Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en El archivo sent_register.php en el formato de correo electrónico en Online Store. (CVE-2019-8290)
Gravedad:
MediaMedia
Publication date: 01/10/2019
Last modified:
04/10/2019
Descripción:
Una vulnerabilidad en Online Store versión v1.0, los requerimientos del formulario de registro para el formato de correo electrónico de un miembro pueden ser omitidos mediante la publicación directamente en el archivo sent_register.php permitiendo que sean incluidos caracteres especiales y sea inyectada una carga útil XSS.
Vulnerabilidad en el archivo admin/user_view.php en la variable adidas_member_email en Online Store. (CVE-2019-8289)
Gravedad:
BajaBaja
Publication date: 01/10/2019
Last modified:
04/10/2019
Descripción:
Vulnerabilidad en Online Store versión v1.0, un problema de tipo XSS almacenado en la variable adidas_member_email en el archivo admin/user_view.php.
Vulnerabilidad en el archivo user_view.php en la variable adidas_member_user en Online Store. (CVE-2019-8288)
Gravedad:
BajaBaja
Publication date: 01/10/2019
Last modified:
04/10/2019
Descripción:
Vulnerabilidad en Online Store versión v1.0, un problema de tipo XSS almacenado en el archivo user_view.php donde la variable adidas_member_user no está saneada.
Vulnerabilidad en admin/template.php?action=del&tpl=../ en emlog. (CVE-2019-17073)
Gravedad:
MediaMedia
Publication date: 01/10/2019
Last modified:
04/10/2019
Descripción:
emlog versiones hasta 6.0.0beta, permite a los usuarios identificados remotos eliminar archivos arbitrarios por medio del salto de directorio de admin/template.php?action=del&tpl=../.
Vulnerabilidad en parámetros internos en IBM Daeja ViewONE Virtual. (CVE-2019-4246)
Gravedad:
MediaMedia
Publication date: 01/10/2019
Last modified:
09/10/2019
Descripción:
IBM Daeja ViewONE Virtual versiones 5.0 hasta 5.0.6, podría exponer parámetros internos a los clientes ViewONE que podrían ser usados en futuros ataques contra el sistema. ID de IBM X-Force: 159521.
Vulnerabilidad en Jenkins HTML Publisher Plugin (CVE-2019-10432)
Gravedad:
BajaBaja
Publication date: 01/10/2019
Last modified:
09/10/2019
Descripción:
Jenkins HTML Publisher Plugin versión 1.20 y versiones anteriores, no escaparon del proyecto y crearon nombres desplegados en el marco del reporte HTML, resultando en una vulnerabilidad de tipo cross-site scripting explotable por parte de los usuarios capaces de cambiarlo.
Vulnerabilidad en el acceso TELNET en los dispositivos Victure PC530. (CVE-2019-15940)
Gravedad:
AltaAlta
Publication date: 01/10/2019
Last modified:
04/10/2019
Descripción:
Los dispositivos Victure PC530, permiten el acceso TELNET no autenticado como root.
Vulnerabilidad en peticiones HTTP en Go (CVE-2019-16276)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
07/10/2019
Descripción:
Go versiones anteriores a 1.12.10 y versiones 1.13.x anteriores a 1.13.1, permitir el Trafico No Autorizado de Peticiones HTTP.
Vulnerabilidad en servicio web Dashboard en Western Digital SSD Dashboard y SanDisk SSD Dashboard (CVE-2019-13467)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
04/10/2019
Descripción:
Descripción: Western Digital SSD Dashboard versiones anteriores a 2.5.1.0 y SanDisk SSD Dashboard versiones anteriores a 2.5.1.0, las aplicaciones son potencialmente vulnerables a los ataques de tipo man-in-the-middle cuando éstas descargan recursos del servicio web Dashboard. Esta vulnerabilidad puede permitir a un atacante sustituir los recursos descargados con archivos arbitrarios.
Vulnerabilidad en los dispositivos NETGEAR SRX5308 (CVE-2019-17049)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
04/10/2019
Descripción:
Los dispositivos NETGEAR SRX5308 versión 4.3.5-3, permiten la inyección SQL, como se explotó "in the wild" en septiembre de 2019 al agregar una nueva cuenta de usuario.
Vulnerabilidad en el paquete Voyager (CVE-2019-17050)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
04/10/2019
Descripción:
Se detectó un problema en el paquete Voyager versiones hasta 1.2.7 para Laravel. Un atacante con privilegios de administrador y acceso a Compass puede leer o eliminar archivos arbitrarios, tal y como el archivo .env. NOTA: un mantenedor de software ha sugerido una solución en la cual Compass es apagado en un entorno de producción.
Vulnerabilidad en el archivo wp-json/visualizer/v1/upload-data en el plugin Visualizer para WordPress (CVE-2019-16932)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
04/10/2019
Descripción:
Se presenta una vulnerabilidad de SSRF ciega en el plugin Visualizer versiones anteriores a 3.3.1 para WordPress por medio del archivo wp-json/visualizer/v1/upload-data.
Vulnerabilidad en el administrador de imágenes en Xoops (CVE-2019-16684)
Gravedad:
BajaBaja
Publication date: 30/09/2019
Last modified:
04/10/2019
Descripción:
Se detectó un problema en el administrador de imágenes en Xoops versión 2.5.10. Cuando cualquier imagen con una carga útil de JavaScript como su nombre se encuentra en la lista o en la página Edit, se ejecuta la carga útil.
Vulnerabilidad en el administrador de imágenes en Xoops (CVE-2019-16683)
Gravedad:
BajaBaja
Publication date: 30/09/2019
Last modified:
04/10/2019
Descripción:
Se detectó un problema en el administrador de imágenes en Xoops versión 2.5.10. Cuando se desplaza la ruta de exploración (breadcrumb) que muestra el nombre de la categoría sobre la edición de cualquier imagen, se ejecuta una carga útil de JavaScript.
Vulnerabilidad en la biblioteca lib/simple_form/form_builder.rb en file_method? en Plataformatec Simple Form (CVE-2019-16676)
Gravedad:
AltaAlta
Publication date: 30/09/2019
Last modified:
04/10/2019
Descripción:
Plataformatec Simple Form, presenta un Control de Acceso Incorrecto en file_method? en biblioteca lib/simple_form/form_builder.rb, porque una cadena suministrada por el usuario es invocada como una llamada a un método.
Vulnerabilidad en AAC Codec en Android (CVE-2019-9283)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En AAC Codec, se presenta un posible agotamiento de recursos debido a una comprobación de entrada inapropiada. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-112663564
Vulnerabilidad en Keymaster en Android (CVE-2019-9350)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En Keymaster, se presenta una posible Elevación de Privilegios (EoP) debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-129562815
Vulnerabilidad en libstagefright en Android (CVE-2019-9313)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En libstagefright, se presenta una falta de inicialización de variable. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-112005441
Vulnerabilidad en libMpegTPDec en Android (CVE-2019-9306)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En libMpegTPDec, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-112661348
Vulnerabilidad en Bluetooth en Android (CVE-2019-9287)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En Bluetooth, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-78287084
Vulnerabilidad en libstagefright en el servidor multimedia en Android (CVE-2019-9268)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En libstagefright, se presenta un posible uso de la memoria previamente liberada debido a un bloqueo inapropiado. Esto podría conllevar a una escalada de privilegios local en el servidor multimedia sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-77474014
Vulnerabilidad en el controlador de Easel en Android (CVE-2019-2188)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En el controlador de Easel, se presentan una posible corrupción de memoria debido a condiciones de carrera. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución System necesarios. La interacción del usuario no es requerida para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-112309571
Vulnerabilidad en el controlador de Easel en Android (CVE-2019-2189)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En el controlador de Easel, se presentan una posible corrupción de memoria debido a condiciones de carrera. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución System necesarios. La interacción del usuario no es requerida para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-112312381
Vulnerabilidad en el componente LAF de LG en Android (CVE-2019-2191)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En el componente LAF de LG, se presenta una posible fuga de información en una partición de disco protegida debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local por medio de puerto USB con privilegios de ejecución User necesarios. La interacción del usuario no es requerida para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-68770980
Vulnerabilidad en libvpx en Android (CVE-2019-9232)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
25/10/2019
Descripción:
En libvpx, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. La interacción del usuario no es requerida para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-122675483
Vulnerabilidad en wpa_supplicant_8 en Android (CVE-2019-9233)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En wpa_supplicant_8, se presenta una posible lectura fuera de límites debido a una comprobación de límites incorrecta. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. La interacción del usuario no es requerida para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-122529021
Vulnerabilidad en NFC en Android (CVE-2019-9236)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En NFC, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-122322613
Vulnerabilidad en la pila de NFC en Android (CVE-2019-9238)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En la pila de NFC, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local con privilegios de ejecución System necesarios. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-121267042
Vulnerabilidad en NFC en Android (CVE-2019-9242)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En NFC, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-121035878
Vulnerabilidad en NFC en Android (CVE-2019-9251)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
En NFC, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-120274615
Vulnerabilidad en Bluetooth en la aplicación Nulock para dispositivos móviles. (CVE-2019-16924)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
La aplicación Nulock versión 1.5.0 para dispositivos móviles, envía una contraseña en texto sin cifrar por medio de Bluetooth, que permite a atacantes remotos (después de rastrear la red) tomar el control del cerrojo o cierre de exclusión mutua.
