Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo Functions/EWD_UFAQ_Import.php en el plugin ultimate-faqs para WordPress (CVE-2019-17233)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
El archivo Functions/EWD_UFAQ_Import.php en el plugin ultimate-faqs versiones hasta 1.8.24 para WordPress, permite la inyección de contenido HTML.
Vulnerabilidad en el archivo Functions/EWD_UFAQ_Import.php en el plugin ultimate-faqs para WordPress (CVE-2019-17232)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
El archivo Functions/EWD_UFAQ_Import.php en el plugin ultimate-faqs versiones hasta 1.8.24 para WordPress, permite la importación de opciones no autenticadas.
Vulnerabilidad en el módulo Quotes en SugarCRM (CVE-2019-17297)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección SQL en el módulo Quotes por parte de un usuario Regular.
Vulnerabilidad en el módulo Contacts en SugarCRM (CVE-2019-17296)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección SQL en el módulo Contacts por parte de un usuario Regular.
Vulnerabilidad en el módulo Administration en SugarCRM (CVE-2019-17298)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección SQL en el módulo Administration por parte de un usuario Developer.
Vulnerabilidad en el módulo Administration en SugarCRM (CVE-2019-17299)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo Administration por parte de un usuario Admin.
Vulnerabilidad en el módulo de Administration en SugarCRM (CVE-2019-17300)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo Administration por parte de un usuario Developer.
Vulnerabilidad en el módulo ModuleBuilder en SugarCRM (CVE-2019-17301)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo ModuleBuilder por parte de un usuario Admin.
Vulnerabilidad en el módulo ModuleBuilder en SugarCRM (CVE-2019-17302)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo ModuleBuilder por parte de un usuario Developer.
Vulnerabilidad en el módulo MergeRecords en SugarCRM (CVE-2019-17303)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo MergeRecords por parte de un usuario Developer.
Vulnerabilidad en el módulo MergeRecords en SugarCRM (CVE-2019-17304)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo MergeRecords por parte de un usuario Admin.
Vulnerabilidad en el módulo MergeRecords en SugarCRM (CVE-2019-17305)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo MergeRecords por parte de un usuario Regular.
Vulnerabilidad en el módulo Configurator en SugarCRM (CVE-2019-17306)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo Configurator por parte de un usuario Admin.
Vulnerabilidad en el módulo Tracker en SugarCRM (CVE-2019-17307)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo Tracker por parte de un usuario Admin.
Vulnerabilidad en el módulo Emails en SugarCRM (CVE-2019-17308)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo Emails por parte de un usuario Regular.
Vulnerabilidad en el módulo EmailMan en SugarCRM (CVE-2019-17309)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo EmailMan por parte de un usuario Admin.
Vulnerabilidad en el módulo Campaigns en SugarCRM (CVE-2019-17310)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de código PHP en el módulo Campaigns por parte de un usuario Admin.
Vulnerabilidad en la función attachment en SugarCRM (CVE-2019-17311)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite un salto de directorio en la función attachment por parte de un usuario Regular.
Vulnerabilidad en la función file en SugarCRM (CVE-2019-17312)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite un salto de directorio en la función file por parte de un usuario Regular.
Vulnerabilidad en el módulo Studio en SugarCRM (CVE-2019-17313)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite un salto de directorio en el módulo Studio por parte de un usuario Developer.
Vulnerabilidad en el módulo Configurator en SugarCRM (CVE-2019-17314)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite un salto de directorio en el módulo Configurator por parte de un usuario Admin.
Vulnerabilidad en la función history en SugarCRM (CVE-2019-17295)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección SQL en la función history por parte de un usuario Regular.
Vulnerabilidad en la función export en SugarCRM (CVE-2019-17294)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección SQL en la función export por parte de un usuario Regular.
Vulnerabilidad en el parámetro pmfb_tid en el plugin plugmatter-optin-feature-box-lite para WordPress (CVE-2015-9450)
Gravedad:
AltaAlta
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
El plugin plugmatter-optin-feature-box-lite versiones anteriores a 2.0.14 para WordPress, presenta una inyección SQL por medio del parámetro pmfb_tid de wp-admin/admin-ajax.php?action=pmfb_cc.
Vulnerabilidad en el parámetro pmfb_tid en el plugin plugmatter-optin-feature-box-lite para WordPress (CVE-2015-9451)
Gravedad:
AltaAlta
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
El plugin plugmatter-optin-feature-box-lite versiones anteriores a 2.0.14 para WordPress, presenta una inyección SQL por medio del parámetro pmfb_tid de wp-admin/admin-ajax.php?action=pmfb_mailchimp.
Vulnerabilidad en el parámetro nex_forms_Id en el plugin nex-forms-express-wp-form-builder para WordPress (CVE-2015-9452)
Gravedad:
AltaAlta
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
El plugin nex-forms-express-wp-form-builder versiones anteriores a 4.6.1 para WordPress, presenta una inyección SQL por medio del parámetro nex_forms_Id de wp-admin/admin.php?page=nex-forms-main.
Vulnerabilidad en el módulo Administration en SugarCRM (CVE-2019-17315)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de objetos PHP en el módulo Administration por parte de un usuario Admin.
Vulnerabilidad en el módulo Import en SugarCRM (CVE-2019-17316)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de objetos PHP en el módulo Import por parte de un usuario Regular.
Vulnerabilidad en el módulo UpgradeWizard en SugarCRM (CVE-2019-17317)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección de objetos PHP en el módulo UpgradeWizard por parte de un usuario Admin.
