Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el método ReGa.runScript en eQ-3 HomeMatic CCU3 (CVE-2019-15850)
Gravedad:
AltaAlta
Publication date: 17/10/2019
Last modified:
24/08/2020
Descripción:
eQ-3 HomeMatic CCU3 firmware versión 3.41.11, permite la Ejecución de Código Remota en el método ReGa.runScript. Un atacante autenticado puede ejecutar código fácilmente y comprometer el sistema.
Vulnerabilidad en el archivo app/system/admin/admin/index.class.php en una acción doSaveSetup en MetInfo (CVE-2019-17676)
Gravedad:
MediaMedia
Publication date: 17/10/2019
Last modified:
21/10/2019
Descripción:
El archivo app/system/admin/admin/index.class.php en MetInfo versión 7.0.0beta, permite que un ataque CSRF agregue una cuenta de usuario mediante una acción doSaveSetup en archivo admin/index.php, como es demostrado por un URI admin/?n=admin&c=index&a=doSaveSetup.
Vulnerabilidad en el archivo drivers/net/wireless/realtek/rtlwifi/ps.c en la función rtl_p2p_noa_ie en el kernel de Linux (CVE-2019-17666)
Gravedad:
AltaAlta
Publication date: 17/10/2019
Last modified:
24/10/2019
Descripción:
En la función rtl_p2p_noa_ie en el archivo drivers/net/wireless/realtek/rtlwifi/ps.c en el kernel de Linux versiones hasta 5.3.6, carece de una cierta comprobación de límite superior, lo que conlleva a un desbordamiento del búfer.
Vulnerabilidad en la biblioteca jansi.dll en NSA Ghidra (CVE-2019-17665)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
NSA Ghidra versiones anteriores a 9.0.2, es vulnerable al secuestro de DLL porque carga la biblioteca jansi.dll desde el directorio de trabajo actual.
Vulnerabilidad en la opción "Ghidra Codebrowser Window Python" en NSA Ghidra (CVE-2019-17664)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
NSA Ghidra versiones hasta 9.0.4, utiliza una ruta de búsqueda potencialmente no confiable. Al ejecutar Ghidra desde una ruta determinada, el directorio de trabajo del proceso Java se establece en esta ruta. Luego, al iniciar el intérprete de Python por medio de la opción "Ghidra Codebrowser ) Window ) Python", Ghidra intentará ejecutar el programa cmd.exe desde este directorio de trabajo.
Vulnerabilidad en la interfaz de administración basada en web de Cisco SPA122 ATA con dispositivos Enrutadores (CVE-2019-12703)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco SPA122 ATA con dispositivos Enrutadores, podría permitir que un atacante adyacente no autenticado realice ataques de secuencias de comandos en sitios cruzados. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz de administración basada en web del software afectado. Un atacante podría explotar esta vulnerabilidad mediante el envío de información maliciosa al software afectado por medio de peticiones DHCP diseñadas y luego persuadiendo a un usuario para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en navegador.
Vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2019-12638)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE), podría permitir a un atacante remoto autenticado conducir ataques de tipo cross-site scripting (XSS) contra un usuario de la interfaz de administración basada en web. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario que es procesada mediante la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz o acceder a información confidencial basada en navegador.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-12702)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podría permitir a un atacante remoto autenticado conducir ataques de tipo cross-site scripting. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz de administración basada en web del software afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en navegador.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-12704)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/10/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podría permitir a un atacante remoto autenticado visualice el contenido de archivos arbitrarios en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada inapropiada en la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada hacia la interfaz de administración basada en web de un dispositivo afectado. Una explotación con éxito podría permitir al atacante recuperar el contenido de archivos arbitrarios en el dispositivo, posiblemente resultando en la divulgación de información confidencial.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-12708)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podría permitir a un atacante remoto autenticado acceder a información confidencial en un dispositivo afectado. La vulnerabilidad es debido a un manejo no seguro de las credenciales de usuario. Un atacante podría explotar esta vulnerabilidad al visualizar partes de la interfaz de administración basada en web de un dispositivo afectado. Una explotación con éxito podría permitir al atacante acceder a credenciales administrativas y alcanzar potencialmente privilegios elevados mediante la reutilización de credenciales robadas en el dispositivo afectado.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15257)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
09/10/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podría permitir a un atacante remoto autenticado acceder a información confidencial en un dispositivo afectado. La vulnerabilidad es debido a restricciones inapropiadas en la información de configuración. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición hacia un dispositivo afectado por medio de la interfaz de administración basada en web. Una explotación con éxito podría permitir al atacante traer de vuelta información de configuración de la ejecución que también podría incluir información confidencial.
Vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE) Software (CVE-2019-15273)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
09/10/2020
Descripción:
Múltiples vulnerabilidades en la CLI de Cisco TelePresence Collaboration Endpoint (CE) Software, podrían permitir a un atacante local autenticado sobrescribir archivos arbitrarios. Las vulnerabilidades son debido a la insuficiente aplicación de permisos. Un atacante podría explotar estas vulnerabilidades al autenticarse como usuario de soporte remoto y enviando entradas maliciosas en comandos específicos. Una explotación con éxito podría permitir al atacante sobrescribir archivos arbitrarios en el sistema de archivos subyacente. El atacante no tiene control sobre el contenido de los datos escritos en el archivo. Sobrescribir un archivo crítico podría causar que el dispositivo se bloquee, resultando en una condición de denegación de servicio (DoS).
Vulnerabilidad en la CLI Cisco TelePresence Collaboration Endpoint (CE) Software (CVE-2019-15274)
Gravedad:
AltaAlta
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en la CLI de Cisco TelePresence Collaboration Endpoint (CE) Software, podría permitir a un atacante local autenticado realizar inyecciones de comandos. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad al autenticarse como usuario de nivel administrativo dentro del shell restringido y enviando datos maliciosos en un comando específico. Una explotación con éxito podría permitir al atacante ejecutar código previamente ensamblado desde el sistema de archivos subyacente.
Vulnerabilidad en el archivo log_clear.php en algunas interfaces web en los enrutadores D-Link DIR-412 (CVE-2019-17512)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
24/08/2020
Descripción:
Existen algunas interfaces web sin requisitos de autenticación en los enrutadores D-Link DIR-412 versión A1-1.14WW. Un atacante puede borrar el archivo de registro del enrutador por medio de act=clear&logtype=sysact en el archivo log_clear.php, lo que podría ser usado para borrar rastros de ataque.
Vulnerabilidad en el producto Siebel Core - DB Deployment and Configuration de Oracle Siebel CRM (CVE-2019-2965)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Siebel Core - DB Deployment and Configuration de Oracle Siebel CRM (componente: Install - Configuration). Las versiones compatibles que están afectadas son 19.8 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer Siebel Core - Implementación y configuración de bases de datos. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Siebel Core - DB Deployment and Configuration. CVSS 3.0 Puntuación Base 7.5 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle iStore de Oracle E-Business Suite (CVE-2019-2990)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle iStore de Oracle E-Business Suite (componente: Order Tracker). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.9. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle iStore. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle iStore, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle iStore, así como también actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle iStore. CVSS 3.0 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Marketing de Oracle E-Business Suite (CVE-2019-2994)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle Marketing de Oracle E-Business Suite (componente: Marketing Administration). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Marketing. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Marketing, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Marketing, así como también en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Marketing. CVSS 3.0 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Marketing de Oracle E-Business Suite (CVE-2019-2995)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle Marketing de Oracle E-Business Suite (componente: Marketing Administration). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.9. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Marketing. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Marketing, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Marketing, así como también en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Marketing. CVSS 3.0 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Marketing de Oracle E-Business Suite (CVE-2019-3000)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle Marketing de Oracle E-Business Suite (componente: Marketing Administration). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.9. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Marketing. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Marketing, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Marketing, así como también en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Marketing. CVSS 3.0 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (CVE-2019-3020)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Las versiones compatibles que están afectadas son 15.1.0 hasta15.2.18, 16.1.0 hasta 16.2.18, 17.1.0 hasta 17.12.14 y 18.1.0 hasta 18.8.11. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Primavera P6 Enterprise Project Portfolio Management. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Primavera P6 Enterprise Project Portfolio Management, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Primavera P6 Enterprise Project Portfolio Management, así como también el acceso no autorizado a datos críticos o el acceso total a todos los datos accesibles de Primavera P6 Enterprise Project Portfolio Management. CVSS 3.0 Puntuación Base 9.3 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N).
Vulnerabilidad en Oracle Content Manager de Oracle E-Business Suite (CVE-2019-3022)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle Content Manager de Oracle E-Business Suite (componente: Content). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.9. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Content Manager. Aunque la vulnerabilidad se encuentre en Oracle Content Manager, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Content Manager. CVSS 3.0 Puntuación Base 5.8 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N).
Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2019-3023)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Stylesheet). Las versiones compatibles que están afectadas son 8.56 y 8.57. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise PeopleTools. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en PeopleSoft Enterprise PeopleTools, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.0 Puntuación Base 4.7 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N).
Vulnerabilidad en Oracle Installed Base de Oracle E-Business Suite (CVE-2019-3024)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle Installed Base de Oracle E-Business Suite (componente: Engineering Change Order). Las versiones compatibles que están afectadas son 12.2.3 hasta 12.2.9. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Installed Base. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Installed Base, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Installed Base. CVSS 3.0 Puntuación Base 4.7 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N).
Vulnerabilidad en Oracle Application Object Library de Oracle E-Business Suite (CVE-2019-3027)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle Application Object Library de Oracle E-Business Suite (componente: Login Help). Las versiones compatibles que están afectadas son 12.2.5 hasta 12.2.9. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Application Object Library. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Application Object Library. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-3028)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
01/04/2020
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 5.2.34 y anteriores a 6.0.14. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde es ejecutado Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentre en Oracle VM VirtualBox, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 8.8 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-3031)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
23/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 5.2.34 y anteriores a 6.0.14. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde es ejecutado Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad se encuentre en Oracle VM VirtualBox, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 6.0 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N).
Vulnerabilidad en el proceso del servidor Kea DHCPv4 (kea-dhcp4) (CVE-2019-6473)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una opción de nombre de host no válido puede desencadenar un fallo de aserción en el proceso del servidor Kea DHCPv4 (kea-dhcp4), causando que el proceso del servidor se cierre. Versiones afectadas: 1.4.0 hasta 1.5.0, 1.6.0-beta1 y 1.6.0-beta2.
Vulnerabilidad en el servidor VNC en ThinVNC. (CVE-2019-17662)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
24/08/2020
Descripción:
ThinVNC versión 1.0b1, es vulnerable a la lectura arbitraria de archivos, lo que conlleva a un compromiso del servidor VNC. La vulnerabilidad se presenta incluso cuando la autenticación se activa durante la implementación del servidor VNC. La contraseña para la autenticación es almacenada en texto sin cifrar en un archivo que se puede leer por medio de un vector de ataque de salto de directorio de ../../ThinVnc.ini.
Vulnerabilidad en el producto Oracle WebLogic Server (CVE-2019-2891)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 8.1 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto Enterprise Manager for Exadata de Oracle Enterprise Manager (CVE-2019-2895)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Enterprise Manager for Exadata de Oracle Enterprise Manager (componente: Exadata Plug-In Deploy and Ins). Las versiones compatibles afectadas son 12.1.0.5.0, 13.2.2.0.0, 13.3.1.0.0 y 13.3.2.0.0. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Enterprise Manager for Exadata. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Enterprise Manager for Exadata. CVSS 3.0 Puntuación Base 7.5 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto MICROS Relate CRM Software de Oracle Retail Applications (CVE-2019-2896)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto MICROS Relate CRM Software de Oracle Retail Applications (componente: Internal Operations). Las versiones compatibles que están afectadas son 7.1.0, 15.0.0, 16.0.0, 17.0.0 y 18.0.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a MICROS Relate CRM Software. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles del software MICROS Relate CRM. CVSS 3.0 Puntuación Base 5.9 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2922)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 5.6.45 y anteriores y 5.7.27 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle Field Service de Oracle E-Business Suite (CVE-2019-2930)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el producto Oracle Field Service de Oracle E-Business Suite (componente: Wireless). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.8. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Field Service. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Field Service, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Field Service. CVSS 3.0 Puntuación Base 4.7 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N).
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2019-2932)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Tree Manager). Las versiones compatibles que están afectadas son 8.56 y 8.57. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise PeopleTools. Aunque la vulnerabilidad se encuentre en PeopleSoft Enterprise PeopleTools, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.0 Puntuación Base 7.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N).
CVE-2019-2942
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad en el producto Oracle Advanced Outbound Telephony de Oracle E-Business Suite (componente: User Interface). Las versiones compatibles que están afectadas son 12.1.1 hasta 12.1.3 y 12.2.3 hasta 12.2.8. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Advanced Outbound Telephony. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Advanced Outbound Telephony, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Advanced Outbound Telephony, así como también actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Advanced Outbound Telephony. CVSS 3.0 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Sonatype Nexus Repository Manager (CVE-2019-15893)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
24/08/2020
Descripción:
Sonatype Nexus Repository Manager versiones 2.x anteriores a 2.14.15, permite la ejecución de código remota.
Vulnerabilidad en los archivos de trabajo config.xml en Jenkins iceScrum Plugin (CVE-2019-10443)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
30/10/2019
Descripción:
Jenkins iceScrum Plugin versión 1.1.4 y anteriores, almacenó las credenciales no encriptadas en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con permiso de Lectura Extendida o acceder al sistema de archivos maestro.
Vulnerabilidad en una URL en Jenkins iceScrum Plugin (CVE-2019-10441)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins iceScrum Plugin versión 1.1.5 y anteriores, permitió a atacantes conectar con una URL especificada por el atacante usando credenciales especificadas por el atacante.
Vulnerabilidad en su archivo de configuración global y en los archivos config.xml en Jenkins NeoLoad Plugin (CVE-2019-10440)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
30/10/2019
Descripción:
Jenkins NeoLoad Plugin versión 2.2.5 y anteriores, almacenó las credenciales no encriptadas en su archivo de configuración global y en los archivos de trabajo config.xml en el maestro de Jenkins, donde los usuarios pueden visualizarlos con permiso de Lectura Extendida o acceso al sistema de archivos maestro.
Vulnerabilidad en la función LZ4_compress_destSize en LZ4_write32 en LZ4 (CVE-2019-17543)
Gravedad:
MediaMedia
Publication date: 14/10/2019
Last modified:
20/10/2020
Descripción:
LZ4 versiones anteriores a 1.9.2, presenta un desbordamiento de búfer en la región heap de la memoria en LZ4_write32 (relacionado con la función LZ4_compress_destSize), que afecta a las aplicaciones que llaman a LZ4_compress_fast con una entrada larga. (Este problema también puede conllevar a la corrupción de datos). NOTA: el fabricante indica que "solo unos pocos usos específicos / poco comunes de la API están en riesgo".
Vulnerabilidad en el archivo ogr/ogr_expat.cpp en la función OGRExpatRealloc en poolDestroy en GDAL (CVE-2019-17545)
Gravedad:
AltaAlta
Publication date: 14/10/2019
Last modified:
09/11/2019
Descripción:
GDAL versiones hasta 3.0.1, presenta una vulnerabilidad de doble liberación de poolDestroy en la función OGRExpatRealloc en el archivo ogr/ogr_expat.cpp cuando se excede el umbral de 10 MB.
Vulnerabilidad en el portal de aplicaciones web del Cobham EXPLORER 710. (CVE-2019-9529)
Gravedad:
MediaMedia
Publication date: 10/10/2019
Last modified:
21/10/2019
Descripción:
El portal de aplicaciones web del Cobham EXPLORER 710, versión de firmware 1.07, no presenta autenticación por defecto. Esto podría permitir que un atacante local no autenticado conectado al dispositivo acceda al portal y realice cualquier cambio en el dispositivo.
Vulnerabilidad en la implementación del protocolo Label Distribution Protocol (LDP) en EOS. (CVE-2019-14810)
Gravedad:
MediaMedia
Publication date: 10/10/2019
Last modified:
21/10/2019
Descripción:
Se ha encontrado una vulnerabilidad en la implementación del protocolo Label Distribution Protocol (LDP) en EOS. En condiciones de carrera, el agente de LDP puede establecer una sesión de LDP con un peer malicioso, permitiendo potencialmente la posibilidad de un ataque de Denegación de Servicio (DoS) sobre las actualizaciones de ruta y, a su vez, conllevando potencialmente a una condición Out of Memory (OOM) que es perjudicial para el reenvío de tráfico. Las versiones EOS afectadas incluyen: tren de publicaciones de 4.22: 4.22.1F y versiones anteriores; tren de publicaciones de 4.21: 4.21.0F hasta 4.21.2.3F, 4.21.3F hasta 4.21.7.1M; tren de publicaciones de 4.20: 4.20.14M y versiones anteriores; tren de publicaciones de 4.19: 4.19.12M y versiones anteriores; trenes de publicaciones de fin de soporte (4.18 y 4.17)
Vulnerabilidad en Juniper Networks SBR Carrier (CVE-2019-0072)
Gravedad:
BajaBaja
Publication date: 09/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad de Almacenamiento No Protegido de Credenciales en el procedimiento de generación de certificados de administración de identidad y acceso, permite a un atacante local conseguir acceso a información confidencial. Este problema afecta a: Juniper Networks SBR Carrier: versiones 8.4.1 anteriores a 8.4.1R13; versiones 8.5.0 anteriores a 8.5.0R4.
Vulnerabilidad en el archivo /var/WEB-GUI/cgi-bin/telnet.cgi en dispositivos FiberHome HG2201T. (CVE-2019-17186)
Gravedad:
AltaAlta
Publication date: 08/10/2019
Last modified:
21/10/2019
Descripción:
El archivo /var/WEB-GUI/cgi-bin/telnet.cgi en dispositivos FiberHome HG2201T versión 1.00.M5007_JS_201804, permite la ejecución de código remota de autenticación previa.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en MuleSoft Mule Community Edition (CVE-2019-13116)
Gravedad:
AltaAlta
Publication date: 16/10/2019
Last modified:
29/10/2019
Descripción:
El motor de tiempo de ejecución de MuleSoft Mule Community Edition versiones anteriores a 3.8, permite a los atacantes remotos ejecutar código arbitrario debido a la deserialización de Java, relacionada con Apache Commons Collections.
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2964)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Concurrency). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad solo puede ser explotada suministrando datos a las API en el Componente especificado sin usar aplicaciones Java Web Start no confiables o applets Java no confiables, tal y como un servicio web. CVSS 3.0 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
CVE-2019-2962
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: 2D). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2975)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Scripting). Las versiones compatibles que están afectadas son en Java SE: 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Java SE, Java SE Embedded y en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 4.8 (Impactos de la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L).
CVE-2019-2981
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: JAXP). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2983)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Serialization). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el producto Java SE de Oracle Java SE (CVE-2019-2987)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
18/08/2020
Descripción:
Una vulnerabilidad en el producto Java SE de Oracle Java SE (componente: 2D). Las versiones compatibles que están afectadas son en Java SE: 11.0.4 y 13. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2988)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: 2D). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad no aplica a las implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.0 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2992)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: 2D). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad no aplica a las implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.0 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en un DUID en el proceso del servidor Kea DHCPv6 (kea-dhcp6) (CVE-2019-6472)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
05/12/2019
Descripción:
Un paquete que contiene un DUID malformado puede hacer que el proceso del servidor Kea DHCPv6 (kea-dhcp6) se cierre debido a un error de aserción. Versiones afectadas: 1.4.0 hasta 1.5.0, 1.6.0-beta1 y 1.6.0-beta2.
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2958)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 5.9 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N).
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2933)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 3.1 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2945)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Networking). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad no aplica a las implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.0 Puntuación Base 3.1 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L).
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (CVE-2019-2949)
Gravedad:
MediaMedia
Publication date: 16/10/2019
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Kerberos). Las versiones compatibles que están afectadas son en Java SE: 7u231, 8u221, 11.0.4 y 13; en Java SE Embedded: 8u221. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de Kerberos comprometer a Java SE, Java SE Embedded. Aunque la vulnerabilidad se encuentre en Java SE, Java SE Embedded, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Java SE, Java SE Embedded. Nota: Esta vulnerabilidad aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones de Java Web Start en sandbox o applets de Java en sandbox (en Java SE 8), que cargan y ejecutan código no confiable (por ejemplo, código proveniente del Internet) y dependen del sandbox de Java para la seguridad. Esta vulnerabilidad también puede ser explotada mediante el uso de la API en el componente especificado, por ejemplo, por medio de un servicio web que suministra datos a las API. CVSS 3.0 Puntuación Base 6.8 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N).
Vulnerabilidad en el demonio de administración (MGD) en la CLI de Juniper Networks Junos OS en plataforma Linux (CVE-2019-0061)
Gravedad:
AltaAlta
Publication date: 09/10/2019
Last modified:
28/09/2020
Descripción:
El demonio de administración (MGD) es responsable de todas las operaciones de configuración y gestión en el sistema operativo Junos. La CLI de Junos se comunica con MGD por medio de un socket de dominio unix interno y se le otorga un permiso especial para abrir este socket de modo protegido. Debido a una configuración incorrecta del socket interno, un usuario autenticado local puede explotar esta vulnerabilidad para alcanzar privilegios administrativos. Este problema solo afecta a las plataformas basadas en Linux. Las plataformas basadas en FreeBSD no están afectadas por esta vulnerabilidad. La explotación de esta vulnerabilidad requiere acceso al shell de Junos. Este problema no puede ser explotado desde la CLI de Junos. Este problema afecta al Juniper Networks Junos OS: versiones 15.1X49 anteriores a 15.1X49-D171, 15.1X49-D180; versiones 15.1X53 anteriores a 15.1X53-D496, 15.1X53-D69; versiones 16.1 anteriores a 16.1R7-S4; versiones 16.2 anteriores a 16.2R2-S9; versiones 17.1 anteriores a 17.1R3; versiones 17.2 anteriores a 17.2R1-S8, 17.2R2-S7, 17.2R3-S1; versiones 17.3 anteriores a 17.3R3-S4; versiones 17.4 anteriores a 17.4R1-S6, 17.4R1-S7, 17.4R2-S3, 17.4R3; versiones 18.1 anteriores a 18.1R2-S4, 18.1R3-S4; versiones 18.2 anteriores a 18.2R1-S5, 18.2R2-S2, 18.2R3; versiones 18.3 anteriores a 18.3R1-S3, 18.3R2; versiones 18.4 anteriores a 18.4R1-S2, 18.4R2.
Vulnerabilidad en J-Web en Juniper Networks Junos OS en dispositivos de la Serie EX y SRX (CVE-2019-0062)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
22/07/2020
Descripción:
Una vulnerabilidad de fijación de sesión en J-Web en Junos OS puede permitir a un atacante utilizar técnicas de ingeniería social para arreglar y secuestrar una sesión web de administradores de J-Web y potencialmente conseguir acceso administrativo al dispositivo. Este problema afecta a: Juniper Networks Junos OS versiones 12.3 anteriores a 12.3R12-S15 en la serie EX; versiones 12.3X48 anteriores a 12.3X48-D85 en la serie SRX; versiones 14.1X53 anteriores a 14.1X53-D51; versiones 15.1 anteriores a 15.1F6-S13, 15.1R7-S5; versiones 15.1X49 anteriores a 15.1X49-D180 en la serie SRX; versiones 15.1X53 anteriores a 15.1X53-D238; versiones 16.1 anteriores a 16.1R4-S13, 16.1R7-S5; versiones 16.2 anteriores a 16.2R2-S10; versiones 17.1 anteriores a 17.1R3-S1; versiones 17.2 anteriores a 17.2R2-S8, 17.2R3-S3; versiones 17.3 anteriores a 17.3R3-S5; versiones 17.4 anteriores a 17.4R2-S8, 17.4R3; versiones 18.1 anteriores a 18.1R3-S8; versiones 18.2 anteriores a 18.2R3; versiones 18.3 anteriores a 18.3R3; versiones 18.4 anteriores a 18.4R2; versiones 19.1 anteriores a 19.1R1-S2, 19.1R2.
Vulnerabilidad en una interfaz de suscriptor en jdhcpd en MX Series Broadband Remote Access Server configurado como una Broadband Network Gateway (BNG) (CVE-2019-0063)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
22/07/2020
Descripción:
Cuando un MX Series Broadband Remote Access Server es configurado como una Broadband Network Gateway (BNG) con DHCPv6 habilitado, jdhcpd podría bloquearse cuando se recibe un mensaje de respuesta DHCP específico en una interfaz de suscriptor. El demonio se reinicia automáticamente sin intervención, pero la recepción continua de mensajes DHCP específicos diseñados bloqueará repetidamente a jdhcpd, conllevando a una condición de Denegación de Servicio extendida (DoS). Este problema solo afecta a los sistemas configurados con DHCPv6 habilitado. DHCPv4 no está afectado por este problema. Este problema afecta al Juniper Networks Junos OS: versiones 15.1 anteriores a 15.1R7-S5 en la serie MX; versiones 16.1 anteriores a 16.1R7-S5 en la serie MX; versiones 16.2 anteriores a 16.2R2-S10 en la serie MX; versiones 17.1 anteriores a 17.1R3-S1 en la serie MX; versiones 17.2 anteriores a 17.2R3-S2 en la serie MX; versiones 17.3 anteriores a 17.3R3-S6 en la serie MX; versiones 17.4 anteriores a 17.4R2-S5, 17.4R3 en la serie MX; versiones 18.1 anteriores a 18.1R3-S6 en la serie MX; versiones 18.2 anteriores a 18.2R2-S4, 18.2R3 en la serie MX; versiones 18.2X75 anteriores a 18.2X75-D50 en la serie MX; versiones 18.3 anteriores a 18.3R1-S5, 18.3R3 en la serie MX; versiones 18.4 anteriores a 18.4R2 en la serie MX; versiones 19.1 anteriores a 19.1R1-S2, 19.1R2 en la serie MX.
Vulnerabilidad en Juniper Networks Junos OS (CVE-2019-0074)
Gravedad:
BajaBaja
Publication date: 09/10/2019
Last modified:
22/07/2020
Descripción:
Una vulnerabilidad de salto de ruta en los dispositivos de las series NFX150 y QFX10K, EX9200, MX y PTX con el Next-Generation Routing Engine (NG-RE), permite a un usuario autenticado local leer archivos confidenciales del sistema. Este problema solo afecta a las series NFX150 y QFX10K, EX9200, MX y PTX con el Next-Generation Routing Engine (NG-RE) que utiliza vmhost. Este problema afecta al Juniper Networks Junos OS en las series NFX150 y QFX10K, EX9200, MX y PTX con NG-RE y vmhost: versiones 15.1F anteriores a 15.1F6-S12 16.1 a partir de las versiones 16.1R6 y posteriores, incluyendo Versiones de Servicio, anterior a 16.1R6-S6, 16.1R7-S3; versiones 17.1 anteriores a 17.1R3; versiones 17.2 a partir de 17.2R1-S3, 17.2R3 y posteriores, incluidas las versiones de servicio, anteriores a 17.2R3-S1; 17.3 versiones a partir de 17.3R1-S1, 17.3R2 y versiones posteriores, incluyendo Versiones de Servicio, anteriores a 17.3R3-S3; versiones 17.4 a partir de 17.4R1 y posteriores, incluyendo Versiones de Servicio, anteriores a 17.4R1-S6, 17.4R2-S2, 17.4R3; versiones 18.1 anteriores a 18.1R2-S4, 18.1R3-S3; versiones 18.2 anteriores a 18.2R2; versiones 18.2X75 anteriores a 18.2X75-D40; versiones 18.3 anteriores a 18.3R1-S2, 18.3R2; versiones 18.4 anteriores a 18.4R1-S1, 18.4R2. Este problema no afecta: Juniper Networks Junos OS versiones 15.1 y 16.2.
Vulnerabilidad en Juniper Networks Junos OS (CVE-2019-0075)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
24/08/2020
Descripción:
Una vulnerabilidad en el proceso srxpfe en los dispositivos de la Serie SRX con Protocol Independent Multicast (PIM) habilitado, puede conllevar al bloqueo del proceso srxpfe y un reinicio de FPC durante el procesamiento de mensajes (PIM). La recepción sostenida de estos paquetes puede conllevar a una condición de denegación de servicio extendida. Las versiones afectadas son Juniper Networks Junos OS en la serie SRX: versiones 12.3X48 anteriores a 12.3X48-D80; versiones 15.1X49 anteriores a 15.1X49-D160; versiones 17.3 anteriores a 17.3R3-S7, versiones 17.4 anteriores a 17.4R2-S8, 17.4R3; versiones 18.1 anteriores a 18.1R3-S8; versiones 18.2 anteriores a 18.2R2; versiones 18.3 anteriores a 18.3R2.
Vulnerabilidad en libarchive (CVE-2019-1000020)
Gravedad:
MediaMedia
Publication date: 04/02/2019
Last modified:
24/08/2020
Descripción:
libarchive, en versiones desde el commit con ID 5a98dcf8a86364b3c2c469c85b93647dfb139961 (desde la versión v2.8.0) contiene una vulnerabilidad CWE-835: bucle con condición de salida inalcanzable (bucle infinito) en el analizador ISO9660, archive_read_support_format_iso9660.c, read_CE()/parse_rockridge() que puede resultar en una denegación de servicio (DoS) por bucle infinito. El ataque parece ser explotable si una víctima abre un archivo ISO9660 especialmente manipulado.
Vulnerabilidad en libarchive (CVE-2019-1000019)
Gravedad:
MediaMedia
Publication date: 04/02/2019
Last modified:
05/11/2019
Descripción:
libarchive en versiones desde el commit con ID bf9aec176c6748f0ee7a678c5f9f9555b9a757c1 y siguientes (desde la versión v3.0.2) contiene una vulnerabilidad CWE-125: lectura fuera de límites en la descompresión 7zip (header_bytes() en archive_read_support_format_7zip.c) que puede resultar en un cierre inesperado (denegación de servicio). El ataque parece ser explotable si una víctima abre un archivo 7zip especialmente manipulado.
