Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Tor (CVE-2017-0375)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
11/03/2019
Descripción:
La función de servicio oculto en Tor antes de la versión 0.3.0.8 permite una denegación de servicio (fallo de aserción y salida de demonio) en la función relay_send_end_cell_from_edge_ a través de una llamada BEGIN con formato incorrecto.
Vulnerabilidad en Cybozu Dezie (CVE-2016-7833)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
Cybozu Dezie versiones 8.0.0 hasta 8.1.1, permite a los atacantes remotos omitir las restricciones de acceso para eliminar un archivo DBM arbitrario (formato propietario de Cybozu Dezie) por medio de vectores no especificados.
Vulnerabilidad en Cybozu Dezie (CVE-2016-7832)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
14/06/2017
Descripción:
Cybozu Dezie versiones 8.0.0 hasta 8.1.1, permite a los atacantes remotos omitir las restricciones de acceso para obtener un archivo DBM arbitrario (formato propietario de Cybozu Dezie) por medio de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4906)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Una vulnerabilidad de tipo cross-site-scripting en Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes remotos inyectar script web o HTML arbitrario por medio de la función "Messages" de Cybozu Garoon Keitai.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4907)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes remotos obtener tokens CSRF por medio de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4908)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes identificados remotos omitir la restricción de acceso para alterar o eliminar la configuración RSS privada de otro usuario por medio de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2016-4910)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes identificados remotos omitir la restricción de acceso para eliminar los filtros MultiReport de otros administradores operativos por medio de vectores no especificados.
Vulnerabilidad en cross-site request forgery (CVE-2016-4909)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
13/06/2017
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Cybozu Garoon versiones 3.0.0 hasta 4.2.2, permite a los atacantes remotos secuestrar la identificación de un usuario que ha iniciado sesión para forzar un cierre de sesión por medio de vectores no especificados.
Vulnerabilidad en Rhapsody DM (CVE-2016-9698)
Gravedad:
AltaAlta
Publication date: 08/06/2017
Last modified:
14/06/2017
Descripción:
Rhapsody DM versiones 4.0, 5.0 y 6.0 de IBM, es vulnerable a una denegación de servicio, causada por un error de inyección XML External Entity (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información altamente confidencial o consumir todos los recursos de memoria disponibles. Referencia de IBM: 1999960.
Vulnerabilidad en WebSphere Application Server de IBM (CVE-2016-9736)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
13/06/2017
Descripción:
WebSphere Application Server de IBM usando peticiones SOAP malformadas podría permitir a un atacante remoto obtener información confidencial.
Vulnerabilidad en Business Process Manager (CVE-2017-1140)
Gravedad:
BajaBaja
Publication date: 08/06/2017
Last modified:
13/06/2017
Descripción:
Business Process Manager versiones 8.0 y 8.5 de IBM, son vulnerables a un problema de tipo cross-site-scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, lo que altera la funcionalidad prevista conllevando potencialmente a la divulgación de credenciales dentro de una sesión de confianza.
Vulnerabilidad en ClearPass Policy Manager (CVE-2016-2034)
Gravedad:
AltaAlta
Publication date: 08/06/2017
Last modified:
14/06/2017
Descripción:
Vulnerabilidad de inyección SQL en ClearPass Policy Manager versiones 6.5.x hasta 6.5.6 y versión 6.6.0.
Vulnerabilidad en Session Initiation Protocol (SIP) (CVE-2017-6648)
Gravedad:
AltaAlta
Publication date: 08/06/2017
Last modified:
07/07/2017
Descripción:
Una vulnerabilidad en Session Initiation Protocol (SIP) del programa TelePresence Codec (TC) y Collaboration Endpoint (CE) de Cisco, podría permitir a un atacante remoto no identificado causar que un endpoint de TelePresence se vuelva a cargar inesperadamente, resultado una condición denegación de servicio (DoS). La vulnerabilidad es debido a la falta de mecanismos de control de flujo dentro del programa. Un atacante podría explotar esta vulnerabilidad mediante el envío de un flujo de paquetes INVITE de SIP hacia el dispositivo afectado. Una vulnerabilidad podría permitir al atacante afectar la disponibilidad de los servicios y datos del dispositivo, incluida una condición DoS completa. Esta vulnerabilidad afecta a las siguientes plataformas TC y CE de Cisco cuando se ejecutan versiones de programas anteriores a TC 7.3.8 y CE 8.3.0. IDs de Bug de Cisco: CSCux94002.
Vulnerabilidad en Prime Data Center Network Manager (DCNM) (CVE-2017-6640)
Gravedad:
CríticaCrítica
Publication date: 08/06/2017
Last modified:
07/07/2017
Descripción:
Una vulnerabilidad en el programa Prime Data Center Network Manager (DCNM) de Cisco podría permitir a un atacante remoto no identificado iniciar sesión en la consola administrativa de un servidor DCNM usando una cuenta que tenga una contraseña estática por defecto. La cuenta podría tener privilegios de nivel root o system. La vulnerabilidad se presenta porque el programa afectado tiene una cuenta de usuario predeterminada que presenta una contraseña estática por defecto. La cuenta de usuario es creada automáticamente cuando se instala el programa. Un atacante podría explotar esta vulnerabilidad al conectarse remotamente a un sistema afectado e iniciar sesión en el programa afectado usando las credenciales para esta cuenta de usuario predeterminada. Una explotación con éxito podría permitir al atacante usar esta cuenta de usuario predeterminada iniciar sesión en el programa afectado y conseguir acceso a la consola administrativa de un servidor DCNM. Esta vulnerabilidad afecta al Programa Prime Data Center Network Manager (DCNM) de Cisco versiones anteriores a 10.2(1) para las plataformas Microsoft Windows, Linux y Virtual Appliance. IDs de Bug de Cisco: CSCvd95346.
Vulnerabilidad en role-based access control (RBAC) de Prime Data Center Network Manager (CVE-2017-6639)
Gravedad:
CríticaCrítica
Publication date: 08/06/2017
Last modified:
12/08/2017
Descripción:
Una vulnerabilidad en la funcionalidad role-based access control (RBAC) de Prime Data Center Network Manager (DCNM) de Cisco, podría permitir a un atacante remoto no identificado acceder a información confidencial o ejecutar código arbitrario con privilegios root en un sistema afectado. La vulnerabilidad es debido a la falta de mecanismos de identificación y autorización para una herramienta de depuración que se habilitó inadvertidamente en el software afectado. Un atacante podría explotar esta vulnerabilidad mediante la conexión remota a la herramienta de depuración por medio de TCP. Una explotación con éxito podría permitir al atacante acceder a información confidencial sobre el software afectado o ejecutar código arbitrario con privilegios root en el sistema afectado. Esta vulnerabilidad afecta al Programa Prime Data Center Network Manager (DCNM) de Cisco versiones 10.1(1) y 10.1(2) para plataformas de Microsoft Windows, Linux y Virtual Appliance. ID de bug de Cisco: CSCvd09961.
Vulnerabilidad en Workstation (CVE-2017-4913)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
10/07/2017
Descripción:
Workstation (versiones 12.x anteriores a 12.5.3) y Horizon View Client (versiones 4.x anteriores a 4.4.0) de VMware, contienen una vulnerabilidad de desbordamiento de enteros en el analizador True Type Font en la biblioteca TPView.dll. En Workstation, esto puede permitir a un invitado ejecutar código o realizar una denegación de servicio en el sistema operativo Windows que ejecuta Workstation. En el caso de Horizon View Client, esto puede permitir que un escritorio de View ejecute código o realice una denegación de servicio en el sistema operativo Windows que ejecuta Horizon View Client. La explotación solo es posible si la impresión virtual ha sido habilitada. Esta funcionalidad no está habilitada por defecto en Workstation, pero está habilitada por defecto en Horizon View.
Vulnerabilidad en Workstation (CVE-2017-4912)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
10/07/2017
Descripción:
Workstation (versiones 12.x anteriores a 12.5.3) y Horizon View Client (versiones 4.x anteriores a 4.4.0) de VMware, contienen varias vulnerabilidades de lectura fuera de límites en el analizador TrueType Font (TTF) en la biblioteca TPView.dll. En Workstation, esto puede permitir a un invitado ejecutar código o realizar una denegación de servicio en el sistema operativo Windows que ejecuta Workstation. En el caso de Horizon View Client, esto puede permitir que un escritorio de View ejecute código o realice una denegación de servicio en el sistema operativo Windows que ejecuta Horizon View Client. La explotación solo es posible si la impresión virtual ha sido habilitada. Esta funcionalidad no está habilitada por defecto en Workstation, pero está habilitada por defecto en Horizon View.