Vulnerabilidad en el módulo pmse_Inbox en SugarCRM (CVE-2019-17318)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección SQL en el módulo pmse_Inbox por parte de un usuario Regular.
Vulnerabilidad en el módulo Emails en SugarCRM (CVE-2019-17319)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
SugarCRM versiones anteriores a 8.0.4 y versiones 9.x anteriores a 9.0.2, permite la inyección SQL en el módulo Emails por parte de un usuario Regular.
Vulnerabilidad en el certificado SSL de api.twitter.com en el framework Twitter Kit para iOS (CVE-2019-16263)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
09/10/2019
Descripción:
El framework Twitter Kit versiones hasta 3.4.2 para iOS no comprueba apropiadamente el certificado SSL de api.twitter.com. Aunque la cadena de certificados debe contener uno de un conjunto de certificados anclados, se presentan determinados errores de implementación, tales como la falta de comprobación del hostname. NOTA: este es un producto al final de su vida útil.
Vulnerabilidad en un archivo SCORM en la root web de la aplicación en SITOS (CVE-2019-15751)
Gravedad:
AltaAlta
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
Una vulnerabilidad de carga de archivos sin restricciones en SITOS Build seis versión v6.2.1, permite a atacantes remotos ejecutar código arbitrario mediante la carga de un archivo SCORM con una extensión ejecutable. Esto permite a un atacante no autenticado cargar un archivo malicioso (que contiene código PHP para ejecutar comandos del sistema operativo) en la root web de la aplicación.
Vulnerabilidad en la función blog en el parámetro id en SITOS (CVE-2019-15750)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la función blog en SITOS Build seis versión v6.2.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro id.
Vulnerabilidad en el cambio de contraseña y dirección de correo electrónico en SITOS (CVE-2019-15749)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
SITOS Build seis versión v6.2.1, permite al usuario cambiar su contraseña y dirección de correo electrónico de recuperación sin requerir que confirme el cambio con su contraseña anterior. Esto permitiría a un atacante con acceso a la cuenta de la víctima (por ejemplo, por medio de un ataque de tipo XSS o una estación de trabajo desatendida) cambiar esa contraseña y dirección.
Vulnerabilidad en un paquete SCORM 2004 en la funcionalidad de carga e importación en SITOS (CVE-2019-15748)
Gravedad:
AltaAlta
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
SITOS Build seis versión v6.2.1, permite a usuarios no autorizados cargar e importar un paquete SCORM 2004 navegando directamente a las páginas afectadas. Un atacante no autenticado podría usar la funcionalidad de carga e importación para importar un paquete SCORM malicioso que incluye un archivo PHP, que podría ejecutar código PHP arbitrario.
Vulnerabilidad en un usuario con el rol Seminar Coordinator en el servidor de SITOS (CVE-2019-15747)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
08/10/2019
Descripción:
SITOS Build seis versión v6.2.1, permite a un usuario con el rol Seminar Coordinator escalar su permiso al rol de Systemadministrator debido a insuficientes comprobaciones en el lado del servidor.
CVE-2019-15746
Gravedad:
AltaAlta
Publication date: 07/10/2019
Last modified:
24/08/2020
Descripción:
SITOS Build seis versión v6.2.1, permite a un atacante inyectar comandos PHP arbitrarios. Como resultado, un atacante puede comprometer el servidor de ejecución y ejecutar comandos de sistema en el contexto del usuario web.
Vulnerabilidad en Micro Focus ArcSight Logger en Logger y HotFix (CVE-2019-11656)
Gravedad:
BajaBaja
Publication date: 04/10/2019
Last modified:
08/10/2019
Descripción:
Una vulnerabilidad de tipo XSS almacenado en Micro Focus ArcSight Logger afecta las versiones anteriores a Logger versión 6.7.1 HotFix versión 6.7.1.8262.0. Esta vulnerabilidad podría permitir la Neutralización Inapropiada de la Entrada Durante la Generación de Páginas Web ("Cross-site Scripting").

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo wp-admin/customize.php en la clase elementor-edit-template en el plugin Elementor Pro para WordPress (CVE-2018-18379)
Gravedad:
MediaMedia
Publication date: 07/10/2019
Last modified:
25/08/2020
Descripción:
La clase elementor-edit-template en el archivo wp-admin/customize.php en el plugin Elementor Pro versiones anteriores a 2.0.10 para WordPress, presenta una vulnerabilidad de tipo XSS.
Vulnerabilidad en El comando kubectl cp permite copiar archivos entre contenedores y la máquina del usuario. (CVE-2019-11249)
Gravedad:
MediaMedia
Publication date: 28/08/2019
Last modified:
10/02/2020
Descripción:
El comando kubectl cp permite copiar archivos entre contenedores y la máquina del usuario. Para copiar archivos de un contenedor, Kubernetes ejecuta tar dentro del contenedor para crear un archivo tar, lo copia a través de la red y kubectl lo descomprime en la máquina del usuario. Si el binario tar en el contenedor es malicioso, podría ejecutar cualquier código y generar resultados inesperados y maliciosos. Un atacante podría usar esto para escribir archivos en cualquier ruta en la máquina del usuario cuando se llama a kubectl cp, limitado solo por los permisos del sistema del usuario local. Las versiones afectadas de Kubernetes incluyen versiones anteriores a la versión 1.13.9, versiones anteriores a la versión 1.14.5, versiones anteriores a la versión 1.15.2 y versiones 1.1, 1.2, 1.4, 1.4, 1.5, 1.6, 1.7, 1.8, 1.9, 1.10, 1.11, 1.12 .