Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el objeto de consulta con un atributo _bsontype en Automattic Mongoose (CVE-2019-17426)
Gravedad:
MediaMedia
Publication date: 10/10/2019
Last modified:
16/10/2019
Descripción:
Automattic Mongoose versiones hasta 5.7.4, permite a atacantes omitir el control de acceso (en algunas aplicaciones) porque cualquier objeto de consulta con un atributo _bsontype es ignorado. Por ejemplo, agregar "_bsontype":"a" a veces puede interferir con un filtro de consulta. NOTA: este CVE trata sobre el fallo de Mongoose para trabajar alrededor de este caso especial de _bsontype que existe en versiones anteriores del analizador bson (también se conoce como el proyecto mongodb/js-bson).
Vulnerabilidad en el protocolo HTTP en la firma http_header en OISF LibHTP usado en Suricata (CVE-2019-17420)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
16/10/2019
Descripción:
En OISF LibHTP versiones anteriores a 0.5.31, como es usado en Suricata versión 4.1.4 y otros productos, un error de análisis del protocolo HTTP hace que la firma http_header no avise en una respuesta con un solo \r\n al final.
Vulnerabilidad en las cuentas de usuario root e inspector en Zingbox Inspector (CVE-2019-15015)
Gravedad:
AltaAlta
Publication date: 09/10/2019
Last modified:
17/02/2020
Descripción:
En Zingbox Inspector, versiones 1.294 y anteriores, las credenciales embebidas para las cuentas de usuario root e inspector están presentes en el software del sistema, lo que puede resultar en que usuarios no autorizados consigan acceso al sistema.
Vulnerabilidad en la línea de comandos en iTerm2 integrada con el modo de control de tmux (CVE-2019-9535)
Gravedad:
AltaAlta
Publication date: 09/10/2019
Last modified:
16/10/2019
Descripción:
Se presenta una vulnerabilidad en la manera en que iTerm2 se integra con el modo de control de tmux, lo que puede permitir a un atacante ejecutar comandos arbitrarios al proporcionar una salida maliciosa al terminal. Esto afecta a versiones de iTerm2 hasta 3.3.5 incluyéndola. Esta vulnerabilidad puede permitir a un atacante ejecutar comandos arbitrarios en la computadora de su víctima al proporcionar una salida maliciosa al terminal. Podría ser explotada utilizando recursos de la línea de comandos que imprimen contenido controlado por el atacante.
Vulnerabilidad en MantisBT (CVE-2019-15715)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
16/10/2019
Descripción:
MantisBT versiones anteriores a 1.3.20 y 2.22.1, permite la Inyección de Comandos de Autenticación Post, lo que conlleva a la Ejecución de Código Remota.
Vulnerabilidad en un socket UDP en la implementación MQTT-SN (asymcute) en RIOT (CVE-2019-17389)
Gravedad:
AltaAlta
Publication date: 09/10/2019
Last modified:
16/10/2019
Descripción:
En RIOT versión 2019.07, la implementación MQTT-SN (asymcute) maneja inapropiadamente los errores que ocurren durante una operación de lectura en un socket UDP. El ciclo de recepción finaliza. Esto permite a un atacante (por medio de un paquete grande) impedir que un cliente MQTT-SN de RIOT opere hasta que el dispositivo sea reiniciado.
Vulnerabilidad en zabbix.php?action=dashboard.view&dashboardid=1 en Zabbix (CVE-2019-17382)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
16/10/2019
Descripción:
Se detectó un problema en zabbix.php?action=dashboard.view&dashboardid=1 en Zabbix versiones hasta 4.4. Un atacante puede omitir la página login y acceder a la página dashboard, y luego crear un Dashboard, Report, Screen, o Map sin ningún Nombre de Usuario/Contraseña (es decir, de forma anónima). Todos los elementos creados (Dashboard/Report/Screen/Map) son accesibles por otros usuarios y por un administrador.
Vulnerabilidad en pbs_mom en Altair PBS Professional. (CVE-2019-15719)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
16/10/2019
Descripción:
Altair PBS Professional versión hasta 19.1.2, permite la escalada de privilegios porque un atacante puede enviar un mensaje directamente a pbs_mom, que no puede autenticar el mensaje apropiadamente. Esto resulta en la ejecución de código como un usuario arbitrario.
Vulnerabilidad en el archivo admin/member_deal.php en la página Admin Panel en OTCMS. (CVE-2019-17369)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
16/10/2019
Descripción:
OTCMS versión v3.85, presenta una vulnerabilidad de tipo CSRF en la página Admin Panel del archivo admin/member_deal.php, conllevando a la creación de una nueva cuenta de grupo de administración, como es demostrado por un superadmin.
Vulnerabilidad en la funcionalidad ping del router Moxa EDR 810. (CVE-2019-10969)
Gravedad:
MediaMedia
Publication date: 08/10/2019
Last modified:
23/10/2019
Descripción:
Moxa EDR 810, todas las versiones 5.1 y anteriores, permite a un atacante autenticado abusar de la funcionalidad ping para ejecutar comandos no autorizados en el enrutador, lo que puede permitir a un atacante realizar la ejecución de código remota.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en OpenSSH compila con un tipo de clave experimental (CVE-2019-16905)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
22/10/2019
Descripción:
OpenSSH 7.7 a 7.9 y 8.x anterior de la versión 8.1, cuando se compila con un tipo de clave experimental, tiene un desbordamiento de entero de identificación previa si un cliente o servidor está configurado para usar una clave XMSS especialmente diseñada. Esto conduce a la corrupción de la memoria y la ejecución del código local debido a un error en el algoritmo de análisis de claves XMSS. NOTA: la implementación de XMSS se considera experimental en todas las versiones de OpenSSH lanzadas, y no hay una forma compatible para habilitarla al crear OpenSSH portátil.
Vulnerabilidad en la biblioteca adm-zip (CVE-2018-1002204)
Gravedad:
MediaMedia
Publication date: 25/07/2018
Last modified:
16/10/2019
Descripción:
La biblioteca adm-zip en versiones anteriores a la 0.4.9 es vulnerable a un salto de directorio, lo que permite que los atacantes escriban en archivos arbitrarios mediante un ../ (punto punto barra) en una entrada de archivo Zip que se gestiona de manera incorrecta durante la extracción. Esta vulnerabilidad también se conoce como "Zip-Slip".
Vulnerabilidad en el plugin Helpdesk Pro para Joomla! (CVE-2015-4075)
Gravedad:
MediaMedia
Publication date: 20/09/2017
Last modified:
16/10/2019
Descripción:
El plugin Helpdesk Pro en versiones anteriores a la 1.4.0 para Joomla! permite que los atacantes remotos escriban en archivos .ini arbitrarios mediante una tarea language.save manipulada.
Vulnerabilidad en Pagure (CVE-2017-1002151)
Gravedad:
MediaMedia
Publication date: 14/09/2017
Last modified:
16/10/2019
Descripción:
Pagure, en su versión 3.3.0 y anteriores, es vulnerable a una pérdida de confidencialidad debida a una autorización incorrecta.
Vulnerabilidad en IBM Domino (CVE-2016-6087)
Gravedad:
MediaMedia
Publication date: 07/06/2017
Last modified:
16/10/2019
Descripción:
IBM Domino versiones 8.5 y 9.0 podría permitir a un atacante robar credenciales utilizando varias sesiones y grandes cantidades de datos mediante la validación de Domino TLS Key Exchange. IBM X-Force ID: 117918.
