Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el directorio de Imágenes en la funcionalidad "delete for" en Telegram (CVE-2019-16248)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
La funcionalidad "delete for" en Telegram versiones anteriores a 5.11 en Android no elimina los archivos multimedia compartidos desde el directorio de Imágenes de Telegram. En otras palabras, existe una indicación de la IU potencialmente engañosa de que un remitente puede eliminar la copia de un destinatario de una imagen enviada previamente (análoga a la funcionalidad compatible en la que un remitente puede suprimir la copia de un destinatario de un mensaje enviado previamente).
Vulnerabilidad en el archivo core/hal/intrin_sse.hpp en la función hal_baseline::v_load en computeSSDMeanNorm en OpenCV (CVE-2019-16249)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
03/12/2019
Descripción:
OpenCV versión 4.1.1, presenta una lectura fuera de límites en la función hal_baseline::v_load en el archivo core/hal/intrin_sse.hpp cuando es llamada desde computeSSDMeanNorm en el archivo modules/video/src/dis_flow.cpp.
Vulnerabilidad en el archivo incluye/wizard/wizard.php en el plugin Ocean Extra para WordPress (CVE-2019-16250)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
El archivo incluye/wizard/wizard.php en el plugin Ocean Extra versiones hasta 1.5.8 para WordPress, permite cambios de opciones no autenticados e inyección de una secuencia de tokens de tipo Cascading Style Sheets (CSS).
Vulnerabilidad en Windows Remote Desktop Client (CVE-2019-0787)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Windows Remote Desktop Client cuando un usuario se conecta a un servidor malicioso, también se conoce como "Remote Desktop Client Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-0788, CVE-2019-1290, CVE-2019-1291.
Vulnerabilidad en Windows Remote Desktop Client (CVE-2019-0788)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Windows Remote Desktop Client cuando un usuario se conecta a un servidor malicioso, también se conoce como "Remote Desktop Client Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-0787, CVE-2019-1290, CVE-2019-1291.
Vulnerabilidad en un servidor host en sistema operativo invitado en Microsoft Hyper-V (CVE-2019-0928)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de denegación de servicio cuando Microsoft Hyper-V en un servidor host no puede comprobar apropiadamente la entrada de un usuario privilegiado sobre un sistema operativo invitado, también se conoce como "Windows Hyper-V Denial of Service Vulnerability".
Vulnerabilidad en el motor de scripting Chakra en Microsoft Edge (CVE-2019-1138)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting Chakra maneja los objetos en la memoria en Microsoft Edge, también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Este ID de CVE es diferente de CVE-2019-1217, CVE-2019-1237, CVE-2019-1298, CVE-2019-1300.
Vulnerabilidad en el .NET Framework Common Language Runtime (CLR) (CVE-2019-1142)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el .NET Framework Common Language Runtime (CLR), permite la creación de archivos en ubicaciones arbitrarias, también se conoce como ".NET Framework Elevation of Privilege Vulnerability".
Vulnerabilidad en el motor VBScript de Microsoft Internet Explorer (CVE-2019-1208)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor VBScript maneja los objetos en la memoria, también se conoce como "VBScript Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1236.
Vulnerabilidad en Lync 2013 de Microsoft (CVE-2019-1209)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información en Lync 2013, también se conoce como "Lync 2013 Information Disclosure Vulnerability".
Vulnerabilidad en el controlador de Windows Common Log File System (CLFS) (CVE-2019-1214)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el controlador de Windows Common Log File System (CLFS) maneja inapropiadamente los objetos en la memoria, también se conoce como "Windows Common Log File System Driver Elevation of Privilege Vulnerability".
Vulnerabilidad en la biblioteca ws2ifsl.sys de Winsock en Microsoft Windows (CVE-2019-1215)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en la manera en que la biblioteca ws2ifsl.sys (Winsock) maneja los objetos en la memoria, también se conoce como "Windows Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1253, CVE-2019-1278, CVE-2019-1303.
Vulnerabilidad en DirectX en Microsoft Windows (CVE-2019-1216)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando DirectX maneja inapropiadamente los objetos en la memoria, también se conoce como "DirectX Information Disclosure Vulnerability".
Vulnerabilidad en el motor de scripting Chakra en Microsoft Edge (CVE-2019-1217)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting Chakra maneja los objetos en la memoria en Microsoft Edge, también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Este ID de CVE es diferente de CVE-2019-1138, CVE-2019-1237, CVE-2019-1298, CVE-2019-1300.
Vulnerabilidad en Windows Transaction Manager en Microsoft Windows (CVE-2019-1219)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el Windows Transaction Manager maneja inapropiadamente los objetos en la memoria, también se conoce como "Windows Transaction Manager Information Disclosure Vulnerability".
Vulnerabilidad en las peticiones de URL en Navegadores de Microsoft (CVE-2019-1220)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad cuando Navegadores de Microsoft no pueden comprobar la Zona de Seguridad correcta de las peticiones de URL específicas, también se conoce como "Microsoft Browser Security Feature Bypass Vulnerability".
Vulnerabilidad en el motor de scripting en Microsoft Internet Explorer (CVE-2019-1221)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting maneja los objetos en la memoria en Internet Explorer, también se conoce como "Scripting Engine Memory Corruption Vulnerability".
Vulnerabilidad en el certificado SSL/TLS del servidor en Microsoft Rome SDK (CVE-2019-1231)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información en la manera en que Rome SDK maneja la comprobación del certificado SSL/TLS del servidor, también se conoce como "Rome SDK Information Disclosure Vulnerability".
Vulnerabilidad en ciertas operaciones de archivo en Diagnostics Hub Standard Collector Service en Microsoft Windows (CVE-2019-1232)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
14/09/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Diagnostics Hub Standard Collector Service suplanta inapropiadamente ciertas operaciones de archivo, también se conoce como "Diagnostics Hub Standard Collector Service Elevation of Privilege Vulnerability".