Vulnerabilidad en mensaje S/MIME en Thunderbird. (CVE-2019-11755)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
Un mensaje S/MIME diseñado que consta de una capa de cifrado interna y una capa SignedData externa se mostró con firma digital válida, aunque el firmante podría no haber tenido acceso al contenido del mensaje cifrado y podría haber eliminado una firma diferente del mensaje cifrado. Las versiones anteriores solo habían suprimido el despliegue de una firma digital para mensajes con una capa externa multiparte y firmada. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.1.1.
Vulnerabilidad en la función requestPointerLock() en Firefox. (CVE-2019-11754)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
Cuando el bloqueo del puntero es habilitado por un sitio web por medio de la función requestPointerLock(), no se entrega ninguna notificación al usuario. Esto podría permitir que un sitio web malicioso secuestrara el puntero del mouse y confundiera a los usuarios. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69.0.1.
CVE-2019-6656
Gravedad:
MediaMedia
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
BIG-IP APM Edge Client versiones anteriores a 7.1.8 (7180.2019.508.705) registra el ID completo de la sesión apm en los archivos de registro. Las versiones vulnerables del cliente son incorporadas con las versiones BIG-IP APM 15.0.0 hasta 15.0.1, 14,1.0 hasta 14.1.0.6, 14.0.0 hasta 14.0.0.4, 13.0.0 hasta 13.1.1.5, 12.1.0 hasta 12.1 .5 y 11.5.1 hasta 11.6.5. En BIG-IP APM versión 13.1.0 y posteriores, los componentes de los clientes APM pueden actualizarse independientemente del software BIG-IP. Cliente versión 7.1.8 (7180.2019.508.705) y posterior tiene la corrección.
Vulnerabilidad en la funcionalidad de Comprobación de Imagen del Software Cisco IOS XE (CVE-2019-12649)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la funcionalidad de Comprobación de Imagen del Software Cisco IOS XE, podría permitir a un atacante local autenticado instalar y arrancar una imagen de software malicioso o ejecutar archivos binarios sin firmar en un dispositivo afectado. La vulnerabilidad se presenta porque, bajo determinadas circunstancias, un dispositivo afectado puede ser configurado para no comprobar las firmas digitales de los archivos de imagen del sistema durante el proceso de arranque. Un atacante podría explotar esta vulnerabilidad mediante el abuso de una característica específica que forma parte del proceso de arranque del dispositivo. Una explotación con éxito podría permitir al atacante instalar y arrancar una imagen de software malicioso o ejecutar archivos binarios sin firmar en el dispositivo de destino.
