Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo app\contacts\contact_edit.php en una variable "query_string" en FusionPBX (CVE-2019-16973)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
23/10/2019
Descripción:
En FusionPBX versiones hasta 4.5.7, el archivo app\contacts\contact_edit.php utiliza una variable "query_string" no saneada proveniente de la URL, que es reflejada en HTML, conllevando a una vulnerabilidad de tipo XSS.
Vulnerabilidad en el archivo app\contacts\contact_addresses.php en una variable "id" en FusionPBX (CVE-2019-16972)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
23/10/2019
Descripción:
En FusionPBX versiones hasta 4.5.7, el archivo app\contacts\contact_addresses.php utiliza una variable "id" no saneada proveniente de la URL, que es reflejada en HTML, conllevando a una vulnerabilidad de tipo XSS.
Vulnerabilidad en el archivo app\messages\messages_thread.php en una variable "contact_uuid" en FusionPBX (CVE-2019-16971)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
23/10/2019
Descripción:
En FusionPBX versiones hasta 4.5.7, el archivo app\messages\messages_thread.php utiliza una variable "contact_uuid" no saneada proveniente de la URL, que es reflejada en 3 ocasiones en HTML, conllevando a una vulnerabilidad de tipo XSS.
Vulnerabilidad en la web root en el tema Artificial Intelligence para WordPress (CVE-2015-9501)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
23/10/2019
Descripción:
El tema Artificial Intelligence versiones anteriores a 1.2.4 para WordPress, presenta una vulnerabilidad de tipo XSS porque los archivos HTML de Genericons son colocados innecesariamente en la web root.
Vulnerabilidad en Adobe Experience Manager Forms (CVE-2019-8089)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
23/10/2019
Descripción:
La versiones 6.3 hasta 6.5 de Adobe Experience Manager Forms, presentan una vulnerabilidad de tipo cross-site scripting reflejada. Su explotación con éxito podría conllevar a la divulgación de información confidencial.
Vulnerabilidad en un elemento SVG en la gema Loofah para Ruby (CVE-2019-15587)
Gravedad:
BajaBaja
Publication date: 22/10/2019
Last modified:
25/10/2019
Descripción:
En la gema Loofah para Ruby versiones hasta v2.3.0, un JavaScript no saneado puede aparecer en la salida saneada cuando se vuelve a publicar un elemento SVG diseñado.
Vulnerabilidad en el archivo assets/js/jquery.foundation.plugins.js en el tema Exquisite Ultimate Newspaper para WordPress (CVE-2015-9500)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
El tema Exquisite Ultimate Newspaper versión 1.3.3 para WordPress, presenta una vulnerabilidad de tipo XSS por medio del identificador de anclaje en el archivo assets/js/jquery.foundation.plugins.js.
Vulnerabilidad en el plugin wps-hide-login para WordPress (CVE-2015-9498)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
El plugin wps-hide-login versiones anteriores a 1.1 para WordPress, presenta una vulnerabilidad de tipo CSRF que afecta el almacenamiento de un valor de opción.
Vulnerabilidad en el plugin ad-inserter para WordPress (CVE-2015-9497)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
23/10/2019
Descripción:
El plugin ad-inserter versiones anteriores a 1.5.3 para WordPress, presenta una vulnerabilidad de tipo CSRF con un XSS resultante por medio de wp-admin/options-general.php?page=ad-inserter.php.
Vulnerabilidad en el archivo shortcode.php en la subcadena "FM_form id =" en el plugin freshmail-newsletter para WordPress (CVE-2015-9496)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
El plugin freshmail-newsletter versiones anteriores a 1.6 para WordPress, presenta una inyección SQL del archivo shortcode.php por medio de la subcadena "FM_form id =".
Vulnerabilidad en el archivo genericons/example.html en el plugin indieweb-post-kind para WordPress (CVE-2015-9494)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
El plugin indieweb-post-kind versiones anteriores a 1.3.1.1 para WordPress, presenta una vulnerabilidad de tipo XSS por medio del identificador de anclaje del archivo genericons/example.html.
Vulnerabilidad en el archivo genericons/example.html en el plugin syndication-links para WordPress (CVE-2015-9495)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
El plugin syndication-links versiones anteriores a 1.0.3 para WordPress, presenta una vulnerabilidad de tipo XSS por medio del identificador de anclaje del archivo genericons/example.html.
Vulnerabilidad en el plugin my-wish-list para WordPress (CVE-2015-9493)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
23/10/2019
Descripción:
El plugin my-wish-list versiones anteriores a 1.4.2 para WordPress, presenta múltiples problemas de XSS.
Vulnerabilidad en la configuración del protocolo HTTP/2 en Apache Traffic Server (CVE-2019-10079)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
28/10/2019
Descripción:
Apache Traffic Server es vulnerable a los ataques de inundación de la configuración HTTP/2. Las versiones anteriores de Apache Traffic Server no limitaban el número de tramas de configuración enviadas desde el cliente utilizando el protocolo HTTP/2. Los usuarios deben actualizar a Apache Traffic Server versión 7.1.7, 8.0.4 o versiones posteriores.
Vulnerabilidad en PPPoE Packet Padding en AVM Fritz! Box 7490 (CVE-2017-8087)
Gravedad:
BajaBaja
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
El Filtrado de información en PPPoE Packet Padding en AVM Fritz! Box 7490 con versiones de firmware Fritz!OS 6.80 y 6.83, permite a los atacantes físicamente cercanos visualizar segmentos de paquetes previamente transmitidos o porciones de memoria por medio de vectores no especificados.
Vulnerabilidad en un nombre de carpeta en totemodata (CVE-2019-17189)
Gravedad:
BajaBaja
Publication date: 22/10/2019
Last modified:
22/10/2019
Descripción:
totemodata versión 3.0.0_b936, presenta una vulnerabilidad de tipo XSS por medio de un nombre de carpeta.
Vulnerabilidad en una carga de IBM DB2 High Performance Unload para LUW (CVE-2019-4523)
Gravedad:
AltaAlta
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
Una carga de IBM DB2 High Performance Unload para LUW versiones 6.1 y 6.5, es vulnerable a un desbordamiento del búfer, causado por una comprobación de límites inapropiada que podría permitir a un atacante local ejecutar código arbitrario en el sistema con privilegios de root. ID de IBM X-Force: 165481.
Vulnerabilidad en el Control de Acceso en Stephan Mooltipass Moolticute (CVE-2019-12967)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
Stephan Mooltipass Moolticute versiones hasta 0.42.1 (y posiblemente versiones anteriores), presenta un Control de Acceso Incorrecto.
Vulnerabilidad en una comprobación de certificados no válidos en Micro Focus Self Service Password Reset (CVE-2019-11674)
Gravedad:
MediaMedia
Publication date: 22/10/2019
Last modified:
24/10/2019
Descripción:
Vulnerabilidad de tipo man-in-the-middle en Micro Focus Self Service Password Reset, afectando a todas las versiones anteriores a 4.4.0.4. La vulnerabilidad podría explotar una comprobación de certificados no válidos y puede resultar en un ataque de tipo man-in-the-middle.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en SAP NetWeaver Process Integration (CVE-2019-0316)
Gravedad:
BajaBaja
Publication date: 14/06/2019
Last modified:
10/02/2020
Descripción:
SAP NetWeaver Process Integration, versiones: SAP_XIESR: 7.20, SAP_XITOOL: 7.10 a 7.11, 7.30, 7.31, 7.40, 7.50, no valida suficientemente las entradas controladas por el usuario, lo que permite a un atacante que posee privilegios de administrador leer y modificar datos del navegador de la víctima , al inyectar scripts maliciosos en ciertos servlets, que se ejecutarán cuando se engañe a la víctima para que haga clic en esos enlaces maliciosos, lo que da como resultado una vulnerabilidad de Cross Site Scripting reflejada.
Vulnerabilidad en Hay un problema presente en Apache ZooKeeper (CVE-2019-0201)
Gravedad:
MediaMedia
Publication date: 23/05/2019
Last modified:
10/02/2020
Descripción:
Hay un problema presente en Apache ZooKeeper 1.0.0 a 3.4.13 y 3.5.0-alpha a 3.5.4-beta. El comando getACL () de ZooKeeper no verifica ningún permiso cuando recupera las ACL del nodo solicitado y devuelve toda la información contenida en el campo Id. De ACL como cadena de texto sin formato. DigestAuthenticationProvider sobrecarga el campo Id con el valor hash que se utiliza para la autenticación del usuario. Como consecuencia, si la autenticación implícita está en uso, el valor hash sin sal será revelado por la solicitud getACL () para usuarios no autenticados o no privilegiados.
Vulnerabilidad en Cross-Site Scripting (XSS) en la cámara mejorada de primera generación Pelco Sarix (CVE-2018-7827)
Gravedad:
BajaBaja
Publication date: 22/05/2019
Last modified:
10/02/2020
Descripción:
Existe una vulnerabilidad de Cross-Site Scripting (XSS) en la cámara mejorada de primera generación Pelco Sarix y la cámara PTZ mejorada Spectra, que un atacante remoto puede ejecutar HTML arbitrario y código de script en la sesión del navegador de un usuario.