso si el registro fue redactado para privacidad. Esto se ha solucionado (en las versiones 5.5.4 y 6.0.1) para que los nombres de usuario sean etiquetados apropiadamente en los registros y sean sacados del hash cuando los registros son redactados.
Vulnerabilidad en Supervisor (CVE-2019-12105)
Gravedad:
MediaMedia
Publication date: 10/09/2019
Last modified:
17/09/2019
Descripción:
** EN DISPUTA ** En Supervisor hasta la versión 4.0.2, un usuario no autenticado puede leer archivos de registro o reiniciar un servicio. Nota: El responsable de mantenimiento respondió que el componente afectado, inet_http_server, no está habilitado de manera predeterminada, pero si el usuario lo habilita y no establece una contraseña, Supervisor registra un mensaje de advertencia. El responsable de mantenimiento indicó que la capacidad de ejecutar un servidor abierto no se eliminará, pero se agregó una advertencia adicional a la documentación.
Vulnerabilidad en Prototype Pollution (CVE-2019-10747)
Gravedad:
AltaAlta
Publication date: 23/08/2019
Last modified:
29/10/2019
Descripción:
set-value es vulnerable a Prototype Pollution en versiones anteriores a 2.0.1 y la versión 3.0.0. La función mixin-deep podría ser engañada para agregar o modificar propiedades de Object.prototype usando cualquiera de las cargas útiles de constructor, prototipo y _proto_ payloads.
Vulnerabilidad en Ubiquiti UCRM (CVE-2017-0912)
Gravedad:
BajaBaja
Publication date: 03/07/2018
Last modified:
13/09/2019
Descripción:
Ubiquiti UCRM desde la versión 2.5.0 a la 2.7.7 es vulnerable a Cross-Site Scripting (XSS) persistente. Debido a la falta de saneamiento, es posible inyectar código HTML arbitrario manipulando el nombre de archivo subido. La explotación exitosa de esta vulnerabilidad requiere credenciales válidas para una cuenta con acceso "Edit" a "Scheduling".