Vulnerabilidad en el software Microsoft Exchange Server (CVE-2019-1233)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de denegación de servicio en el software Microsoft Exchange Server, cuando el software no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Microsoft Exchange Denial of Service Vulnerability".
Vulnerabilidad en servidor de Windows Text Service Framework (TSF) (CVE-2019-1235)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Windows Text Service Framework (TSF) cuando el proceso del servidor de TSF no comprueba la fuente de entradas o comandos que recibe, también se conoce como "Windows Text Service Framework Elevation of Privilege Vulnerability".
Vulnerabilidad en el motor VBScript de Microsoft Internet Explorer (CVE-2019-1236)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor VBScript maneja los objetos en la memoria, también se conoce como "VBScript Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1208.
Vulnerabilidad en el motor de scripting Chakra en Microsoft Edge (CVE-2019-1237)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting Chakra maneja los objetos en la memoria en Microsoft Edge, también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Este ID de CVE es diferente de CVE-2019-1138, CVE-2019-1217, CVE-2019-1298, CVE-2019-1300.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1240)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1241, CVE-2019-1242, CVE-2019-1243, CVE-2019-1246, CVE-2019-1247, CVE-2019-1248, CVE-2019-1249, CVE- 2019-1250.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1241)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1242, CVE-2019-1243, CVE-2019-1246, CVE-2019-1247, CVE-2019-1248, CVE-2019-1249, CVE- 2019-1250.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1242)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1241, CVE-2019-1243, CVE-2019-1246, CVE-2019-1247, CVE-2019-1248, CVE-2019-1249, CVE- 2019-1250.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1243)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1241, CVE-2019-1242, CVE-2019-1246, CVE-2019-1247, CVE-2019-1248, CVE-2019-1249, CVE- 2019-1250.
Vulnerabilidad en DirectWrite en Microsoft Windows (CVE-2019-1244)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando DirectWrite divulga inapropiadamente el contenido de su memoria, también se conoce como "DirectWrite Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2019-1245, CVE-2019-1251.
Vulnerabilidad en DirectWrite en Microsoft Windows (CVE-2019-1245)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando DirectWrite divulga inapropiadamente el contenido de su memoria, también se conoce como "DirectWrite Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2019-1244, CVE-2019-1251.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1246)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1241, CVE-2019-1242, CVE-2019-1243, CVE-2019-1247, CVE-2019-1248, CVE-2019-1249, CVE- 2019-1250.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1247)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1241, CVE-2019-1242, CVE-2019-1243, CVE-2019-1246, CVE-2019-1248, CVE-2019-1249, CVE- 2019-1250.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1248)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1241, CVE-2019-1242, CVE-2019-1243, CVE-2019-1246, CVE-2019-1247, CVE-2019-1249, CVE- 2019-1250.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1249)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1241, CVE-2019-1242, CVE-2019-1243, CVE-2019-1246, CVE-2019-1247, CVE-2019-1248, CVE- 2019-1250.
Vulnerabilidad en el Windows Jet Database Engine en Microsoft Windows (CVE-2019-1250)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente los objetos en la memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1240, CVE-2019-1241, CVE-2019-1242, CVE-2019-1243, CVE-2019-1246, CVE-2019-1247, CVE-2019-1248, CVE- 2019-1249.
Vulnerabilidad en DirectWrite en Microsoft Windows (CVE-2019-1251)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando DirectWrite divulga inapropiadamente el contenido de su memoria, también se conoce como "DirectWrite Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2019-1244, CVE-2019-1245.
Vulnerabilidad en el componente GDI de Microsoft Windows (CVE-2019-1252)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el componente GDI de Windows revela inapropiadamente el contenido de su memoria, también se conoce como 'Vulnerabilidad de divulgación de información de Windows GDI'. Este ID de CVE es diferente de CVE-2019-1286.
Vulnerabilidad en las uniones en Windows AppX Deployment Server en Microsoft Windows (CVE-2019-1253)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Windows AppX Deployment Server maneja inapropiadamente las uniones. Para explotar esta vulnerabilidad, un atacante primero tendría que alcanzar la ejecución en el sistema víctima, también se conoce como "Windows Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1215, CVE-2019-1278, CVE-2019-1303.
Vulnerabilidad en la memoria no inicializada en disco en Windows Hyper-V (CVE-2019-1254)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando Windows Hyper-V escribe en memoria no inicializada en disco, también se conoce como "Windows Hyper-V Information Disclosure Vulnerability".
Vulnerabilidad en el componente Win32k en Microsoft Windows (CVE-2019-1256)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Win32k Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1285.
Vulnerabilidad en el marcado de fuente de un paquete de aplicación en Microsoft SharePoint (CVE-2019-1257)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft SharePoint cuando el software no puede comprobar el marcado de fuente de un paquete de aplicación, también se conoce como "Microsoft SharePoint Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1295, CVE-2019-1296.
Vulnerabilidad en las peticiones para autorizar aplicaciones en Microsoft SharePoint (CVE-2019-1259)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de suplantación de identidad en Microsoft SharePoint cuando maneja inapropiadamente peticiones para autorizar aplicaciones, resultando en un problema de tipo cross-site request forgery (CSRF). Para explotar esta vulnerabilidad, un atacante necesitaría crear una página específicamente diseñada para causar una petición de tipo cross-site, también se conoce como "Microsoft SharePoint Spoofing Vulnerability". Este ID de CVE es diferente de CVE-2019-1261.
Vulnerabilidad en Microsoft SharePoint (CVE-2019-1260)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Microsoft SharePoint, también se conoce como "Microsoft SharePoint Elevation of Privilege Vulnerability".