Vulnerabilidad en en el Network Address Translation (NAT) Session Initiation Protocol (SIP) Application Layer Gateway (ALG) del Software Cisco IOS XE (CVE-2019-12646)
Gravedad:
AltaAlta
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en el Network Address Translation (NAT) Session Initiation Protocol (SIP) Application Layer Gateway (ALG) del Software Cisco IOS XE, podría permitir a un atacante remoto no autenticado causar que un dispositivo afectado se recargue. La vulnerabilidad es debido al procesamiento inapropiado de paquetes SIP transitorios en los que se realiza NAT en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad utilizando el puerto UDP 5060 para enviar paquetes SIP diseñados por medio de un dispositivo afectado que está realizando NAT para paquetes SIP. Una explotación con éxito podría permitir a un atacante causar que el dispositivo se recargue, conllevando a una condición de denegación de servicio (DoS).
Vulnerabilidad en las plantillas en Jenkins Project Inheritance Plugin (CVE-2019-10409)
Gravedad:
MediaMedia
Publication date: 25/09/2019
Last modified:
09/10/2019
Descripción:
Una falta de comprobación de permisos en Jenkins Project Inheritance Plugin versión 2.0.0 y anteriores, permitieron a atacantes con permiso General y de Lectura activar la generación de proyectos a partir de plantillas.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un archivo Terminal en el atributo com.apple.quarantine en Evernote en macOS (CVE-2019-17051)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
11/05/2020
Descripción:
Evernote versiones anteriores a 7.13 GA en macOS, permite la ejecución de código porque el atributo com.apple.quarantine no se utiliza para archivos adjuntos, como es demostrado por un ataque de un clic que implica una operación de arrastrar y soltar en un archivo Terminal creado.
Vulnerabilidad en El panel de Western Digital SSD (CVE-2019-13466)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
10/02/2020
Descripción:
El panel de Western Digital SSD anterior a la versión 2.5.1.0 y el panel de SanDisk SSD anterior a la versión 2.5.1.0 tienen un control de acceso incorrecto. El archivo "generar informes" está protegido con una contraseña codificada. Se encuentra disponible una actualización de la aplicación que aborda la protección del cifrado de archivos
Vulnerabilidad en los parámetros loginName y loginPwd en ruibaby Halo (CVE-2018-11012)
Gravedad:
MediaMedia
Publication date: 12/05/2018
Last modified:
04/10/2019
Descripción:
ruibaby Halo 0.0.2 tiene Cross-Site Scripting (XSS) persistente mediante los parámetros loginName y loginPwd en un intento fallido de inicio de sesión en AdminController.java.
Vulnerabilidad en el campo commentAuthor en ruibaby Halo (CVE-2018-11011)
Gravedad:
MediaMedia
Publication date: 12/05/2018
Last modified:
04/10/2019
Descripción:
ruibaby Halo 0.0.2 tiene Cross-Site Scripting (XSS) persistente mediante el campo commentAuthor en FrontCommentController.java.
Vulnerabilidad en Partclone (CVE-2016-10722)
Gravedad:
AltaAlta
Publication date: 02/05/2018
Last modified:
04/10/2019
Descripción:
partclone.fat en Partclone en versiones anteriores a la 0.2.88 es propenso a una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (heap) debido a la validación insuficiente del superbloque FAT. Esto está relacionado con la función mark_reserved_sectors. Un atacante podría ejecutar código arbitrario en el contexto del usuario ejecutando la aplicación afectada.
Vulnerabilidad en Facebook WhatsApp Messenger para Android (CVE-2017-8769)
Gravedad:
BajaBaja
Publication date: 18/05/2017
Last modified:
04/10/2019
Descripción:
** EN DISPUTA ** Facebook WhatsApp Messenger 2.17.146 para Android utiliza la tarjeta SD para el almacenamiento en archivos en texto claro (audio, documentos, imágenes, vídeos y notas de voz) asociados a una conversación incluso si se elimina dicha conversación. Puede haber usuarios que esperen que se realice el borrado de estos archivos una vez que se elimina la conversación o usuarios que esperen que estos archivos estén cifrados (de acuerdo al uso por parte de la aplicación de una base de datos cifrada para almacenar los textos de conversaciones). NOTA: el fabricante indica que no \"considera que esto se trate de problemas de seguridad\" debido a que un usuario, de forma legítima, puede querer preservar cualquier archivo para su uso \"en otras apps como la galería de Google Photos\", independientemente de si la conversación asociada se ha eliminado o no.