Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en archivo de configuración global en Jenkins Beaker Builder Plugin (CVE-2019-10398)
Gravedad:
BajaBaja
Publication date: 12/09/2019
Last modified:
09/10/2019
Descripción:
Jenkins Beaker Builder Plugin versión 1.9 y anteriores, las credenciales almacenadas sin cifrar en su archivo de configuración global sobre el maestro de Jenkins, donde pueden ser visualizadas por usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en el paquete merge (CVE-2018-16469)
Gravedad:
MediaMedia
Publication date: 30/10/2018
Last modified:
09/10/2019
Descripción:
Se puede engañar a la función merge.recursive, en el paquete merge en versiones anteriores a la 1.21, para que añada o modifique propiedades del prototipo "Object". Estas propiedades estarán presentes en todos los objetos, permitiendo que se produzca un ataque de denegación de servicio (DoS).
Vulnerabilidad en Z-BlogPHP (CVE-2018-18381)
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
23/09/2019
Descripción:
Z-BlogPHP 1.5.2.1935 (Zero) tiene una vulnerabilidad Cross-Site Scripting (XSS) persistente en zb_system/function/c_system_admin.php mediante la cabecera Content-Type durante la subida de adjuntos de imagen.
Vulnerabilidad en Cisco UCS Director (CVE-2018-15406)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de Cisco UCS Director podría permitir que un atacante remoto no autenticado lleve a cabo un ataque Cross-Site Scripting (XSS) persistente contra un usuario de dicha interfaz en un sistema afectado. La vulnerabilidad se debe a la validación insuficiente de entrada de datos de parte del usuario en la interfaz de gestión web de un sistema afectado. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace malicioso. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o que pueda acceder a información sensible del navegador.
Vulnerabilidad en Ogma CMS (CVE-2018-16379)
Gravedad:
BajaBaja
Publication date: 02/09/2018
Last modified:
23/09/2019
Descripción:
Ogma CMS 0.4 Beta tiene Cross-Site Scripting (XSS) mediante el campo "Footer Text footer" en la pantalla "Theme/Theme Options".
CVE-2018-16380
Gravedad:
MediaMedia
Publication date: 02/09/2018
Last modified:
23/09/2019
Descripción:
Se ha descubierto un problema en Ogma CMS 0.4 Beta. Hay una vulnerabilidad Cross-Site Request Forgery (CSRF) en users.php?action=createnew que puede añadir una cuenta de administrador.
Vulnerabilidad en el módulo string (CVE-2017-16116)
Gravedad:
MediaMedia
Publication date: 07/06/2018
Last modified:
09/10/2019
Descripción:
El módulo string proporciona operaciones de cadena adicionales. El módulo string es vulnerable a una denegación de servicio (DoS) por expresiones regulares cuando se pasan entradas de usuario no fiables en los métodos underscore o unescapeHTML.
Vulnerabilidad en el módulo de node serve (CVE-2018-3718)
Gravedad:
MediaMedia
Publication date: 07/06/2018
Last modified:
09/10/2019
Descripción:
El módulo de node serve sufre de una gestión incorrecta del cifrado de una URL al permitir el acceso a archivos ignorados si un nombre de archivo está codificado como una URL.
Vulnerabilidad en Shout (CVE-2017-16043)
Gravedad:
MediaMedia
Publication date: 04/06/2018
Last modified:
09/10/2019
Descripción:
Shout es un cliente IRC. Debido a que el comando "/topic" no se escapa en los mensajes, los atacantes tienen la capacidad de inyectar scripts HTML que se ejecutarán en el navegador de la víctima. Afecta a Shout desde la versión 0.44.0 hasta la 0.49.3, ambas incluidas.
Vulnerabilidad en OmniAuth (CVE-2017-18076)
Gravedad:
MediaMedia
Publication date: 26/01/2018
Last modified:
02/10/2019
Descripción:
En strategy.rb en OmniAuth en versiones anteriores a la 1.3.2, el valor authenticity_token se proteje de forma indebida porque los parámetros POST (además de los GET) se almacenan en la sesión y se vuelven disponibles en el entorno de la fase de devolución de llamada.
Vulnerabilidad en TLS y DTLS en OpenSSL, OpenJDK y PolarSSL (CVE-2013-0169)
Gravedad:
BajaBaja
Publication date: 08/02/2013
Last modified:
09/10/2019
Descripción:
El protocolo TLS v1.1 y v1.2 y el protocolo DTLS v1.0 y v1.2, tal como se utiliza en OpenSSL, OpenJDK, PolarSSL, y otros productos, no considera adecuadamente ataques a un requisito de verificación MAC durante el proceso de relleno CBC malformado, lo que permite a atacantes remotos para realizar ataques distintivos y los ataques de recuperación de texto plano través del análisis estadístico de los datos de tiempo de los paquetes hechos a mano, también conocido como el "Lucky Thirteen" de emisión.
Vulnerabilidad en plugin ACL Manager (pluginsaclajax.php) de DokuWiki (CVE-2010-0287)
Gravedad:
MediaMedia
Publication date: 15/02/2010
Last modified:
23/09/2019
Descripción:
Vulnerabilidad de salto de directorio en el plugin ACL Manager (plugins/acl/ajax.php) de DokuWiki en versiones anteriores a la v2009-12-25b permite a usuarios remotos listar los contenidos de directorios de su elección a través de .. (punto punto) en el parámetro ns.
Vulnerabilidad en plugin ACL Manager (pluginsaclajax.php) de DokuWiki (CVE-2010-0288)
Gravedad:
AltaAlta
Publication date: 15/02/2010
Last modified:
23/09/2019
Descripción:
Una errata en el check del permiso de administrador del plugin ACL Manager (plugins/acl/ajax.php) de DokuWiki en versiones anteriores a la v2009-12-25b permite a atacantes remotos obtener privlegios y acceder a wikis cerrados editando las restricciones de ACL actuales, como se ha demostrado en Enero del 2010.
Vulnerabilidad en plugin ACL Manager (pluginsaclajax.php) de DokuWiki (CVE-2010-0289)
Gravedad:
MediaMedia
Publication date: 15/02/2010
Last modified:
23/09/2019
Descripción:
Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en el plugin ACL Manager (plugins/acl/ajax.php) de DokuWiki en versiones anteriores a la v2009-12-25c. Permiten a atacantes remotos secuestrar la autenticación de los administradores para peticiones que modifican el acceso a las reglas de control de acceso, y otras peticiones sin especificar, a través de vectores de ataque desconocidos.