Vulnerabilidad en las peticiones para autorizar aplicaciones en Microsoft SharePoint (CVE-2019-1261)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de suplantación de identidad en Microsoft SharePoint cuando maneja inapropiadamente peticiones para autorizar aplicaciones, resultando en un problema de tipo cross-site request forgery (CSRF). Para explotar esta vulnerabilidad, un atacante necesitaría crear una página específicamente diseñada para causar una petición de tipo cross-site, también se conoce como "Microsoft SharePoint Spoofing Vulnerability". Este ID de CVE es diferente de CVE-2019-1259.
Vulnerabilidad en una petición web en Microsoft SharePoint Server (CVE-2019-1262)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
24/09/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site-scripting (XSS) cuando Microsoft SharePoint Server no sanea apropiadamente una petición web especialmente diseñada para un servidor de SharePoint afectado, también se conoce como "Microsoft Office SharePoint XSS Vulnerability".
Vulnerabilidad en Microsoft Excel (CVE-2019-1263)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
11/05/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando Microsoft Excel divulga inapropiadamente el contenido de su memoria, también se conoce como "Microsoft Excel Information Disclosure Vulnerability".
Vulnerabilidad en Microsoft Office (CVE-2019-1264)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad cuando Microsoft Office maneja inapropiadamente la entrada, también se conoce como "Microsoft Office Security Feature Bypass Vulnerability".
Vulnerabilidad en la política de Intune MAM en Microsoft Yammer App para Android (CVE-2019-1265)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad cuando Microsoft Yammer App para Android no puede aplicar la política correcta de Intune MAM. Esto podría permitir a un atacante realizar funciones que están restringidas por la política de Intune. La actualización de seguridad aborda la vulnerabilidad mediante la corrección de la manera en que se aplica la política a Yammer App., también se conoce como "Microsoft Yammer Security Feature Bypass Vulnerability".
Vulnerabilidad en Outlook Web App (OWA) en Microsoft Exchange Server (CVE-2019-1266)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de suplantación de identidad en Microsoft Exchange Server cuando Outlook Web App (OWA) no puede manejar apropiadamente las peticiones web, también se conoce como "Microsoft Exchange Spoofing Vulnerability".
Vulnerabilidad en un archivo de configuración en Microsoft Compatibility Appraiser (CVE-2019-1267)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Microsoft Compatibility Appraiser, donde un archivo de configuración, con privilegios locales, es vulnerable a ataques de enlace simbólico y de enlace físico, también se conoce como "Microsoft Compatibility Appraiser Elevation of Privilege Vulnerability".
Vulnerabilidad en la ruta (path) de archivo en Winlogon (CVE-2019-1268)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una elevación de privilegios cuando Winlogon no maneja apropiadamente la información de ruta (path) de archivo, también se conoce como "Winlogon Elevation of Privilege Vulnerability".
Vulnerabilidad en las llamadas a Advanced Local Procedure Call (ALPC) en Microsoft Windows (CVE-2019-1269)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Windows maneja inapropiadamente las llamadas a Advanced Local Procedure Call (ALPC). Un atacante que explote con éxito esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad del sistema local, también se conoce como "Windows ALPC Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1272.
Vulnerabilidad en el directorio de WindowsApps en el instalador de la tienda de Microsoft Windows (CVE-2019-1270)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en el instalador de la tienda de Windows donde el directorio de WindowsApps es vulnerable un ataque de enlace simbólico, también se conoce como "Microsoft Windows Store Installer Elevation of Privilege Vulnerability".
Vulnerabilidad en la biblioteca hdAudio.sys en Microsoft Windows (CVE-2019-1271)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una elevación de privilegios en la biblioteca hdAudio.sys que puede conllevar a una escritura fuera de banda, también se conoce como "Windows Media Elevation of Privilege Vulnerability".
Vulnerabilidad en las llamadas a Advanced Local Procedure Call (ALPC) en Microsoft Windows (CVE-2019-1272)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Windows maneja inapropiadamente las llamadas a Advanced Local Procedure Call (ALPC). Un atacante que explote con éxito esta vulnerabilidad podría ejecutar código arbitrario en el contexto de seguridad del sistema local, también se conoce como "Windows ALPC Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1269.
Vulnerabilidad en ciertos mensajes de error en Active Directory Federation Services (ADFS) (CVE-2019-1273)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site-scripting (XSS) cuando Active Directory Federation Services (ADFS) no sanea apropiadamente ciertos mensajes de error, también se conoce como "Active Directory Federation Services XSS Vulnerability".
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2019-1274)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el kernel de Windows no puede inicializar apropiadamente una dirección de memoria, también se conoce como "Windows Kernel Information Disclosure Vulnerability".
Vulnerabilidad en Windows Audio Service (CVE-2019-1277)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Windows Audio Service cuando es procesado un parámetro malformado, también se conoce como "Windows Audio Service Elevation of Privilege Vulnerability".
Vulnerabilidad en la biblioteca unistore.dll en Microsoft Windows (CVE-2019-1278)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en la manera en que la biblioteca unistore.dll maneja los objetos en la memoria, también se conoce como "Windows Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1215, CVE-2019-1253, CVE-2019-1303.
Vulnerabilidad en un archivo .LNK en Microsoft Windows (CVE-2019-1280)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft Windows que podría permitir una ejecución de código remota si un archivo .LNK es procesado. Un atacante que explote con éxito esta vulnerabilidad podría alcanzar los mismos derechos de usuario que el usuario local, también se conoce como "LNK Remote Code Execution Vulnerability".
Vulnerabilidad en las comprobaciones del sandbox en el controlador de Windows Common Log File System (CLFS) (CVE-2019-1282)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información en el controlador de Windows Common Log File System (CLFS) cuando no puede manejar apropiadamente las comprobaciones del sandbox, también se conoce como "Windows Common Log File System Driver Information Disclosure Vulnerability".
Vulnerabilidad en Microsoft Graphics Components (CVE-2019-1283)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información en la manera en que Microsoft Graphics Components maneja los objetos en la memoria, también se conoce como "Microsoft Graphics Components Information Disclosure Vulnerability".