Vulnerabilidad en la Consola de Java en IBM Domino (CVE-2016-0304)
Gravedad:
MediaMedia
Publication date: 28/06/2016
Last modified:
16/10/2019
Descripción:
La Consola de Java en IBM Domino 8.5.x en versiones anteriores a 8.5.3 FP6 IF13 y 9.x en versiones anteriores a 9.0.1 FP6, cuando se utiliza una cierta configuración no compatible que involucra nombres de ruta compartidos UNC, permite a atacantes remotos eludir autenticación y posiblemente ejecutar código arbitrario a través de vectores no especificados, también conocida como SPR KLYHA7MM3J. NOTA: esta vulnerabilidad existe debido a una solución incompleta para CVE-2011-0920.
Vulnerabilidad en el filtro KeyView PDF en IBM Domino (CVE-2016-0279)
Gravedad:
MediaMedia
Publication date: 26/06/2016
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer basado en memoria dinámica en el filtro KeyView PDF en IBM Domino 8.5.x en versiones anteriores a 8.5.3 FP6 IF13 y 9.x en versiones anteriores a 9.0.1 FP6 permite a atacantes remotos ejecutar código arbitrario a través de un documento PDF manipulado, una vulnerabilidad diferente a CVE-2016-0277, CVE-2016-0278 y CVE-2016-0301.
Vulnerabilidad en el filtro KeyView PDF en IBM Domino (CVE-2016-0278)
Gravedad:
MediaMedia
Publication date: 26/06/2016
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer basado en memoria dinámica en el filtro KeyView PDF en IBM Domino 8.5.x en versiones anteriores a 8.5.3 FP6 IF13 y 9.x en versiones anteriores a 9.0.1 FP6 permite a atacantes remotos ejecutar código arbitrario a través de un documento PDF manipulado, una vulnerabilidad diferente a CVE-2016-0277, CVE-2016-0279 y CVE-2016-0301.
Vulnerabilidad en el filtro KeyView PDF en IBM Domino (CVE-2016-0277)
Gravedad:
MediaMedia
Publication date: 26/06/2016
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer basado en memoria dinámica en el filtro KeyView PDF en IBM Domino 8.5.x en versiones anteriores a 8.5.3 FP6 IF13 y 9.x en versiones anteriores a 9.0.1 FP6 permite a atacantes remotos ejecutar código arbitrario a través de un documento PDF manipulado, una vulnerabilidad diferente a CVE-2016-0278, CVE-2016-0279 y CVE-2016-0301.
Vulnerabilidad en el filtro KeyView PDF en IBM Domino (CVE-2016-0301)
Gravedad:
MediaMedia
Publication date: 26/06/2016
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer basado en memoria dinámica en el filtro KeyView PDF en IBM Domino 8.5.x en versiones anteriores a 8.5.3 FP6 IF13 y 9.x en versiones anteriores a 9.0.1 FP6 permite a atacantes remotos ejecutar código arbitrario a través de un documento PDF manipulado, una vulnerabilidad diferente a CVE-2016-0277, CVE-2016-0278 y CVE-2016-0279.
Vulnerabilidad en IBM Domino (CVE-2015-5040)
Gravedad:
AltaAlta
Publication date: 29/10/2015
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer en IBM Domino 8.5.1 hasta la versión 8.5.3 en versiones anteriores a 8.5.3 FP6 IF10 y 9.x en versiones anteriores a 9.0.1 FP4 IF3 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (caída de demonio SMTP) a través de una imagen GIF manipulada, también conocida como SPRs KLYH9ZDKRE y KLYH9ZTLEZ, una vulnerabilidad diferente a CVE-2015-4994.
Vulnerabilidad en IBM Domino (CVE-2015-4994)
Gravedad:
AltaAlta
Publication date: 29/10/2015
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer en IBM Domino 8.5.1 hasta la versión 8.5.3 en versiones anteriores a 8.5.3 FP6 IF10 y 9.x en versiones anteriores a 9.0.1 FP4 IF3 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (caída de demonio SMTP) a través de una imagen GIF manipulada, también conocida como SPRs KLYH9ZDKRE y KLYH9ZTLEZ, una vulnerabilidad diferente a CVE-2015-5040.
