Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el campo Site Admin ) Module Manager ) Search Term en CMS Made Simple (CVE-2019-17226)
Gravedad:
BajaBaja
Publication date: 06/10/2019
Last modified:
08/10/2019
Descripción:
CMS Made Simple (CMSMS) versión 2.2.11, permite un ataque de tipo XSS por medio del campo Site Admin ) Module Manager ) Search Term.
Vulnerabilidad en el campo Username, Full Name, o Email de panel/members/ en Subrion. (CVE-2019-17225)
Gravedad:
BajaBaja
Publication date: 06/10/2019
Last modified:
08/10/2019
Descripción:
Subrion versión 4.2.1, permite un ataque de tipo XSS por medio del campo Username, Full Name, o Email de panel/members/, también se conoce como un problema de "Admin Member JSON Update".
Vulnerabilidad en el plugin WebARX para WordPress. (CVE-2019-17214)
Gravedad:
MediaMedia
Publication date: 06/10/2019
Last modified:
24/08/2020
Descripción:
El plugin WebARX versión 1.3.0 para WordPress, permite omitir el firewall agregando &cc=1 en un URI.
Vulnerabilidad en el URI o el encabezado HTTP X-Forward-For en el plugin WebARX para WordPress. (CVE-2019-17213)
Gravedad:
MediaMedia
Publication date: 06/10/2019
Last modified:
08/10/2019
Descripción:
El plugin WebARX versión 1.3.0 para WordPress, presenta una vulnerabilidad de tipo XSS almacenado no autenticado por medio del URI o el encabezado HTTP X-Forward-For.
Vulnerabilidad en Inicio de Sesión en el campo username en TeamPass. (CVE-2019-17205)
Gravedad:
MediaMedia
Publication date: 05/10/2019
Last modified:
08/10/2019
Descripción:
TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado al colocar una carga útil en el campo username durante un intento de inicio de sesión. Cuando un administrador mira el registro de inicios de sesión fallidos, será ejecutada la carga útil de tipo XSS.
Vulnerabilidad en una etiqueta de base de conocimiento en TeamPass. (CVE-2019-17204)
Gravedad:
BajaBaja
Publication date: 05/10/2019
Last modified:
08/10/2019
Descripción:
TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado al establecer una etiqueta de base de conocimiento diseñada y agregar cualquier elemento disponible.
Vulnerabilidad en la página de Búsqueda en TeamPass. (CVE-2019-17203)
Gravedad:
BajaBaja
Publication date: 05/10/2019
Last modified:
08/10/2019
Descripción:
TeamPass versión 2.1.27.36, permite un ataque de tipo XSS almacenado en la página de Búsqueda mediante el establecimiento de una contraseña diseñada para un elemento en cualquier carpeta.
Vulnerabilidad en Lifestyle en la biblioteca library/clinic_rules.php en OpenEMR. (CVE-2019-17197)
Gravedad:
AltaAlta
Publication date: 05/10/2019
Last modified:
08/10/2019
Descripción:
OpenEMR versiones hasta 5.0.2, presenta una inyección SQL en los criterios de filtro demográfico Lifestyle en la biblioteca library/clinic_rules.php que afecta a la biblioteca library/patient.inc.
Vulnerabilidad en el archivo library/custom_template/add_template.php en el parámetro list_id en OpenEMR. (CVE-2019-17179)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad de tipo XSS en el archivo library/custom_template/add_template.php en OpenEMR versiones hasta 5.0.2, permite a un usuario malicioso ejecutar código en el contexto del navegador de una víctima por medio de un parámetro de consulta list_id diseñado.
Vulnerabilidad en el procesamiento de AcroForms en las instalaciones afectadas de Foxit Reader. (CVE-2019-13320)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario sobre las instalaciones afectadas de Foxit Reader versión 9.5.0.20723. La interacción del usuario es requerida para explotar esta vulnerabilidad, ya que el objetivo necesita visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del procesamiento de AcroForms. El problema resulta de la falta de comprobación de la existencia de un objeto antes de realizar operaciones sobre el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8814.
CVE-2019-6775
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario sobre las instalaciones afectadas de Foxit Reader versión 9.5.0.20723. La interacción del usuario es requerida para explotar esta vulnerabilidad, ya que el objetivo necesita visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del método exportValues ??dentro de un AcroForm. El problema resulta de la falta de comprobación de la existencia de un objeto antes de realizar operaciones sobre el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8491.
Vulnerabilidad en el método deleteItemAt cuando se procesa AcroForms en las instalaciones afectadas de Foxit Reader. (CVE-2019-6774)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario sobre las instalaciones afectadas de Foxit Reader versión 9.4.1.16828. La interacción del usuario es requerida para explotar esta vulnerabilidad, ya que el objetivo necesita visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del método deleteItemAt cuando se procesa AcroForms. El problema resulta de la falta de comprobación de la existencia de un objeto antes de realizar operaciones sobre el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8295.
Vulnerabilidad en el procesamiento de los formularios XFA en las instalaciones afectadas de Foxit Reader. (CVE-2019-13319)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario sobre las instalaciones afectadas de Foxit Reader versión 9.5.0.20723. La interacción del usuario es requerida para explotar esta vulnerabilidad, ya que el objetivo necesita visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del procesamiento de los formularios XFA. El problema resulta de la falta de comprobación de la existencia de un objeto antes de realizar operaciones sobre el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8669.