Vulnerabilidad en DirectX en Microsoft Windows (CVE-2019-1284)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando DirectX maneja inapropiadamente los objetos en la memoria, también se conoce como "DirectX Elevation of Privilege Vulnerability".
Vulnerabilidad en el componente Win32k en Microsoft Windows (CVE-2019-1285)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Win32k Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1256.
Vulnerabilidad en el componente GDI de Microsoft Windows (CVE-2019-1286)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el componente GDI de Windows revela inapropiadamente el contenido de su memoria, también se conoce como "Windows GDI Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2019-1252.
Vulnerabilidad en Windows Network Connectivity Assistant (CVE-2019-1287)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en la manera en que el Windows Network Connectivity Assistant maneja los objetos en la memoria, también se conoce como "Windows Network Connectivity Assistant Elevation of Privilege Vulnerability".
Vulnerabilidad en los permisos de uso compartido de archivos en Windows Update Delivery Optimization (CVE-2019-1289)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Update Delivery Optimization no aplica apropiadamente los permisos de uso compartido de archivos, también se conoce como "Windows Update Delivery Optimization Elevation of Privilege Vulnerability".
Vulnerabilidad en Windows Remote Desktop Client (CVE-2019-1290)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el Windows Remote Desktop Client cuando un usuario se conecta a un servidor malicioso, también se conoce como "Remote Desktop Client Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-0787, CVE-2019-0788, CVE-2019-1291.
Vulnerabilidad en Windows Remote Desktop Client (CVE-2019-1291)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el Windows Remote Desktop Client cuando un usuario se conecta a un servidor malicioso, también se conoce como "Remote Desktop Client Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-0787, CVE-2019-0788, CVE-2019-1290.
Vulnerabilidad en Microsoft Windows (CVE-2019-1292)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de denegación de servicio cuando Windows maneja inapropiadamente los objetos en la memoria, también se conoce como "Windows Denial of Service Vulnerability".
Vulnerabilidad en el controlador del modo kernel de Windows SMB Client en Microsoft Windows (CVE-2019-1293)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información en Windows cuando el controlador del modo kernel de Windows SMB Client no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Windows SMB Client Driver Information Disclosure Vulnerability".
Vulnerabilidad en la funcionalidad de depuración en Windows Secure Boot (CVE-2019-1294)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una omisión de la característica de seguridad cuando Windows Secure Boot restringe inapropiadamente el acceso a la funcionalidad de depuración, también se conoce como "Windows Secure Boot Security Feature Bypass Vulnerability".
Vulnerabilidad en las API en Microsoft SharePoint (CVE-2019-1295)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft SharePoint donde las API no están protegidas apropiadamente contra la entrada de datos no seguros, también se conoce como "Microsoft SharePoint Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1257, CVE-2019-1296.
Vulnerabilidad en las API en Microsoft SharePoint (CVE-2019-1296)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft SharePoint donde las API no están protegidas apropiadamente contra la entrada de datos no seguros, también se conoce como "Microsoft SharePoint Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1257, CVE-2019-1295.
Vulnerabilidad en el software Microsoft Excel (CVE-2019-1297)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el software Microsoft Excel cuando el software no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Microsoft Excel Remote Code Execution Vulnerability".
Vulnerabilidad en el motor de scripting Chakra en Microsoft Edge (CVE-2019-1298)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting Chakra maneja los objetos en la memoria en Microsoft Edge, también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Este ID de CVE es diferente de CVE-2019-1138, CVE-2019-1217, CVE-2019-1237, CVE-2019-1300.
Vulnerabilidad en Microsoft Edge basado en Edge HTML (CVE-2019-1299)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando Microsoft Edge basado en Edge HTML maneja inapropiadamente los objetos en la memoria, también se conoce como "Microsoft Edge based on Edge HTML Information Disclosure Vulnerability".
Vulnerabilidad en el motor de scripting Chakra en Microsoft Edge (CVE-2019-1300)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting Chakra maneja los objetos en la memoria en Microsoft Edge, también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Este ID de CVE es diferente de CVE-2019-1138, CVE-2019-1217, CVE-2019-1237, CVE-2019-1298.
Vulnerabilidad en las peticiones web en .NET Core de Microsoft (CVE-2019-1301)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de denegación de servicio cuando .NET Core maneja inapropiadamente las peticiones web, también se conoce como ".NET Core Denial of Service Vulnerability".
Vulnerabilidad en las peticiones web en una aplicación web de ASP.NET Core de Microsoft (CVE-2019-1302)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando una aplicación web de ASP.NET Core, creada usando plantillas de proyecto vulnerables, no puede sanear apropiadamente las peticiones web, también se conoce como "ASP.NET Core Elevation Of Privilege Vulnerability".
Vulnerabilidad en las uniones en Windows AppX Deployment Server en Microsoft Windows (CVE-2019-1303)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Windows AppX Deployment Server maneja inapropiadamente las uniones. Para explotar esta vulnerabilidad, un atacante primero tendría que alcanzar la ejecución en el sistema víctima, también se conoce como "Windows Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1215, CVE-2019-1253, CVE-2019-1278.
Vulnerabilidad en Team Foundation Server de Microsoft (CVE-2019-1305)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
13/09/2019
Descripción:
Se presenta una vulnerabilidad de tipo Cross-site Scripting (XSS) cuando Team Foundation Server no sanea apropiadamente la entrada proporcionada por el usuario, también se conoce como "Team Foundation Server Cross-site Scripting Vulnerability".
Vulnerabilidad en Azure DevOps Server (ADO) y Team Foundation Server (TFS) de Microsoft (CVE-2019-1306)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
15/07/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando Azure DevOps Server (ADO) y Team Foundation Server (TFS) no pueden comprobar la entrada apropiadamente, también se conoce como "Azure DevOps and Team Foundation Server Remote Code Execution Vulnerability".
Vulnerabilidad en un User Mode Write AV Delta en DCISoft (CVE-2019-16247)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
Delta DCISoft versión 1.21, presenta un User Mode Write AV que inicia en CommLib!CCommLib::SetSerializeData+0x000000000000001b.
Vulnerabilidad en la funcionalidad de manejo de sesión del servidor HTTP del dispositivo NETGEAR N300 (CVE-2019-5054)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
13/09/2019
Descripción:
Se presenta una vulnerabilidad de denegación de servicio explotable en la funcionalidad de manejo de sesión del servidor HTTP del dispositivo NETGEAR N300 (WNR2000v5 con versión de firmware V1.0.0.70). Una petición HTTP con una cadena User-Agent vacía enviada hacia una página que requiere autenticación puede causar una desreferencia del puntero null, resultando en el bloqueo del servicio HTTP. Un atacante no autenticado puede enviar una petición HTTP especialmente diseñada para desencadenar esta vulnerabilidad.
Vulnerabilidad en el Host Access Point Daemon (hostapd) en el enrutador inalámbrico NETGEAR N300 (CVE-2019-5055)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
13/09/2019
Descripción:
Se presenta una vulnerabilidad de denegación de servicio explotable en el Host Access Point Daemon (hostapd) en el enrutador inalámbrico NETGEAR N300 (WNR2000v5 con la versión de firmware V1.0.0.70). Una petición SOAP enviada en una secuencia no válida al servicio (WFAWLANConfig:1#PutMessage) puede causar una desreferencia del puntero null, resultando en el bloqueo del servicio hostapd. Un atacante no autenticado puede enviar una petición SOAP especialmente diseñada para desencadenar esta vulnerabilidad.
Vulnerabilidad en el parámetro "serviceContent" en XStream en el motor HTTP de Apache OFBiz (CVE-2018-17200)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
24/08/2020
Descripción:
El motor HTTP de Apache OFBiz (org.apache.ofbiz.service.engine.HttpEngine.java) maneja las peticiones de servicios HTTP por medio del end point /webtools/control/httpService. Este servicio toma el parámetro "serviceContent" en la petición y lo deserializa usando XStream. Esta instancia de "XStream" está ligeramente protegida al deshabilitar la creación de "ProcessBuilder". Sin embargo, esto puede ser omitido fácilmente (y de múltiples maneras). Mitigación: actualice a la versión 16.11.06 o aplique manualmente las siguientes confirmaciones en la derivación 16 r1850017+1850019.
Vulnerabilidad en HttpEngine en el parámetro request en el método "deserialize" de "XmlSerializer" en Apache Ofbiz (CVE-2019-0189)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
06/02/2020
Descripción:
Es conocido que java.io.ObjectInputStream causa problemas de serialización del Java. Este problema aquí está expuesto por la URL "webtools/control/httpService" y usa la deserialización de Java para llevar a cabo la ejecución del código. En HttpEngine, el valor del parámetro request "serviceContext" es pasado al método "deserialize" de "XmlSerializer". Apache Ofbiz está afectado por dos dependencias diferentes: "commons-beanutils" y una versión obsoleta de "commons-fileupload", Mitigación: Actualice a la versión 16.11.06 o aplique manualmente las confirmaciones de OFBIZ-10770 y OFBIZ-10837 en la derivación 16
Vulnerabilidad en las pantallas "Blog", "Forum", "Contact Us" en la aplicación de plantilla "ecommerce" incluida en Apache OFBiz (CVE-2019-10073)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
06/02/2020
Descripción:
Las pantallas "Blog", "Forum", "Contact Us" de la aplicación de plantilla "ecommerce" incluida en Apache OFBiz son débiles a los ataques de tipo XSS almacenado. Mitigación: actualice a la versión 16.11.06 o aplique manualmente las siguientes confirmaciones en la derivación 16.11: 1858438, 1858543, 1860595 y 1860616
Vulnerabilidad en el marcado de Freemarker en un campo textarea de Apache OFBiz Form Widget (CVE-2019-10074)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
13/09/2019
Descripción:
Un RCE es posible mediante el ingreso del marcado de Freemarker en un campo textarea de Apache OFBiz Form Widget cuando la codificación ha sido deshabilitada en dicho campo. Este fue el caso para la entrada de "story" de Customer Request en la aplicación Order Manager. La codificación no debe ser deshabilitada sin una buena razón y nunca dentro de un campo que acepte entrada del usuario. Mitigación: actualice a la versión 16.11.06 o aplique manualmente la siguiente confirmación en la derivación 16.11: r1858533
Vulnerabilidad en los archivos de proyecto en Delta Electronics TPEditor (CVE-2019-13536)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
09/10/2019
Descripción:
Delta Electronics TPEditor, versiones 1.94 y anteriores. Múltiples vulnerabilidades de desbordamiento de búfer en la región heap de la memoria pueden ser explotadas mediante el procesamiento de archivos de proyecto especialmente diseñados, lo que puede permitir a un atacante ejecutar código arbitrario remotamente.
Vulnerabilidad en los archivos de proyecto en Delta Electronics TPEditor (CVE-2019-13540)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
09/10/2019
Descripción:
Delta Electronics TPEditor, versiones 1.94 y anteriores. Múltiples vulnerabilidades de desbordamiento de búfer en la región stack de la memoria pueden ser explotadas mediante el procesamiento de archivos de proyecto especialmente diseñados, lo que puede permitir a un atacante ejecutar remotamente código arbitrario.
Vulnerabilidad en archivos de proyecto en Delta Electronics TPEditor (CVE-2019-13544)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
09/10/2019
Descripción:
Delta Electronics TPEditor, Versiones 1.94 y anteriores. Pueden ser explotadas múltiples vulnerabilidades de escritura fuera de límites mediante el procesamiento de archivos de proyecto especialmente diseñados, que pueden permitir una ejecución de código remota.
Vulnerabilidad en el archivo Teamviewer.exe en la función GetWindowTextW en TeamViewer (CVE-2019-11769)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
13/09/2019
Descripción:
Se detectó un problema en TeamViewer versiones 14.2.2558. La actualización del producto como un usuario no administrativo requiere ingresar credenciales administrativas en la GUI. Posteriormente, estas credenciales se procesan en el archivo Teamviewer.exe, lo que permite que cualquier aplicación que sea ejecutada en el mismo contexto de usuario no administrativo las intercepte en texto sin cifrar dentro de la memoria del proceso. Mediante el uso de esta técnica, un atacante local puede obtener credenciales administrativas para elevar los privilegios. Esta vulnerabilidad puede ser explotada inyectando código en el archivo Teamviewer.exe que intercepta las llamadas a GetWindowTextW y registra las credenciales procesadas.
Vulnerabilidad en el sistema Workflow en el software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance (CVE-2019-3759)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
31/08/2020
Descripción:
El software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance versiones anteriores a 7.1.0 P08, contienen una vulnerabilidad de inyección de código. Un usuario malicioso autenticado remoto podría explotar potencialmente esta vulnerabilidad para ejecutar scripts Groovy personalizados para conseguir acceso limitado para visualizar o modificar información en el sistema Workflow.
Vulnerabilidad en Workflow Architect en el software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance (CVE-2019-3760)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
31/08/2020
Descripción:
El software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance versiones anteriores a 7.1.0 P08, contienen una vulnerabilidad de inyección SQL en Workflow Architect. Un usuario malicioso autenticado remotamente podría explotar potencialmente esta vulnerabilidad para ejecutar comandos SQL en la base de datos del back-end para conseguir acceso no autorizado a los datos mediante el suministro de datos de entrada especialmente diseñados para la aplicación afectada.
Vulnerabilidad en el módulo Access Request en el software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance (CVE-2019-3761)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
31/08/2020
Descripción:
El software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance versiones anteriores a 7.1.0 P08, contienen una vulnerabilidad de tipo cross-site scripting almacenado en el módulo Access Request. Un usuario malicioso autenticado remotamente podría explotar potencialmente esta vulnerabilidad para almacenar código HTML o JavaScript malicioso en un almacén de datos de aplicaciones confiable. Cuando usuarios víctimas acceden al almacén de datos mediante sus navegadores, el código malicioso almacenado sería ejecutado mediante la aplicación web vulnerable.
Vulnerabilidad en los registros de depuración en Office 365 en el software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance (CVE-2019-3763)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
31/08/2020
Descripción:
El software RSA Identity Governance and Lifecycle y los productos RSA Via Lifecycle and Governance versiones anteriores a 7.1.0 P08, contienen una vulnerabilidad de exposición de información. La contraseña de usuario de Office 365 puede registrarse en un formato de texto plano en el archivo de registro de depuración del conector de Office 365. Un usuario local malicioso autenticado con acceso a los registros de depuración puede obtener la contraseña expuesta para usarla en próximos ataques.
Vulnerabilidad en el servicio TELNET en el subsistema BusyBox de diversos dispositivos TELESTAR (CVE-2019-13473)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
27/08/2020
Descripción:
TELESTAR Bobs Rock Radio, Dabman D10, Dabman i30 Stereo, Imperial i110, Imperial i150, Imperial i200, Imperial i200-cd, Imperial i400, Imperial i450, Imperial i500-bt e Imperial i600 TN81HH96-g102h-g102, poseen un servicio TELNET no documentado dentro del subsistema BusyBox, conllevando al acceso root.
Vulnerabilidad en el plugin Easy! Appointments para WordPress (CVE-2019-14936)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
25/09/2019
Descripción:
El plugin Easy! Appointments versión 1.3.2 para WordPress, permite una Divulgación de Información Confidencial (Nombre de Usuario y Hash de Contraseña).
Vulnerabilidad en un servidor MQTT usando TLS en la biblioteca del cliente Eclipse Paho Java (CVE-2019-11777)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
09/10/2019
Descripción:
En la biblioteca del cliente Eclipse Paho Java versión 1.2.0, cuando se conecta con un servidor MQTT usando TLS y configura un verificador de nombre de host, el resultado de esta verificación no es comprobada. Esto podría permitir a un servidor MQTT hacerse pasar por otro y proveer a la biblioteca del cliente con información incorrecta.
Vulnerabilidad en el Deep Security Manager (DSM) en Trend Micro Deep Security Manager y Vulnerability Protection (CVE-2019-9488)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
13/09/2019
Descripción:
Trend Micro Deep Security Manager (versiones 10.x, 11.x) y Vulnerability Protection (versión 2.0) son vulnerables a un ataque de tipo XML External Entity. Sin embargo, para que el ataque sea posible, el atacante debe tener acceso root/admin a un host protegido que esté autorizado para comunicarse con el Deep Security Manager (DSM).
Vulnerabilidad en el controlador en Micro-Star MSI Afterburner (CVE-2019-16098)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
13/09/2019
Descripción:
El controlador en Micro-Star MSI Afterburner versión 4.6.2.15658 (también se conoce como RTCore64.sys y RTCore32.sys), permite a cualquier usuario autenticado leer y escribir en memoria arbitraria, puertos I/O y MSR. Esto puede ser explotado para una escalada de privilegios, ejecución de código bajo altos privilegios y la divulgación de información. Estos controladores firmados también pueden ser usados para omitir la política de firma de los controladores de Microsoft para implementar código malicioso.
Vulnerabilidad en el archivo drivers/gpu/drm/amd/amdkfd/kfd_interrupt.c en alloc_workqueue en el kernel de Linux (CVE-2019-16229)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
04/05/2020
Descripción:
** EN DISPUTA ** El archivo drivers/gpu/drm/amd/amdkfd/kfd_interrupt.c en el kernel de Linux versión 5.2.14 no comprueba el valor de retorno de alloc_workqueue, conllevando a una desreferencia del puntero NULL. NOTA: La comunidad de seguridad cuestiona estos problemas por no ser lo suficientemente graves como para merecer una identificación CVE.