Vulnerabilidad en Servidor web en IBM Domino (CVE-2015-2014)
Gravedad:
MediaMedia
Publication date: 22/08/2015
Last modified:
16/10/2019
Descripción:
Vulnerabilidad de redireccionamiento abierto en el servidor web en IBM Domino en 8.5 en versiones anteriores a 8.5.3 FP6 IF9 y en 9.0 en versiones anteriores a 9.0.1 FP4, permite a atacantes remotos redirigir a los usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing o cross-site scripting (XSS) a través de URL manipuladas, también conocida como SPR SJAR9DNGDA.
Vulnerabilidad en IBM Domino (CVE-2015-1981)
Gravedad:
BajaBaja
Publication date: 28/06/2015
Last modified:
16/10/2019
Descripción:
Vulnerabilidad de XSS en el servidor web en IBM Domino 8.5.x anterior a 8.5.3 FP6 IF8 y 9.x anterior a 9.0.1 FP4, cuando Webmail está deshabilitado, permite a usuarios remotos autenticados inyectar secuencias de comandos web arbitrarios o HTML a través de una URL manipulada, también conocida como SPR KLYH9WYPR5.
Vulnerabilidad en IBM Domino (CVE-2015-1903)
Gravedad:
AltaAlta
Publication date: 20/05/2015
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer basado en pila en IBM Domino 8.5 anterior a 8.5.3 FP6 IF7 y 9.0 anterior a 9.0.1 FP3 IF3 permite a atacantes remotos ejecutar código arbitrario a través de una imagen BMP manipulada, también conocido como SPR KLYH9TSN3Y.
Vulnerabilidad en IBM Domino (CVE-2015-1902)
Gravedad:
AltaAlta
Publication date: 20/05/2015
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer basado en pila en IBM Domino 8.5 anterior a 8.5.3 FP6 IF7 y 9.0 anterior a 9.0.1 FP3 IF3 permite a atacantes remotos ejecutar código arbitrario a través de una imagen BMP manipulada, también conocido como SPR KLYH9TSMLA.
Vulnerabilidad en IBM Domino (CVE-2015-0135)
Gravedad:
AltaAlta
Publication date: 21/04/2015
Last modified:
16/10/2019
Descripción:
IBM Domino 8.5 anterior a 8.5.3 FP6 IF4 y 9.0 anterior a 9.0.1 FP3 IF2 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (truncación de enteros y caída de aplicación) a través de una imagen GIF manipulada, también conocido como SPR KLYH9T7NT9.
Vulnerabilidad en el servidor LDAP en IBM Domino (CVE-2015-0117)
Gravedad:
AltaAlta
Publication date: 05/04/2015
Last modified:
16/10/2019
Descripción:
El servidor LDAP en IBM Domino 8.5.x anterior a 8.5.3 FP6 IF6 y 9.x anterior a 9.0.1 FP3 IF1 permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria) a través de vectores no especificados, también conocido como SPR KLYH9SLRGM.
Vulnerabilidad en Notes System Diagnostic en IBM Domino (CVE-2015-0179)
Gravedad:
AltaAlta
Publication date: 05/04/2015
Last modified:
16/10/2019
Descripción:
Notes System Diagnostic (NSD) en IBM Domino 8.5.x anterior a 8.5.3 FP6 IF6 y 9.x anterior a 9.0.1 FP3 IF1 permite a usuarios locales obtener el privilegio System a través de vectores no especificados, también conocido como SPR TCHL9SST8V.
Vulnerabilidad en la implementación SSLv2 en IBM Domino (CVE-2015-0134)
Gravedad:
AltaAlta
Publication date: 05/04/2015
Last modified:
16/10/2019
Descripción:
Desbordamiento de buffer en la implementación SSLv2 en IBM Domino 8.5.x anterior a 8.5.1 FP5 IF3, 8.5.2 anterior a FP4 IF3, 8.5.3 anterior a FP6 IF6, 9.0 anterior a IF7, y 9.0.1 anterior a FP2 IF3 permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados.