Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo main.c en ProFTPD (CVE-2019-18217)
Gravedad:
MediaMedia
Publication date: 21/10/2019
Last modified:
27/10/2019
Descripción:
ProFTPD versiones anteriores a 1.3.6b y versiones 1.3.7rc anteriores a 1.3.7rc2, permite una denegación de servicio remota no autenticada debido al manejo incorrecto de comandos demasiado largos porque el archivo main.c en un proceso secundario entra en un bucle infinito.
Vulnerabilidad en el archivo interface/forms/eye_mag/view.php en el parámetro id en OpenEMR (CVE-2019-17409)
Gravedad:
MediaMedia
Publication date: 20/10/2019
Last modified:
21/10/2019
Descripción:
Se presenta una vulnerabilidad de tipo XSS reflejado en el archivo interface/forms/eye_mag/view.php en OpenEMR versiones 5.x anteriores a 5.0.2.1 en el parámetro id.
Vulnerabilidad en el archivo interface/forms/eye_mag/view.php en el parámetro pid en OpenEMR (CVE-2019-16862)
Gravedad:
MediaMedia
Publication date: 20/10/2019
Last modified:
21/10/2019
Descripción:
Una vulnerabilidad de tipo XSS reflejado en el archivo interface/forms/eye_mag/view.php en OpenEMR versiones 5.x anteriores a 5.0.2.1, permite a un atacante remoto ejecutar código arbitrario en el contexto de la sesión de un usuario por medio del parámetro pid.
Vulnerabilidad en en determinados tooltips en las páginas Tags, Sequences y Actors en Verodin Director (CVE-2019-10715)
Gravedad:
BajaBaja
Publication date: 20/10/2019
Last modified:
21/10/2019
Descripción:
Se presenta una vulnerabilidad de tipo XSS almacenado en Verodin Director versiones anteriores a 3.5.4.0, por medio de los campos de entrada de determinados tooltips y en las páginas Tags, Sequences y Actors.
Vulnerabilidad en una petición JSON REST API en el archivo /integrations.json en Verodin Director (CVE-2019-10716)
Gravedad:
MediaMedia
Publication date: 20/10/2019
Last modified:
05/02/2020
Descripción:
Un problema de divulgación de información en Verodin Director versión 3.5.3.1 y anteriores, revela los nombres de usuario y las contraseñas de las tecnologías de seguridad integradas por medio de una petición JSON REST API en el archivo /integrations.json.
Vulnerabilidad en en procesos FFmpeg en la aplicación Video_Converter para Nextcloud (CVE-2019-18214)
Gravedad:
MediaMedia
Publication date: 19/10/2019
Last modified:
22/10/2019
Descripción:
La aplicación Video_Converter versión 0.1.0 para Nextcloud, permite la denegación de servicio (consumo de CPU y memoria) por medio de múltiples conversiones simultáneas porque muchos procesos FFmpeg pueden ser ejecutados al mismo tiempo. (La carga de trabajo no está en cola para la ejecución en serie).
Vulnerabilidad en el archivo templates/pad.html en la ruta de la URL en Etherpad-Lite (CVE-2019-18209)
Gravedad:
MediaMedia
Publication date: 18/10/2019
Last modified:
22/10/2019
Descripción:
El archivo templates/pad.html en Etherpad-Lite versión 1.7.5, presenta un vulnerabilidad de tipo XSS cuando el navegador no codifica la ruta de la URL, como es demostrado mediante Internet Explorer.
Vulnerabilidad en Horner Automation Cscape (CVE-2019-13545)
Gravedad:
MediaMedia
Publication date: 18/10/2019
Last modified:
21/10/2019
Descripción:
En Horner Automation Cscape versión 9.90 y anteriores, la comprobación inapropiada de datos puede causar que el sistema escriba fuera del área de búfer prevista, lo que puede permitir una ejecución de código arbitraria.
Vulnerabilidad en Horner Automation Cscape (CVE-2019-13541)
Gravedad:
MediaMedia
Publication date: 18/10/2019
Last modified:
21/10/2019
Descripción:
En Horner Automation Cscape versión 9.90 y anteriores, se identificó una vulnerabilidad de comprobación de entrada inapropiada que puede ser explotada mediante el procesamiento de archivos que carecen de validación de entrada del usuario. Esto puede permitir a un atacante acceder a la información y ejecutar código arbitrario remotamente.
Vulnerabilidad en en diferentes archivos bajo /cgi-bin/luci/admin/network/ en OpenWRT (CVE-2019-17367)
Gravedad:
MediaMedia
Publication date: 18/10/2019
Last modified:
22/10/2019
Descripción:
OpenWRT versión de firmware 18.06.4, es vulnerable a CSRF por medio del archivo wireless/radio0.network1, wireless/radio1.network1, firewall, firewall/zones, firewall/forwards, firewall/rules, network/wan, network/wan6, o network/lan bajo /cgi-bin/luci/admin/network/.
Vulnerabilidad en la comunicación HTTP del Customer's Tomedo Server con el Vendor Tomedo Server (CVE-2019-17393)
Gravedad:
MediaMedia
Publication date: 18/10/2019
Last modified:
22/10/2019
Descripción:
El Customer's Tomedo Server en la versión 1.7.3, se comunica con el Vendor Tomedo Server por medio de HTTP (en texto sin cifrar) que puede ser rastreado por actores no autorizados. La autenticación básica es usada para la autenticación, haciendo posible la decodificación base64 de las credenciales rastreadas y detectar el nombre de usuario y la contraseña.
Vulnerabilidad en el archivo includes/admin/table-printer.php en el plugin Broken-Link-Checker para WordPress (CVE-2019-17207)
Gravedad:
BajaBaja
Publication date: 18/10/2019
Last modified:
21/10/2019
Descripción:
Se encontró una vulnerabilidad de tipo XSS reflejado en el archivo includes/admin/table-printer.php en el plugin Broken-Link-Checker (también se conoce como Broken Link Checker) versión 1.11.8 para WordPress. Esto permite a usuarios no autorizados inyectar JavaScript del lado del cliente en una página de WordPress solo para administradores por medio del parámetro s_filter de wp-admin/tools.php?page=view-broken-links en una acción search.
Vulnerabilidad en los UID y GIDs en slicer69 doas en determinadas plataformas que no sean OpenBSD (CVE-2019-15901)
Gravedad:
AltaAlta
Publication date: 18/10/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en slicer69 doas versiones anteriores a 6.2 en determinadas plataformas que no sean OpenBSD. Una llamada de setusercontext(3) con flags para cambiar el UID, el GID primario y los GID secundarios fue reemplazada (en determinadas plataformas: Linux y posiblemente NetBSD) con una sola llamada setuid(2). Esto resultó en no cambiar el id del grupo ni inicializar los id del grupo secundarios.
Vulnerabilidad en la función sscanf en slicer69 doas en determinadas plataformas diferentes de OpenBSD (CVE-2019-15900)
Gravedad:
AltaAlta
Publication date: 18/10/2019
Last modified:
22/10/2019
Descripción:
Se detectó un problema en slicer69 doas versiones anteriores a 6.2 en determinadas plataformas diferentes de OpenBSD. En plataformas sin strtonum(3), se utilizó sscanf sin comprobar los casos de error. En cambio, la variable no inicializada errstr fue comprobada y en algunos casos se devolvió con éxito incluso si sscanf fallaba. El resultado fue que, en vez de reportar que el nombre de usuario o nombre de grupo suministrado no existía, ejecutaría el comando como root.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-8206)
Gravedad:
AltaAlta
Publication date: 17/10/2019
Last modified:
22/10/2019
Descripción:
Las versiones de Adobe Acrobat and Reader, 2019.012.20040 y anteriores, 2017.011.30148 y anteriores, 2017.011.30148 y anteriores, 2015.006.30503 y anteriores, y 2015.006.30503 y anteriores, presentan una vulnerabilidad de escritura fuera de límites. Su explotación con éxito podría conllevar a una ejecución de código arbitraria.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-8205)
Gravedad:
AltaAlta
Publication date: 17/10/2019
Last modified:
22/10/2019
Descripción:
Las versiones de Adobe Acrobat and Reader, 2019.012.20040 y anteriores, 2017.011.30148 y anteriores, 2017.011.30148 y anteriores, 2015.006.30503 y anteriores, y 2015.006.30503 y anteriores, presentan una vulnerabilidad de desreferencia de un puntero no confiable. Su explotación con éxito podría conllevar a una ejecución de código arbitraria.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-8202)
Gravedad:
MediaMedia
Publication date: 17/10/2019
Last modified:
22/10/2019
Descripción:
Las versiones de Adobe Acrobat and Reader, 2019.012.20040 y anteriores, 2017.011.30148 y anteriores, 2017.011.30148 y anteriores, 2015.006.30503 y anteriores, y 2015.006.30503 y anteriores, presentan una vulnerabilidad de lectura fuera de límites. Su explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-8201)
Gravedad:
MediaMedia
Publication date: 17/10/2019
Last modified:
22/10/2019
Descripción:
Las versiones de Adobe Acrobat and Reader, 2019.012.20040 y anteriores, 2017.011.30148 y anteriores, 2017.011.30148 y anteriores, 2015.006.30503 y anteriores, y 2015.006.30503 y anteriores, presentan una vulnerabilidad de lectura fuera de límites. Su explotación con éxito podría conllevar a una divulgación de información.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una petición HTTP en la función SSL_accept en nostromo nhttpd (CVE-2019-16279)
Gravedad:
MediaMedia
Publication date: 14/10/2019
Last modified:
21/10/2019
Descripción:
Un error de memoria en la función SSL_accept en nostromo nhttpd hasta la versión 1.9.6 permite a un atacante activar una denegación de servicio mediante una petición HTTP diseñada.
Vulnerabilidad en Internet Explorer en el plugin liquid-speech-balloon para WordPress (CVE-2019-17070)
Gravedad:
MediaMedia
Publication date: 10/10/2019
Last modified:
21/10/2019
Descripción:
El plugin liquid-speech-balloon (también se conoce como LIQUID SPEECH BALLOON) en versiones anteriores a la.1.0.7 para WordPress permite un ataque de tipo XSS con Internet Explorer.
Vulnerabilidad en el directorio /var/lib/nfs en el paquete nfs-utils en SUSE Linux Enterprise Server 12 y en SUSE Linux Enterprise Server 15 (CVE-2019-3689)
Gravedad:
AltaAlta
Publication date: 19/09/2019
Last modified:
02/07/2020
Descripción:
El paquete nfs-utils en SUSE Linux Enterprise Server 12 en versiones anteriores e incluyendo la versión 1.3.0-34.18.1 y en SUSE Linux Enterprise Server 15 en versiones anteriores e incluyendo la versión 2.1.1-6.10.2, el directorio /var/lib/nfs es propiedad de statd:nogroup. Este directorio contiene archivos de propiedad y administrados por root. Si statd esta comprometido, puede engañar a los procesos que se ejecutan con privilegios de root para crear/sobrescribir archivos en cualquier parte del sistema si fs.protected_symlinks no está configurado.