Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

CVE-2019-18466
Gravedad:
MediaMedia
Publication date: 28/10/2019
Last modified:
15/01/2020
Descripción:
Se descubrió un problema en Podman en libpod versiones anteriores a la versión 1.6.0. Resuelve un enlace simbólico (symlink) en el contexto del host durante una operación de copia desde el contenedor hacia el host, porque se produce una operación glob no deseada. Un atacante podría crear una imagen de contenedor que contenga enlaces simbólicos particulares que, cuando sean copiados por parte de un usuario víctima hacia el sistema de archivos del host, pueden sobrescribir los archivos existentes con otros del host.
Vulnerabilidad en el archivo mobile.php en Mobile Connection Test en los dispositivos Mitsubishi Electric ME-RTU (CVE-2019-14931)
Gravedad:
AltaAlta
Publication date: 28/10/2019
Last modified:
30/10/2019
Descripción:
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta las versión 2.02 y los dispositivos INEA ME-RTU versiones hasta la versión 3.0. Una vulnerabilidad de inyección de comandos de Sistema Operativo remota no autenticada permite a un atacante ejecutar comandos arbitrarios en la RTU debido al paso de datos no seguros suministrados por el usuario hacia el shell del sistema de la RTU. Una funcionalidad en el archivo mobile.php provee a usuarios la capacidad de hacer ping a sitios o direcciones IP por medio de Mobile Connection Test. Cuando la Mobile Connection Test es enviada, se llama al archivo action.php para ejecutar la prueba. Un atacante puede utilizar un separador de comandos de shell (;) en la variable del host para ejecutar comandos del sistema operativo sobre el envío de los datos de prueba.
Vulnerabilidad en las contraseñas de usuario en /etc/sudoers en los dispositivos Mitsubishi Electric ME-RTU (CVE-2019-14930)
Gravedad:
AltaAlta
Publication date: 28/10/2019
Last modified:
30/10/2019
Descripción:
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la versión 2.02 y los dispositivos INEA ME-RTU versiones hasta 3.0. Las contraseñas de usuario embebidas no documentadas para root, ineaadmin, mitsadmin y maint podrían permitir a un atacante conseguir acceso no autorizado a la RTU. (Además, las cuentas ineaadmin y mitsadmin pueden escalar privilegios a root sin suministrar una contraseña debido a entradas no seguras en /etc/sudoers en la RTU).
Vulnerabilidad en las contraseñas en los dispositivos Mitsubishi Electric ME-RTU (CVE-2019-14929)
Gravedad:
MediaMedia
Publication date: 28/10/2019
Last modified:
30/10/2019
Descripción:
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta 2.02 y los dispositivos INEA ME-RTU versiones hasta 3.0. Las contraseñas de texto sin cifrar almacenadas podrían permitir a un atacante no autenticado obtener combinaciones de nombre de usuario y contraseña configuradas en la RTU debido a una gestión de credenciales débiles en la RTU. Un usuario no autenticado puede obtener las credenciales de contraseña expuestas para conseguir acceso a los siguientes servicios: servicio DDNS, Mobile Network Provider y servicio OpenVPN.
Vulnerabilidad en el archivo index.php en los dispositivos Mitsubishi Electric ME-RTU (CVE-2019-14928)
Gravedad:
BajaBaja
Publication date: 28/10/2019
Last modified:
30/10/2019
Descripción:
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la verisón 2.02 y los dispositivos INEA ME-RTU versiones hasta la versión 3.0. Una serie de vulnerabilidades de tipo cross-site script (XSS) almacenado permiten a un atacante inyectar código malicioso directamente en la aplicación. Un ejemplo de variable de entrada vulnerable a XSS almacenado es SerialInitialModemString en la página del archivo index.php.
Vulnerabilidad en archivo de configuración /usr/smartrtu/init/settings.xml (CVE-2019-14925)
Gravedad:
MediaMedia
Publication date: 28/10/2019
Last modified:
30/10/2019
Descripción:
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la versión 2.02 y los dispositivos INEA ME-RTU versiones hasta la versión 3.0. Un archivo de configuración /usr/smartrtu/init/settings.xml de tipo world-readable en el sistema de archivos le permite al atacante leer ajustes de configuración confidencial tales como nombres de usuario, contraseñas y otros datos confidenciales de la RTU debido a una asignación de permisos no seguros.
Vulnerabilidad en las peticiones web en la parte autenticada de YouPHPTube (CVE-2019-5119)
Gravedad:
MediaMedia
Publication date: 25/10/2019
Last modified:
30/10/2019
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la parte autenticada de YouPHPTube versión 7.6. Unas peticiones web especialmente diseñadas pueden causar inyecciones SQL. Un atacante puede enviar una petición web con parámetros que contengan ataques de inyección SQL para activar esta vulnerabilidad, lo que podría permitir la exfiltración de la base de datos, las credenciales del usuario y, en cierta configuración, acceder al sistema operativo subyacente.
Vulnerabilidad en las peticiones web en la parte autenticada de YouPHPTube (CVE-2019-5120)
Gravedad:
MediaMedia
Publication date: 25/10/2019
Last modified:
30/10/2019
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la parte autenticada de YouPHPTube versión 7.6. Unas peticiones web especialmente diseñadas pueden causar inyecciones SQL. Un atacante puede enviar una petición web con parámetros que contengan ataques de inyección SQL para activar esta vulnerabilidad, lo que podría permitir la exfiltración de la base de datos, las credenciales del usuario y, en cierta configuración, acceder al sistema operativo subyacente.