Vulnerabilidad en Unified Access Gateway (CVE-2017-4907)
Gravedad:
AltaAlta
Publication date: 08/06/2017
Last modified:
10/07/2017
Descripción:
Unified Access Gateway (versiones 2.5.x, 2.7.x, 2.8.x anteriores a 2.8.1) y Horizon View (versiones 7.x anteriores a 7.1.0, versiones 6.x anteriores a 6.2.4) de VMware, contienen una vulnerabilidad de desbordamiento de búfer de la pila que puede permitir a un atacante remoto ejecutar código en la puerta de enlace de seguridad.
Vulnerabilidad en Workstation y Horizon View Client de VMware (CVE-2017-4911)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
10/07/2017
Descripción:
Workstation (versiones 12.x anteriores a 12.5.3) y Horizon View Client (versiones 4.x anteriores a 4.4.0) de VMware, contienen varias vulnerabilidades de escritura fuera de límites en el analizador JPEG2000 en la biblioteca TPView.dll. En Workstation, esto puede permitir a un invitado ejecutar código o realizar una denegación de servicio en el sistema operativo Windows que ejecuta Workstation. En el caso de Horizon View Client, esto puede permitir que un escritorio de View ejecute código o realice una denegación de servicio en el sistema operativo Windows que ejecuta Horizon View Client. La explotación solo es posible si la impresión virtual ha sido habilitada. Esta funcionalidad no está habilitada por defecto en Workstation, pero está habilitada por defecto en Horizon View.
Vulnerabilidad en Workstation (CVE-2017-4910)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
10/07/2017
Descripción:
Workstation (versiones 12.x anteriores a 12.5.3) y Horizon View Client (versiones 4.x anteriores a 4.4.0) de VMware, contienen varias vulnerabilidades de lectura fuera de límites en el analizador JPEG2000 en la biblioteca TPView.dll. En Workstation, esto puede permitir a un invitado ejecutar código o realizar una denegación de servicio en el sistema operativo Windows que ejecuta Workstation. En el caso de Horizon View Client, esto puede permitir que un escritorio de View ejecute código o realice una denegación de servicio en el sistema operativo Windows que ejecuta Horizon View Client. La explotación solo es posible si la impresión virtual ha sido habilitada. Esta funcionalidad no está habilitada por defecto en Workstation, pero está habilitada por defecto en Horizon View.
Vulnerabilidad en El analizador TrueType Font en la biblioteca (CVE-2017-4909)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
10/07/2017
Descripción:
Workstation (versiones 12.x anteriores a 12.5.3) y Horizon View Client (versiones 4.x anteriores a 4.4.0) de VMware, contienen una vulnerabilidad de desbordamiento de búfer de la pila en el analizador TrueType Font (TTF) en la biblioteca TPView.dll. En Workstation, esto puede permitir a un invitado ejecutar código o realizar una denegación de servicio en el sistema operativo Windows que ejecuta Workstation. En el caso de Horizon View Client, esto puede permitir que un escritorio de View ejecute código o realice una denegación de servicio en el sistema operativo Windows que ejecuta Horizon View Client. La explotación solo es posible si la impresión virtual ha sido habilitada. Esta funcionalidad no está habilitada por defecto en Workstation, pero está habilitada por defecto en Horizon View.
Vulnerabilidad en Workstation (CVE-2017-4908)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
10/07/2017
Descripción:
Workstation (versiones 12.x anteriores a 12.5.3) y Horizon View Client (versiones 4.x anteriores a 4.4.0) de VMware, contienen varias vulnerabilidades de desbordamiento de búfer de la pila en el analizador JPEG2000 en la biblioteca TPView.dll. En Workstation, esto puede permitir a un invitado ejecutar código o realizar una denegación de servicio en el sistema operativo Windows que ejecuta Workstation. En el caso de Horizon View Client, esto puede permitir a un escritorio de View ejecutar código o realice una denegación de servicio en el sistema operativo Windows que ejecuta Horizon View Client. La explotación solo es posible si la impresión virtual ha sido habilitada. Esta funcionalidad no está habilitada por defecto en Workstation, pero está habilitada por defecto en Horizon View.
Vulnerabilidad en ESXi650-201703410-SG (CVE-2017-4903)
Gravedad:
AltaAlta
Publication date: 07/06/2017
Last modified:
11/07/2017
Descripción:
ESXi versiones 6.5 sin el parche ESXi650-201703410-SG, 6.0 U3 sin el parche ESXi600-201703401-SG, 6.0 U2 sin el parche ESXi600-201703403-SG, 6.0 U1 sin el parche ESXi600-201703402-SG, y 5.5 sin el parche ESXi550-20-20170140; Workstation Pro / Player versión 12.x anterior de 12.5.5; y Fusion Pro / Fusion versiones 8.x anterior a 8.5.6 de VMware, presenta un uso de memoria de la pila no inicializada en SVGA. Este problema puede permitir a un invitado ejecutar código en el host.
Vulnerabilidad en El controlador XHCI (CVE-2017-4904)
Gravedad:
AltaAlta
Publication date: 07/06/2017
Last modified:
11/07/2017
Descripción:
El controlador XHCI en ESXi versiones 6.5 sin parche ESXi650-201703410-SG, 6.0 U3 sin parche ESXi600-201703401-SG, 6.0 U2 sin parche ESXi600-201703403-SG, 6.0 U1 sin parche ESXi600-201703402-SG, y 5.5 sin parche ESXi550 -201703401-SG; Workstation Pro / Player versiones 12.x anteriores a 12.5.5; y Fusion Pro / Fusion versiones 8.x anteriores a 8.5.6 de VMware, presenta un uso de memoria no inicializada. Este problema puede permitir a un invitado ejecutar código en el host. El problema es reducido a una Denegación de Servicio del invitado en ESXi versión 5.5.
Vulnerabilidad en ESXi (CVE-2017-4905)
Gravedad:
BajaBaja
Publication date: 07/06/2017
Last modified:
11/07/2017
Descripción:
ESXi versiones 6.5 sin parche ESXi650-201703410-SG, 6.0 U3 sin parche ESXi600-201703401-SG, 6.0 U2 sin parche ESXi600-201703403-SG, 6.0 U1 sin parche ESXi600-201703402-SG, 5.5 sin parche ESXi550-201701401-SG; Workstation Pro / Player versiones 12.x anteriores a 12.5.5; y Fusion Pro / Fusion versiones 8.x anteriores a 8.5.6 de VMware, presenta un uso de memoria no inicializada. Este problema puede conducir a un filtrado de información.
Vulnerabilidad en vSphere Data Protection (CVE-2017-4917)
Gravedad:
MediaMedia
Publication date: 07/06/2017
Last modified:
07/07/2017
Descripción:
vSphere Data Protection (VDP) versiones 6.1.x, 6.0.x, 5.8.x y 5.5.x de Vmware, almacena localmente las credenciales del Servidor vCenter utilizando un cifrado reversible. Este problema puede permitir que credenciales de texto plano puedan ser obtenidas .
Vulnerabilidad en Samba (CVE-2017-9461)
Gravedad:
MediaMedia
Publication date: 06/06/2017
Last modified:
15/04/2019
Descripción:
smbd en Samba versiones anteriores a 4.4.10 y 4.5.x versiones anteriores a 4.5.6, tienen una vulnerabilidad de denegación de servicio (fd_open_atomic infinite loop con un alto uso de CPU y consumo de memoria) debido a un manejo inadecuado de los enlaces simbólicos colgantes.
CVE-2016-9961
Gravedad:
CríticaCrítica
Publication date: 06/06/2017
Last modified:
30/10/2018
Descripción:
Vulnerabilidad en El widget spice-gtk (CVE-2016-3066)
Gravedad:
MediaMedia
Publication date: 06/06/2017
Last modified:
14/06/2017
Descripción:
El widget spice-gtk permite a los usuarios autorizados obtener de forma remota información del portapapeles del host.
Vulnerabilidad en los dispositivos Peplink Balance (CVE-2017-8840)
Gravedad:
MediaMedia
Publication date: 05/06/2017
Last modified:
12/08/2017
Descripción:
Una divulgación de información de depuración se presenta en los dispositivos Peplink Balance 305, 380, 580, 710, 1350 y 2500 con versión firmware anterior a fw-b305hw2_380hw6_580hw2_710hw3_1350hw2_2500-versión 7.0.1-build2093. Una petición directa a cgi-bin/ HASync/hasync.cgi?Debug=1 muestra la Dirección LAN Maestra, el Número de Serial, el ID de Grupo HA, la IP Virtual y el syncid Enviado.
Vulnerabilidad en Elastic X-Pack Security (CVE-2017-8438)
Gravedad:
MediaMedia
Publication date: 05/06/2017
Last modified:
13/06/2017
Descripción:
Las versiones 5.0.0 hasta 5.4.0 de Elastic X-Pack Security contienen un error de escalación de privilegios en la funcionalidad run_as. Este error impide la transición al usuario establecido, especificado en una petición de run_as. Si un rol ha sido creado utilizando una plantilla que contiene las propiedades de _user, el comportamiento de run_as será incorrecto. Además, si el usuario run_as especificado no existe, la transición no se pasará.
Vulnerabilidad en Kibana (CVE-2017-8440)
Gravedad:
MediaMedia
Publication date: 05/06/2017
Last modified:
13/06/2017
Descripción:
A partir de la versión 5.3.0, Kibana tenía una vulnerabilidad de cross-site scripting (XSS) en la página de Discover que podría permitir a un atacante obtener información confidencial o realizar acciones destructivas en nombre de otros usuarios de Kibana.
Vulnerabilidad en Los dispositivos Peplink Balance (CVE-2017-8837)
Gravedad:
MediaMedia
Publication date: 05/06/2017
Last modified:
12/08/2017
Descripción:
El almacenamiento de contraseñas de texto sin cifrar se presenta en los dispositivos Peplink Balance 305, 380, 580, 710, 1350 y 2500 con versión firmware anterior a fw-b305hw2_380hw6_580hw2_710hw3_1350hw2_2500-versión 7.0.1-build2093. Los archivos en cuestión son /etc/waipass y /etc/roapass. En caso de que uno de estos dispositivos se vea comprometido, el atacante puede conseguir acceso a las contraseñas y violarlas para comprometer otros sistemas.
Vulnerabilidad en Una inyección SQL (CVE-2017-9436)
Gravedad:
AltaAlta
Publication date: 05/06/2017
Last modified:
13/06/2017
Descripción:
TeamPass anterior a versión 2.1.27.4, es vulnerable a una inyección SQL en el archivo users.queries.php.
Vulnerabilidad en En Lenovo Active Protection System (CVE-2017-3740)
Gravedad:
MediaMedia
Publication date: 04/06/2017
Last modified:
13/06/2017
Descripción:
En Lenovo Active Protection System anterior a versión 1.82.0.14, un atacante con privilegios locales podría enviar comandos al controlador integrado del sistema, lo que podría causar un ataque de denegación de servicio sobre el sistema o la capacidad de alterar la funcionalidad del hardware.
Vulnerabilidad en Zulip Server (CVE-2017-0896)
Gravedad:
MediaMedia
Publication date: 02/06/2017
Last modified:
13/08/2018
Descripción:
Zulip Server versión 1.5.1 y posteriores, sufre de un error en la implementación de la configuración de invite_by_admins_only en el servidor de aplicaciones de chat del grupo Zulip que permitió a un usuario autenticado invitar a otros usuarios a unirse a una organización Zulip, incluso si la organización fue configurada para evitar esto.
Vulnerabilidad en PJSIP, en Asterisk Open Source (CVE-2017-9372)
Gravedad:
MediaMedia
Publication date: 02/06/2017
Last modified:
04/11/2017
Descripción:
PJSIP, tal como es usado en Asterisk Open Source versiones 13.x y anteriores a 13.15.1 y versiones 14.x y anteriores a 14.4.1, Certified Asterisk versión 13.13 y anteriores a 13.13-cert4, y otros productos, permite a los atacantes remotos causar una denegación de servicio (desbordamiento de búfer y bloqueo de aplicación) por medio de un paquete SIP con un encabezado CSeq especialmente diseñado junto con un encabezado Via que carece de un parámetro branch.
Vulnerabilidad en El analizador multi-part body en PJSIP (CVE-2017-9359)
Gravedad:
MediaMedia
Publication date: 02/06/2017
Last modified:
04/11/2017
Descripción:
El analizador multi-part body en PJSIP, tal como es usado en Asterisk Open Source versiones 13.x y anteriores a 13.15.1 y versiones 14.x y anteriores a 14.4.1, Certified Asterisk versión 13.13 y anteriores a 13.13-cert4, y otros productos, permite a los atacantes remotos causar una denegación de servicio (lectura fuera de límites y bloqueo de aplicación) por medio de un paquete especialmente diseñado.
Vulnerabilidad en Spring Security y Spring Framework (CVE-2016-5007)
Gravedad:
MediaMedia
Publication date: 25/05/2017
Last modified:
19/04/2018
Descripción:
Tanto en Spring Security versiones 3.2.x, 4.0.x, 4.1.0 como el Framework Spring versiones 3.2.x, 4.0.x, 4.1.x, 4.2.x, se basan en el mapeo de patrones de URL para la autorización y para mapear las peticiones hacia los controladores, respectivamente. Las diferencias en el rigor de los mecanismos de coincidencia de patrones, por ejemplo con respecto al recorte de espacio en los segmentos de ruta (path), pueden hacer que Spring Security no reconozca ciertas rutas (paths) como no protegidas que de hecho se asignan a los controladores MVC de Spring que deben protegerse. El problema se agrava por el hecho de que el Framework Spring proporciona funcionalidades más completas con respecto a la coincidencia de patrones, así como por el hecho de que la coincidencia de patrones en cada Spring Security y Framework Spring se puede personalizar fácilmente diseñando diferencias adicionales.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Tor (CVE-2017-0376)
Gravedad:
MediaMedia
Publication date: 09/06/2017
Last modified:
11/03/2019
Descripción:
La función de servicio oculto en Tor antes de la versión 0.3.0.8 permite una denegación de servicio (fallo de aserción y salida de demonio) en la función connection_edge_process_relay_cell a través de una célula BEGIN_DIR en un circuito de rendezvous
Vulnerabilidad en Open-Xchange Server 6 y OX AppSuite (CVE-2015-1588)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
09/10/2018
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en Open-Xchange Server 6 y OX AppSuite, versiones anteriores a la 7.4.2-rev43, 7.6.0-rev38 y 7.6.1-rev21.
Vulnerabilidad en F5 BIG-IP (CVE-2014-6031)
Gravedad:
MediaMedia
Publication date: 08/06/2017
Last modified:
06/06/2019
Descripción:
Desbordamiento de buffer en el demonio mcpq en sistemas F5 BIG-IP, versiones 10.x anteriores a la 10.2.4 HF12, 11.x anteriores a la 11.2.1 HF15, 11.3.x, 11.4.x anteriores a la 11.4.1 HF9, 11.5.x anteriores a la 11.5.2 HF1 y 11.6.0 anteriores a la HF4 y Enterprise Manager, versiones de la 2.1.0 a la 2.3.0 y 3.x anteriores a la 3.1.1 HF5, que permitiría a administradores autenticados causar una denegación de servicio a través de vectores no especificados.
Vulnerabilidad en Elastic X-Pack Security (CVE-2017-8441)
Gravedad:
MediaMedia
Publication date: 05/06/2017
Last modified:
13/06/2017
Descripción:
Elastic X-Pack Security versiones anteriores a 5.4.1 y 5.3.3 no siempre aplicaban correctamente la Seguridad de Nivel de Documento para los alias de índices. Este error podría permitir a un usuario con permisos restringidos visualizar datos a los que no debería tener acceso cuando realiza ciertas operaciones contra un alias de índice.
Vulnerabilidad en git-shell en git (CVE-2017-8386)
Gravedad:
MediaMedia
Publication date: 01/06/2017
Last modified:
30/10/2018
Descripción:
git-shell en git en versiones anteriores a la 2.4.12, versiones 2.5.x anteriores a la 2.5.6, versiones 2.6.x anteriores a la 2.6.7, versiones 2.7.x anteriores a la 2.7.5, versiones 2.8.x anteriores a la 2.8.5, versiones 2.9.x anteriores a la 2.9.4, versiones 2.10.x anteriores a la 2.10.3, versiones 2.11.x anteriores a la 2.11.2 y versiones 2.12.x anteriores a la 2.12.3 podría permitir que usuarios remotos autenticados obtengan privilegios mediante un nombre de repositorio que comienza con un carácter - (guion).