Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la página del asunto en JetBrains YouTrack. (CVE-2019-16171)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
03/10/2019
Descripción:
En JetBrains YouTrack versiones hasta 2019.2.56594, se encontró una vulnerabilidad de tipo XSS almacenado en la página del asunto.
Vulnerabilidad en la página de configuración en JetBrains YouTrack. (CVE-2019-15040)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
03/10/2019
Descripción:
JetBrains YouTrack versiones anteriores a 2019.1, presentaban una vulnerabilidad de tipo CSRF en la página de configuración.
Vulnerabilidad en las páginas de configuración en JetBrains TeamCity. (CVE-2019-15037)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
03/10/2019
Descripción:
Se detectó un problema en JetBrains TeamCity versión 2018.2.4. Presentaba varias vulnerabilidades de tipo XSS en las páginas de configuración. Los problemas fueron corregidos en TeamCity versión 201
Vulnerabilidad en la máquina del servidor en TeamCity Project en JetBrains TeamCity. (CVE-2019-15036)
Gravedad:
AltaAlta
Publication date: 02/10/2019
Last modified:
03/10/2019
Descripción:
Se detectó un problema en JetBrains TeamCity versión 2018.2.4. Un administrador de TeamCity Project podría ejecutar cualquier comando en la máquina del servidor. El problema fue corregido en TeamCity versión 2018.2.5 y 2019.1.
Vulnerabilidad en una conexión http en JetBrains Toolbox. (CVE-2019-14959)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
04/10/2019
Descripción:
JetBrains Toolbox versiones anteriores a 1.15.5605, estaba resolviendo una URL interna por medio de una conexión http de texto claro.
Vulnerabilidad en los nombres de proyectos en JetBrains YouTrack. (CVE-2019-14956)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
03/10/2019
Descripción:
JetBrains YouTrack versiones anteriores a 2019.2.53938, estaba usando configuraciones incorrectas, permitiendo a un usuario sin los permisos necesarios obtener otros nombres de proyectos.
Vulnerabilidad en el método de backoffice/PageWApprove/PageWApproveApi/GetInpectSearch por medio en el parámetro nodeName en Umbraco. (CVE-2019-13957)
Gravedad:
AltaAlta
Publication date: 02/10/2019
Last modified:
04/10/2019
Descripción:
En Umbraco versión 7.3.8, se presenta una inyección SQL en el método backoffice/PageWApprove/PageWApproveApi/GetInpectSearch por medio del parámetro nodeName.
Vulnerabilidad en el nombre de usuario para el protocolo LDAP en el framework JetBrains Ktor. (CVE-2019-12736)
Gravedad:
AltaAlta
Publication date: 02/10/2019
Last modified:
04/10/2019
Descripción:
El framework JetBrains Ktor versiones anteriores a 1.2.0-rc, no sanea el nombre de usuario provisto por el usuario para el protocolo LDAP, lo que conlleva a una inyección de comandos.
Vulnerabilidad en IBM Security Directory Server. (CVE-2019-4549)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
09/10/2019
Descripción:
IBM Security Directory Server versión 6.4.0, divulga información confidencial a usuarios no autorizados. La información puede ser usada para montar futuros ataques sobre el sistema. ID de IBM X-Force: 165951.
Vulnerabilidad en la Interfaz de Usuario Web en IBM Security Directory Server. (CVE-2019-4542)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
09/10/2019
Descripción:
IBM Security Directory Server versión 6.4.0, es susceptible a una vulnerabilidad de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando de este modo la funcionalidad prevista conllevando potencialmente a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 165815.
Vulnerabilidad en la sintaxis, el contenido o los comandos del XML en IBM Security Directory Server. (CVE-2019-4539)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
09/10/2019
Descripción:
IBM Security Directory Server versión 6.4.0, no neutraliza apropiadamente los elementos especiales que son usados en XML, permitiendo a los atacantes modificar la sintaxis, el contenido o los comandos del XML antes de que sea procesado por un sistema final. ID de IBM X-Force: 165812.
Vulnerabilidad en sitio web en IBM Security Directory Server. (CVE-2019-4538)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
09/10/2019
Descripción:
IBM Security Directory Server versión 6.4.0, podría permitir a un atacante remoto realizar ataques de phishing, utilizando un ataque de redireccionamiento abierto. Al persuadir a una víctima para que visite un sitio web especialmente diseñado, un atacante remoto podría explotar esta vulnerabilidad para suplantar la URL desplegada para redireccionar a un usuario hacia un sitio web malicioso que pareciera ser confiable. Esto podría permitir al atacante obtener información altamente confidencial o realizar futuros ataques contra la víctima. ID de IBM X-Force: 165660.
Vulnerabilidad en las credenciales de cuenta en IBM Security Directory Server. (CVE-2019-4520)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
09/10/2019
Descripción:
IBM Security Directory Server versión 6.4.0, utiliza una configuración de bloqueo de cuenta inadecuada que podría permitir a un atacante remoto forzar las credenciales de cuenta. ID de IBM X-Force: 165178.
Vulnerabilidad en SuiteCRM. (CVE-2019-14454)
Gravedad:
AltaAlta
Publication date: 02/10/2019
Last modified:
04/10/2019
Descripción:
SuiteCRM versiones 7.11.x y versiones 7.10.x anteriores a 7.11.8 y 7.10.20, es vulnerable a la escalada de privilegios verticales.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Flower 0.9.3 (CVE-2019-16926)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
10/02/2020
Descripción:
** EN DISPUTA ** Flower 0.9.3 tiene XSS a través de un nombre de trabajador especialmente diseñado. NOTA: El autor del proyecto declaró que no cree que esta sea una vulnerabilidad válida. El nombre del trabajador y el nombre de la tarea no son opciones de configuración para el usuario. Son opciones de configuración interna del backend y la persona que tiene derecho a cambiarlas ya tiene acceso completo.
Vulnerabilidad en flower0,9,3 (CVE-2019-16925)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
10/02/2020
Descripción:
** EN DSIPUTA ** Flower 0.9.3 tiene una vulnerabilidad de cruce a través del parámetro de nombre en una llamada @ app.task. NOTA: El autor del proyecto declaró que no cree que esta sea una vulnerabilidad válida. El nombre del trabajador y el nombre de la tarea no son opciones de configuración para el usuario. Son opciones de configuración interna del backend y la persona que tiene derecho a cambiarlas ya tiene acceso completo.
Vulnerabilidad en Pulse Secure Pulse Connect Secure (PCS) (CVE-2019-11510)
Gravedad:
AltaAlta
Publication date: 08/05/2019
Last modified:
03/10/2019
Descripción:
En Pulse Secure Pulse Connect Secure (PCS) versión 8.2 en versiones anteriores a la 8.2R12.1, versión 8.3 en versiones anteriores a la 8.3R7.1 y versión 9.0 en versiones anteriores a la 9.0R3.4, un atacante remoto no autenticado puede enviar una URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria.