Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo app/call_centers/cmd.php en el Call Center Queue Module en FusionPBX (CVE-2019-16964)
Gravedad:
AltaAlta
Publication date: 21/10/2019
Last modified:
24/08/2020
Descripción:
El archivo app/call_centers/cmd.php en el Call Center Queue Module en FusionPBX versiones hasta 4.5.7, sufre de una vulnerabilidad de inyección de comando debido a la falta de comprobación de entrada, lo que permite a atacantes autenticados (con al menos el permiso call_center_queue_add o call_center_queue_edit) ejecutar cualquier comando en el host como www-data.
Vulnerabilidad en la interfaz de administración en Citrix Application Delivery Controller (ADC) y Gateway (CVE-2019-18225)
Gravedad:
AltaAlta
Publication date: 21/10/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en Citrix Application Delivery Controller (ADC) y Gateway versiones anteriores a 10.5 build 70.8, versiones 11.x anteriores a 11.1 build 63.9, versión 12.0 anterior a build 62.10, versión 12.1 anterior a build 54.16 y versión 13.0 anterior a build 41.28. Un atacante con acceso a la interfaz de administración puede omitir la autenticación para obtener acceso administrativo del dispositivo. Estos productos anteriormente usaron la marca NetScaler.
Vulnerabilidad en la biblioteca lib/lookup.c en la función idn2_to_ascii_4i en GNU libidn2 (CVE-2019-18224)
Gravedad:
AltaAlta
Publication date: 21/10/2019
Last modified:
29/10/2019
Descripción:
La función idn2_to_ascii_4i en la biblioteca lib/lookup.c en GNU libidn2 versiones anteriores a 2.1.1, presenta un desbordamiento del búfer en la región heap de la memoria por medio de una cadena de dominio larga.
Vulnerabilidad en el archivo cdf.c en la función cdf_read_property_info en file (CVE-2019-18218)
Gravedad:
AltaAlta
Publication date: 21/10/2019
Last modified:
22/05/2020
Descripción:
La función cdf_read_property_info en el archivo cdf.c en file versiones hasta 5.37, no restringe el número de elementos CDF_VECTOR, lo que permite un desbordamiento del búfer en la región heap de la memoria (escritura fuera de límites de 4 bytes).
Vulnerabilidad en la configuración del BIOS en los ordenadores portátiles ASUS ROG Zephyrus M GM501GS (CVE-2019-18216)
Gravedad:
AltaAlta
Publication date: 20/10/2019
Last modified:
24/10/2019
Descripción:
** EN DISPUTA ** El diseño de la configuración del BIOS en los ordenadores portátiles ASUS ROG Zephyrus M GM501GS con BIOS versión 313 se basa en la batería principal en lugar de usar una batería CMOS, lo que reduce el valor de un mecanismo de protección en el que se prohíbe el arranque desde un dispositivo USB. Los atacantes con acceso físico a la computadora portátil pueden agotar la batería principal para restablecer la configuración del BIOS, y luego lograr acceso directo al disco duro iniciando un sistema operativo USB en vivo sin desensamblar el ordenador portátil. NOTA: el proveedor ha indicado aparentemente que esto es "normal" y que el uso de la misma batería para el BIOS y el sistema en general es un "new design". Sin embargo, el proveedor planea aparentemente "improve" esto un tiempo posterior no especificado.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

CVE-2019-16966
Gravedad:
MediaMedia
Publication date: 21/10/2019
Last modified:
10/12/2019
Descripción:
Se detectó un problema en Contactmanager versiones 13.x anteriores a 13.0.45.3, versiones 14.x anteriores a 14.0.5.12 y versiones 15.x anteriores a 15.0.8.21 para FreePBX versión 14.0.10.3. En la clase Contactmanager (archivo html\admin\modules\contactmanager\Contactmanager.class.php), una variable group no saneada que proviene de la URL es reflejada en HTML en 2 ocasiones, conllevando a una vulnerabilidad de tipo XSS. Que puede ser solicitada mediante una petición GET en /admin/ajax.php?module=contactmanager.