Vulnerabilidad en libarchive (CVE-2018-1000880)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
24/08/2020
Descripción:
libarchive, con el commit con ID 9693801580c0cf7c70e862d305270a16b52826a7 y siguientes (desde la v3.2.0) contiene una vulnerabilidad CWE-20: validación de entradas incorrecta en el analizador WARC (), en _warc_read(), que puede resultar en una denegación de servicio (DoS) en tiempo de ejecución casi infinito y uso de disco desde un archivo muy pequeño. El ataque parece ser explotable si una víctima abre un archivo WARC especialmente manipulado.
Vulnerabilidad en libarchive (CVE-2018-1000879)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
06/11/2019
Descripción:
libarchive, con el commit con ID 379867ecb330b3a952fb7bfa7bffb7bbd5547205 y siguientes (desde la v3.3.0) contiene una vulnerabilidad CWE-476: desreferencia de puntero NULL en el analizador ACL (libarchive/archive_acl.c), en archive_acl_from_text_l(), que puede resultar en un cierre inesperado/denegación de servicio (DoS). El ataque parece ser explotable si una víctima abre un archivo comprimido especialmente manipulado.
Vulnerabilidad en libarchive (CVE-2018-1000878)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
05/11/2019
Descripción:
libarchive, con el commit con ID 416694915449219d505531b1096384f3237dd6cc y siguientes (desde la v3.1.0) contiene una vulnerabilidad CWE-416: uso de memoria previamente liberada en el descodificador RAR (libarchive/archive_read_support_format_rar.c) que puede resultar en un cierre inesperado/denegación de servicio. Se desconoce si se puede ejecutar código de forma remota. El ataque parece ser explotable si una víctima abre un archivo RAR especialmente manipulado.
Vulnerabilidad en libarchive (CVE-2018-1000877)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
05/11/2019
Descripción:
libarchive, con el commit con ID 416694915449219d505531b1096384f3237dd6cc y siguientes (desde la v3.1.0) contiene una vulnerabilidad CWE-415: doble liberación (double free) en el descodificador RAR; libarchive/archive_read_support_format_rar.c, parse_codes(), realloc(rar->lzss.window, new_size) con new_size = 0, lo que puede resultar en un cierre inesperado/denegación de servicio (DoS). El ataque parece ser explotable si una víctima abre un archivo RAR especialmente manipulado.
Vulnerabilidad en la extensión Direct Mail para TYPO3 (CVE-2013-7400)
Gravedad:
MediaMedia
Publication date: 29/12/2017
Last modified:
21/10/2019
Descripción:
La extensión Direct Mail (direct_mail), en versiones anteriores a la 3.1.2 para TYPO3 permite que atacantes remotos obtengan información sensible aprovechando la comprobación incorrecta de códigos de autenticación.
Vulnerabilidad en bidi.c en Libidn2 (CVE-2017-14061)
Gravedad:
AltaAlta
Publication date: 31/08/2017
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad de desbordamiento de enteros en la función _isBidi de bidi.c en Libidn2 en versiones anteriores a la 2.0.4 permite a los atacantes remotos provocar una denegación de servicio y posiblemente otro impacto no especificado.
Vulnerabilidad en (1) unsquash-1.c, (2) unsquash-2.c, (3) unsquash-3.c, y (4) unsquash-4.c en Squashfs y sasquatch (CVE-2015-4646)
Gravedad:
MediaMedia
Publication date: 13/04/2017
Last modified:
24/10/2019
Descripción:
(1) unsquash-1.c, (2) unsquash-2.c, (3) unsquash-3.c, y (4) unsquash-4.c en Squashfs y sasquatch permiten a atacantes remotos provocar una denegación de servicio (caída de aplicación) a través de una entrada manipulada manualmente.
Vulnerabilidad en función read_fragment_table_4 en unsquash-4.c en Squashfs y sasquatch (CVE-2015-4645)
Gravedad:
MediaMedia
Publication date: 17/03/2017
Last modified:
24/10/2019
Descripción:
Desbordamiento de enteros en la función read_fragment_table_4 en unsquash-4.c en Squashfs y sasquatch permite que atacantes remotos provocar una denegación de servicio (caída de la aplicación) a través de una entrada manipulada, lo que desencadena un desbordamiento de búfer basado en pila.