Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el sistema operativo (SO) subyacente en el sistema de archivos del Software Cisco IOS XE (CVE-2019-12672)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el sistema de archivos del Software Cisco IOS XE, podría permitir a un atacante local autenticado, con acceso físico a un dispositivo afectado, ejecutar código arbitrario en el sistema operativo (SO) subyacente con privilegios root. La vulnerabilidad es debido a una comprobación insuficiente de la ubicación del archivo. Un atacante podría explotar esta vulnerabilidad colocando el código en un formato específico en un dispositivo USB e insertándolo en un dispositivo Cisco afectado. Una explotación con éxito podría permitir al atacante ejecutar el código con privilegios root sobre el sistema operativo subyacente del dispositivo afectado.
Vulnerabilidad en un comando de la CLI relacionado con el virtualization manager (VMAN) en el Software Cisco IOS XR, para Cisco ASR 9000 Series Aggregation Services Routers (CVE-2019-12709)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en un comando de la CLI relacionado con el virtualization manager (VMAN) en el Software Cisco IOS XR, para Cisco ASR 9000 Series Aggregation Services Routers, podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con privilegios root. La vulnerabilidad es debido a una comprobación insuficiente de los argumentos pasados ??a un comando específico de la CLI de VMAN en un dispositivo afectado. Un atacante que tenga acceso válido de administrador a un dispositivo afectado podría explotar esta vulnerabilidad mediante la inclusión de entradas maliciosas como argumento de un comando afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios root, lo que puede conllevar a un compromiso total del sistema.
Vulnerabilidad en un comando CLI relacionado con el virtualization manager (VMAN) en el software Cisco NX-OS (CVE-2019-12717)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en un comando CLI relacionado con el virtualization manager (VMAN) en el software Cisco NX-OS, podría permitir a un atacante local autenticado ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con privilegios root. La vulnerabilidad es debido a una comprobación insuficiente de los argumentos pasados a un comando específico de CLI de VMAN en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad mediante la inclusión de entradas maliciosas como argumento de un comando afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo Linux subyacente con privilegios root, lo que puede conllevar a un compromiso total del sistema. Un atacante necesitaría credenciales de administrador válidas para explotar esta vulnerabilidad.
Vulnerabilidad en el archivo libcontainer/rootfs_linux.go en AppArmor en runc usado en Docker (CVE-2019-16884)
Gravedad:
MediaMedia
Publication date: 25/09/2019
Last modified:
07/10/2019
Descripción:
runc versiones hasta 1.0.0-rc8, como es usado en Docker versiones hasta 19.03.2-ce y otros productos, permite omitir la restricción de AppArmor porque el archivo libcontainer/rootfs_linux.go comprueba incorrectamente los destinos de montaje y, por lo tanto, una imagen Docker maliciosa puede ser montada sobre un directorio /proc .
Vulnerabilidad en un mensaje de error en Jenkins Log Parser Plugin (CVE-2019-10410)
Gravedad:
BajaBaja
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Jenkins Log Parser Plugin versión 2.0 y anteriores, no escaparon a un mensaje de error, resultando en una vulnerabilidad de tipo cross-site scripting explotable por aquellos usuarios capaces de definir las reglas del análisis de registros.
Vulnerabilidad en la comprobación del formato de un archivo en PRiSE adAS (CVE-2019-14916)
Gravedad:
MediaMedia
Publication date: 20/09/2019
Last modified:
27/09/2019
Descripción:
Se detectó un problema en PRiSE adAS versión 1.7.0. El formato de un archivo no es comprobado apropiadamente, conllevando a una carga de archivos sin restricciones.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la función admin notification en el campo Display Name en DNN (CVE-2019-12562)
Gravedad:
MediaMedia
Publication date: 26/09/2019
Last modified:
01/10/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) es posible en DNN (anteriormente DotNetNuke) versiones anteriores a 9.4.0, por parte de usuarios autenticados remotos por medio del campo Display Name en la función admin notification.
Vulnerabilidad en el archivo diag_command.php en la función csrf_callback (CVE-2019-16667)
Gravedad:
MediaMedia
Publication date: 26/09/2019
Last modified:
27/07/2020
Descripción:
El archivo diag_command.php en pfSense versión 2.4.4-p3, permite un ataque de tipo CSRF por medio del campo txtCommand o txtRecallBuffer, como es demostrado mediante la ejecución de comandos de Sistema Operativo. Esto se presenta porque la función csrf_callback() produce un error de "CSRF token expired" y un botón Try Again cuando un token CSRF está faltando.
Vulnerabilidad en el archivo widgets/widgets/picture.widget.php en el parámetro widgetkey en pfSense. (CVE-2019-16915)
Gravedad:
AltaAlta
Publication date: 26/09/2019
Last modified:
27/09/2019
Descripción:
Se descubrió un problema en pfSense versiones hasta 2.4.4-p3. El archivo widgets/widgets/picture.widget.php utiliza el parámetro widgetkey directamente sin saneamiento (por ejemplo, una llamada basename) para un nombre de ruta en file_get_contents o file_put_contents.