Vulnerabilidad en drivers / gpu / drm / radeon / radeon_display.c en el kernel de Linux (CVE-2019-16230)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
04/05/2020
Descripción:
** EN DISPUTA** drivers / gpu / drm / radeon / radeon_display.c en el kernel de Linux 5.2.14 no comprueba el valor de retorno alloc_workqueue, lo que lleva a una desreferencia de puntero NULL. NOTA: Un responsable de mantenimiento de software de terceros declara que la asignación de la cola de trabajo ocurre durante la inicialización del dispositivo, lo que ocurre para una tarjeta gráfica durante el arranque. No es controlable por el atacante y OOM en ese momento es altamente improbable.
Vulnerabilidad en el archivo drivers/net/fjes/fjes_main.c en alloc_workqueue en el kernel de Linux (CVE-2019-16231)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
04/05/2020
Descripción:
El archivo drivers/net/fjes/fjes_main.c en el kernel de Linux versión 5.2.14, no comprueba el valor de retorno en alloc_workqueue, conllevando a una desreferencia del puntero NULL.
Vulnerabilidad en el archivo drivers/net/wireless/marvell/libertas/if_sdio.c en alloc_workqueue en el kernel de Linux (CVE-2019-16232)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
04/05/2020
Descripción:
El archivo drivers/net/wireless/marvell/libertas/if_sdio.c en el kernel de Linux versión 5.2.14, no comprueba el valor de retorno en alloc_workqueue, conllevando a una desreferencia del puntero NULL.
Vulnerabilidad en el archivo drivers/scsi/qla2xxx/qla_os.c en alloc_workqueue en el kernel de Linux (CVE-2019-16233)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
06/05/2020
Descripción:
El archivo drivers/scsi/qla2xxx/qla_os.c en el kernel de Linux versión 5.2.14, no comprueba el valor de retorno en alloc_workqueue, conllevando a una desreferencia del puntero NULL.
Vulnerabilidad en el archivo drivers/net/wireless/intel/iwlwifi/pcie/trans.c en alloc_workqueue en el kernel de Linux (CVE-2019-16234)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
05/05/2020
Descripción:
El archivo drivers/net/wireless/intel/iwlwifi/pcie/trans.c en el kernel de Linux versión 5.2.14, no comprueba el valor de retorno en alloc_workqueue, conllevando a una desreferencia del puntero NULL.
Vulnerabilidad en ciertos valores de md_flags y mdb_node_add en py-lmdb (CVE-2019-16224)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
14/09/2020
Descripción:
Se detectó un problema en py-lmdb versión 0.97. Para ciertos valores de md_flags, mdb_node_add no establece correctamente un destino de memcpy, conllevando a una operación de escritura no válida. NOTA: este resultado se produce al acceder a un archivo data.mdb proporcionado por un atacante.
Vulnerabilidad en ciertos valores de mp_flags y mdb_page_touch en py-lmdb (CVE-2019-16225)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
14/09/2020
Descripción:
Se detectó un problema en py-lmdb versión 0.97. Para ciertos valores de mp_flags, mdb_page_touch no establece correctamente mc-)mc_pg[mc-)top], conllevando a una operación de escritura no válida. NOTA: este resultado se produce al acceder a un archivo data.mdb proporcionado por un atacante.
Vulnerabilidad en mdb_node_del en py-lmdb (CVE-2019-16226)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
14/09/2020
Descripción:
Se detectó un problema en py-lmdb versión 0.97. mdb_node_del no comprueba un memmove en el caso de un node-)mn_hi inesperado, conllevando a una operación de escritura no válida. NOTA: este resultado se produce al acceder a un archivo data.mdb proporcionado por un atacante.
Vulnerabilidad en ciertos valores de mn_flags y mdb_cursor_set en py_lmdb (CVE-2019-16227)
Gravedad:
AltaAlta
Publication date: 11/09/2019
Last modified:
14/09/2020
Descripción:
Se detectó un problema en py_lmdb versión 0.97. Para ciertos valores de mn_flags, mdb_cursor_set desencadena un memcpy con una operación de escritura no válida dentro de mdb_xcursor_init1. NOTA: Este resultado se produce al acceder a un archivo data.mdb proporcionado por un atacante.
Vulnerabilidad en la función mdb_env_open2 en un campo size en py-lmdb (CVE-2019-16228)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
14/09/2020
Descripción:
Se detectó un problema en py-lmdb versión 0.97. Se presenta un error de división por cero en la función mdb_env_open2 si mdb_env_read_header obtiene un valor cero para un determinado campo size. NOTA: Este resultado se produce al acceder a un archivo data.mdb proporcionado por un atacante.
Vulnerabilidad en McAfee Web Gateway (MWG) (CVE-2019-3643)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
09/10/2019
Descripción:
McAfee Web Gateway (MWG) versiones anteriores a 7.8.2.13 es vulnerable para un atacante remoto que explota el CVE-2019-9511, conllevando potencialmente a una denegación de servicio. Esto afecta a los proxies de escaneo.
Vulnerabilidad en McAfee Web Gateway (MWG) (CVE-2019-3644)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
09/10/2019
Descripción:
McAfee Web Gateway (MWG) versiones anteriores a 7.8.2.13, es vulnerable para un atacante remoto que explota el CVE-2019-9517, conllevando potencialmente a una denegación de servicio. Esto afecta los proxies de escaneo.
Vulnerabilidad en el recurso /rest/api/1.0/render en Jira (CVE-2019-14995)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
16/09/2019
Descripción:
El recurso /rest/api/1.0/render en Jira versiones anteriores a 8.4.0, permite a atacantes anónimos remotos determinar si existe un archivo adjunto con un nombre específico y si una clave de problema es válida mediante una falta de comprobación de permisos.
Vulnerabilidad en el parámetro searchOwnerUserName en el recurso FilterPickerPopup.jspa en Jira (CVE-2019-14996)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
11/09/2019
Descripción:
El recurso FilterPickerPopup.jspa en Jira versiones anteriores a 7.13.7 y desde la versión 8.0.0 anteriores a 8.3.3, permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo cross-site-scripting (XSS) en el parámetro searchOwnerUserName.
Vulnerabilidad en la clase AccessLogFilter en Jira (CVE-2019-14997)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
09/10/2019
Descripción:
La clase AccessLogFilter en Jira versiones anteriores a 8.4.0, permite a atacantes anónimos remotos saber detalles sobre otros usuarios, incluyendo su nombre de usuario, por medio de una exposición de información mediante la vulnerabilidad de almacenamiento en caché cuando Jira está configurado con un proxy inverso o un balanceador de carga con almacenamiento en caché o en un CDN.
Vulnerabilidad en una acción de Webwork en Jira (CVE-2019-14998)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
16/09/2019
Descripción:
La implementación de la protección de Cross-Site Request Forgery (CSRF) de una acción de Webwork en Jira versiones anteriores a 8.4.0, permite a atacantes remotos omitir su protección mediante el "cookie tossing" de una cookie CSRF desde un subdominio de una instancia de Jira.
Vulnerabilidad en wp_ajax_upload_attachment en WordPress (CVE-2019-16217)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
17/10/2019
Descripción:
WordPress versiones anteriores a 5.2.3, permite un ataque de tipo XSS en cargas multimedia porque wp_ajax_upload_attachment es manejado inapropiadamente.
Vulnerabilidad en los comentarios almacenados en WordPress (CVE-2019-16218)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
15/09/2019
Descripción:
WordPress versiones anteriores a 5.2.3, permite un ataque de tipo XSS en los comentarios almacenados.
Vulnerabilidad en las vistas previas de shortcode en WordPress (CVE-2019-16219)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
WordPress versiones anteriores a 5.2.3, permite un ataque de tipo XSS en las vistas previas de shortcode.
Vulnerabilidad en el archivo wp-includes/pluggable.php en la función wp_validate_redirect en WordPress (CVE-2019-16220)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
En WordPress versiones anteriores a 5.2.3, la comprobación y el saneamiento de una URL en la función wp_validate_redirect en el archivo wp-includes/pluggable.php podría conllevar a un redireccionamiento abierto.
Vulnerabilidad en el dashboard en WordPress (CVE-2019-16221)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
WordPress versiones anteriores a 5.2.3, permite un ataque de tipo XSS reflejado en el dashboard.
Vulnerabilidad en el archivo wp-includes/kses.php en la función wp_kses_bad_protocol_once en WordPress (CVE-2019-16222)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
WordPress versiones anteriores a 5.2.3, presenta un problema con el saneamiento de la URL en la función wp_kses_bad_protocol_once en el archivo wp-includes/kses.php, lo que puede conllevar a ataques de tipo cross-site scripting (XSS).
Vulnerabilidad en las vistas previas de publicaciones en WordPress (CVE-2019-16223)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
WordPress versiones anteriores a 5.2.3, permite un ataque de tipo XSS en las vistas previas de publicaciones por parte de usuarios autenticados.
Vulnerabilidad en el recurso /rest/api/latest/groupuserpicker en Jira (CVE-2019-8449)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
03/02/2020
Descripción:
El recurso /rest/api/latest/groupuserpicker en Jira versiones anteriores a 8.4.0, permite a atacantes remotos enumerar nombres de usuario por medio de una vulnerabilidad de divulgación de información.
Vulnerabilidad en varias plantillas del plugin Optimization en Jira (CVE-2019-8450)
Gravedad:
BajaBaja
Publication date: 11/09/2019
Last modified:
11/09/2019
Descripción:
Varias plantillas del plugin Optimization en Jira versiones anteriores a 7.13.6, y desde la versión 8.0.0 anteriores a 8.4.0, permiten a atacantes remotos, que tienen permiso para administrar campos personalizados, inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo cross-site-scripting (XSS) en el nombre de un campo personalizado.
Vulnerabilidad en la clase JiraWhitelist en el recurso /plugins/servlet/gadgets/makeRequest en Jira (CVE-2019-8451)
Gravedad:
MediaMedia
Publication date: 11/09/2019
Last modified:
12/09/2019
Descripción:
El recurso /plugins/servlet/gadgets/makeRequest en Jira versiones anteriores a 8.4.0, permite a atacantes remotos acceder al contenido de recursos de la red interna por medio de una vulnerabilidad de tipo Server Side Request Forgery (SSRF) debido a un error lógico en la clase JiraWhitelist.
Vulnerabilidad en las series de microcontroladores Texas Instruments (TI) (CVE-2018-18056)
Gravedad:
BajaBaja
Publication date: 20/08/2019
Last modified:
12/09/2019
Descripción:
Se detecto un problema en las series de microcontroladores TM4C, MSP432E y MSP432P de Texas Instruments (TI). La implementación de eXecute-Only-Memory (XOM) evita las lecturas de código en la memoria protegida mediante la generación de errores de bus. Sin embargo, se permite un solo paso y el uso de puntos de interrupción en la memoria flash protegida por XOM. Como consecuencia, es posible ejecutar instrucciones únicas con estados arbitrarios del sistema (por ejemplo, registros, indicadores de estado y contenido SRAM) y observar los cambios de estado producidos por la instrucción desconocida. Un atacante podría explotar esta vulnerabilidad ejecutando instrucciones protegidas y desconocidas con estados específicos del sistema y observando los cambios de estado. Sobre la base de la información recopilada, es posible realizar ingeniería inversa de las instrucciones ejecutadas. El procesador actúa como una especie de "instruction oracle."