Vulnerabilidad en el procesamiento del método util.printf de Javascript (CVE-2019-13318)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Foxit Reader versión 9.5.0.20723. La interacción del usuario es requerida para explotar esta vulnerabilidad, ya que el objetivo necesita visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del procesamiento del método util.printf de Javascript . La aplicación procesa el parámetro %p en la cadena de formato, lo que permite que las direcciones de la pila se devuelvan al script. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8544.
Vulnerabilidad en el manejo de acciones Calculate en las instalaciones afectadas de Foxit PhantomPDF. (CVE-2019-13316)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario sobre las instalaciones afectadas de Foxit PhantomPDF versión 9.5.0.20723. La interacción del usuario es requerida para explotar esta vulnerabilidad, ya que el objetivo necesita visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del manejo de acciones Calculate. El problema resulta de la falta de comprobación de la existencia de un objeto antes de realizar operaciones sobre el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8757.
Vulnerabilidad en el método removeField en las instalaciones afectadas de Foxit Reader. (CVE-2019-13315)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario sobre las instalaciones afectadas de Foxit Reader versión 9.5.0.20723. La interacción del usuario es requerida para explotar esta vulnerabilidad, ya que el objetivo necesita visitar una página maliciosa o abrir un archivo malicioso. El fallo específico se presenta dentro del método removeField. El problema resulta de la falta de comprobación de la existencia de un objeto antes de realizar operaciones sobre el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-8656
Vulnerabilidad en manager/admin_pic.php?rootpath= en joyplus-cms. (CVE-2019-17175)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
08/10/2019
Descripción:
joyplus-cms versión 1.6.0, permite un salto de ruta absoluto de manager/admin_pic.php?rootpath=.
Vulnerabilidad en IBM Security Key Lifecycle Manager. (CVE-2019-4514)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
24/08/2020
Descripción:
IBM Security Key Lifecycle Manager versiones 2.6, 2.7, 3.0 y 3.0.1, divulga información confidencial a usuarios no autorizados. La información puede ser usada para montar futuros ataques en el sistema. ID de IBM X-Force: 165136.
Vulnerabilidad en los Listener AMQP en IBM MQ. (CVE-2019-4227)
Gravedad:
AltaAlta
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
IBM MQ versiones 8.0.0.4 hasta 8.0.0.12, 9.0.0.0 hasta 9.0.0.6, 9.1.0.0 hasta 9.1.0.2 y 9.1.0 hasta 9.1.2. Los Listener AMQP podrían permitir a un usuario no autorizado realizar un ataque de fijación de sesión debido a clientes que no están desconectados como deberían. ID de IBM X-Force: 159352.
Vulnerabilidad en la interfaz de usuario web en IBM Security Key Lifecycle Manager. (CVE-2019-4564)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
09/10/2019
Descripción:
IBM Security Key Lifecycle Manager versiones 2.6, 2.7, 3.0 y 3.0.1, es susceptible a una vulnerabilidad de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código arbitrario JavaScript en la interfaz de usuario web, alterando así la funcionalidad prevista conllevando a la divulgación de credenciales dentro de una sesión confiable.
Vulnerabilidad en myTinyTodo (CVE-2019-13144)
Gravedad:
AltaAlta
Publication date: 05/07/2019
Last modified:
24/08/2020
Descripción:
myTinyTodo versión 1.3.3 hasta la versión 1.4.3 permite la inyección CSV. Esto se ha solucionado en la versión 1.5.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo libfreerdp/codec/region.c en FreeRDP. (CVE-2019-17177)
Gravedad:
MediaMedia
Publication date: 04/10/2019
Last modified:
14/10/2020
Descripción:
El archivo libfreerdp/codec/region.c en FreeRDP versiones hasta 1.1.x y versiones 2.x hasta 2.0.0-rc4, presenta pérdidas de memoria porque un puntero realloc suministrado (es decir, el primer argumento para realloc) también es usado para un valor de retorno realloc.
Vulnerabilidad en REVIEWS_CACHE en mintinstall para Linux Mint (CVE-2019-17080)
Gravedad:
MediaMedia
Publication date: 02/10/2019
Last modified:
08/10/2019
Descripción:
mintinstall (también se conoce como Software Manager) versión 7.9.9 para Linux Mint, permite la ejecución de código si un atacante controla un archivo de REVIEWS_CACHE, ya que se produce un unpickle. Esto se resuelve en 8.0.0 y backports.
Vulnerabilidad en See.sys (CVE-2019-11868)
Gravedad:
MediaMedia
Publication date: 29/07/2019
Last modified:
24/08/2020
Descripción:
See.sys hasta versión 4.25 en el Servidor VPN SoftEther versiones 4.29 o anteriores permite a un usuario llamar a un IOCTL especificando cualquier dirección del kernel en la que se escriben bytes arbitrarios.
Vulnerabilidad en FasterXML (CVE-2019-14379)
Gravedad:
AltaAlta
Publication date: 29/07/2019
Last modified:
20/10/2020
Descripción:
El archivo SubTypeValidator.java en jackson-databind de FasterXML en versiones anteriores a la 2.9.9.2 maneja inapropiadamente la escritura predeterminada cuando se usa ehcache (debido a net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup), lo que conlleva a la ejecución de código remoto.