Vulnerabilidad en las peticiones web en la parte autenticada de YouPHPTube (CVE-2019-5117)
Gravedad:
MediaMedia
Publication date: 25/10/2019
Last modified:
30/10/2019
Descripción:
Se presentan vulnerabilidades de inyección SQL explotables en la parte autenticada de YouPHPTube versión 7.6. Unas peticiones web especialmente diseñadas pueden causar inyecciones SQL. Un atacante puede enviar una petición web con parámetros que contengan ataques de inyección SQL para activar esta vulnerabilidad, permitiendo potencialmente la exfiltración de la base de datos, las credenciales del usuario y, en cierta configuración, acceder al sistema operativo subyacente.
Vulnerabilidad en las peticiones web en la parte autenticada de YouPHPTube (CVE-2019-5116)
Gravedad:
MediaMedia
Publication date: 25/10/2019
Last modified:
30/10/2019
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la parte autenticada de YouPHPTube versión 7.6. Unas peticiones web especialmente diseñadas pueden causar una inyección SQL. Un atacante puede enviar una petición web con parámetros que contienen ataques de inyección SQL para activar esta vulnerabilidad, permitiendo potencialmente la exfiltración de la base de datos, las credenciales del usuario y, en cierta configuración, acceder al sistema operativo subyacente.
Vulnerabilidad en las peticiones web en la parte autenticada de YouPHPTube (CVE-2019-5114)
Gravedad:
MediaMedia
Publication date: 25/10/2019
Last modified:
30/10/2019
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en la parte autenticada de YouPHPTube versión 7.6. Unas peticiones web especialmente diseñadas pueden causar inyecciones SQL. Un atacante puede enviar una petición web con parámetros que contengan ataques de inyección SQL para activar esta vulnerabilidad, permitiendo potencialmente la exfiltración de la base de datos, las credenciales del usuario y, en cierta configuración, acceder al sistema operativo subyacente.
Vulnerabilidad en el componente proxy inverso en IBM Security Access Manager Appliance (CVE-2019-4036)
Gravedad:
MediaMedia
Publication date: 25/10/2019
Last modified:
30/10/2019
Descripción:
IBM Security Access Manager Appliance, podría permitir a un atacante no autenticado causar una denegación de servicio en el componente proxy inverso. ID de IBM X-Force: 156159.
Vulnerabilidad en el adaptador Zend\Db de PostgreSQL en Zend Framework (CVE-2015-0270)
Gravedad:
AltaAlta
Publication date: 25/10/2019
Last modified:
30/10/2019
Descripción:
Zend Framework versiones anteriores a 2.2.10 y versiones 2.3.x anteriores a 2.3.5, presenta una Inyección SQL Potencial en el adaptador Zend\Db de PostgreSQL.
Vulnerabilidad en DLL en Fortinet FortiClient para Windows (CVE-2019-6692)
Gravedad:
MediaMedia
Publication date: 24/10/2019
Last modified:
30/10/2019
Descripción:
Una vulnerabilidad de precarga maliciosa de DLL en Fortinet FortiClient para Windows versión 6.2.0 y anteriores, permite a un atacante privilegiado realizar una ejecución de código arbitrario mediante la falsificación de esa DLL.
Vulnerabilidad en el archivo ruby_parser-legacy-1.0.0/lib/ruby_parser/legacy/ruby_parser.rb en la gema ruby_parser-legacy para Ruby (CVE-2019-18409)
Gravedad:
MediaMedia
Publication date: 24/10/2019
Last modified:
30/10/2019
Descripción:
La gema ruby_parser-legacy (también se conoce como legacy) versión 1.0.0 para Ruby, permite una escalada de privilegios locales debido a los archivos de tipo world-writable. Por ejemplo, si es usada la gema brakeman (que tiene una dependencia heredada) versiones 4.5.0 hasta 4.7.0, un usuario local puede insertar código malicioso en el archivo ruby_parser-legacy-1.0.0/lib/ruby_parser/legacy/ruby_parser.rb.
Vulnerabilidad en el archivo archive_read_support_format_rar.c en la función archive_read_format_rar_read_data en libarchive (CVE-2019-18408)
Gravedad:
MediaMedia
Publication date: 24/10/2019
Last modified:
01/11/2019
Descripción:
La función archive_read_format_rar_read_data en el archivo archive_read_support_format_rar.c en libarchive versiones anteriores a 3.4.0, presenta un uso de la memoria previamente liberada en una determinada situación de ARCHIVE_FAILED, relacionada con Ppmd7_DecodeSymbol.
Vulnerabilidad en los parámetros de la URL en IBM Cloud Orchestrator e IBM Cloud Orchestrator Enterprise (CVE-2019-4397)
Gravedad:
MediaMedia
Publication date: 24/10/2019
Last modified:
30/10/2019
Descripción:
IBM Cloud Orchestrator e IBM Cloud Orchestrator Enterprise versiones 2.5 hasta 2.5.0.9 y 2.4 hasta 2.4.0.5, almacenan información confidencial en parámetros de la URL. Esto puede conllevar a una divulgación de información si las partes no autorizadas tienen acceso a las URL por medio de los registros del servidor, encabezado de referencia o historial del navegador. ID de IBM X-Force: 162239

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Clustered Data ONTAP (CVE-2019-5508)
Gravedad:
MediaMedia
Publication date: 25/10/2019
Last modified:
07/07/2020
Descripción:
Las versiones 9.2 hasta 9.4 de Clustered Data ONTAP, son susceptibles a una vulnerabilidad que permite a un atacante usar l2ping para causar una Denegación de Servicio (DoS).