Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el módulo de registro en SECUDOS DOMOS (CVE-2019-18665)
Gravedad:
MediaMedia
Publication date: 02/11/2019
Last modified:
04/11/2019
Descripción:
El módulo de registro en SECUDOS DOMOS versiones anteriores a 5.6, permite la inclusión de archivos locales.
Vulnerabilidad en el módulo de registro en SECUDOS DOMOS (CVE-2019-18664)
Gravedad:
BajaBaja
Publication date: 02/11/2019
Last modified:
04/11/2019
Descripción:
El módulo de registro en SECUDOS DOMOS versiones anteriores a 5.6, permite un ataque de tipo XSS.
Vulnerabilidad en un nombre SSID en la ventana emergente de notificación de red en Avast AntiVirus (CVE-2019-18654)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
Se presenta un problema de tipo Cross Site Scripting (XSS) en AVG AntiVirus (Internet Security Edition) versión 19.3.3084 build 19.3.4241.440, en la ventana emergente de notificación de red, permitiendo a un atacante ejecutar código JavaScript por medio de un nombre SSID.
Vulnerabilidad en un nombre SSID en la ventana emergente de notificación de red en Avast AntiVirus (CVE-2019-18653)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
06/11/2019
Descripción:
Se presenta un problema de tipo Cross Site Scripting (XSS) en Avast AntiVirus (Free, Internet Security y Premiere Edition) versión 19.3.2369 build 19.3.4241.440, en la ventana emergente de notificación de red, permitiendo a un atacante ejecutar código JavaScript por medio de un nombre SSID.
Vulnerabilidad en el back-end en TYPO3 (CVE-2010-3661)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
TYPO3 versiones anteriores a 4.1.14, versiones 4.2.x anteriores a 4.2.13, versiones 4.3.x anteriores a 4.3.4 y versiones 4.4.x anteriores a 4.4.1, permite un redireccionamiento abierto en el back-end.
Vulnerabilidad en la interfaz de usuario web en websieve (CVE-2005-2350)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en websieve versión v0.62, permite a atacantes remotos inyectar script web arbitrario o código HTML en la interfaz de usuario web.
Vulnerabilidad en el archivo common.tabs.php en GLPI (CVE-2013-2227)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
GLPI versión 0.83.7, presenta una inclusión de archivos locales en el archivo common.tabs.php.
Vulnerabilidad en MiniDLNA (CVE-2013-2739)
Gravedad:
AltaAlta
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
MiniDLNA, presenta un desbordamiento de búfer en la región heap de la memoria
Vulnerabilidad en el parámetro URL gravatar en Jitbit .NET Forum (CVE-2019-18636)
Gravedad:
BajaBaja
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en Jitbit .NET Forum (también se conoce como ASP.NET forum) versión 8.3.8, permite a atacantes remotos inyectar script web o HTML arbitrario mediante el parámetro URL gravatar.
Vulnerabilidad en los proyectos en la aplicación "In-App & Desktop Notifications" de Infosysta para Jira (CVE-2019-16909)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
Se detectó un problema en la aplicación "In-App & Desktop Notifications" de Infosysta versiones anteriores a 1.6.14_J8 para Jira. Es posible obtener una lista de todos los proyectos de Jira (con autenticación como usuario de Jira, pero sin autorización para proyectos específicos) mediante el URI plugins/servlet/nfj/NotificationSettings.
Vulnerabilidad en los proyectos en la aplicación "In-App & Desktop Notifications" de Infosysta para Jira (CVE-2019-16908)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
Se detectó un problema en la aplicación "In-App & Desktop Notifications" de Infosysta versiones anteriores a 1.6.14_J8 para Jira. Es posible obtener una lista de todos los proyectos de Jira sin autenticación ni autorización por medio del URI plugins/servlet/nfj/ProjectFilter?searchQuery=.
Vulnerabilidad en minidlna (CVE-2013-2738)
Gravedad:
AltaAlta
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
minidlna, presenta una inyección SQL que puede permitir la recuperación de archivos arbitrarios.
Vulnerabilidad en la función snprintf() en MiniUPnPd (CVE-2013-2600)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
04/11/2019
Descripción:
MiniUPnPd, presenta una divulgación de información en el uso de la función snprintf().
Vulnerabilidad en Advantech WISE-PaaS/RMM (CVE-2019-18227)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
Advantech WISE-PaaS/RMM, versiones 3.3.29 y anteriores. Se presentan vulnerabilidades de tipo XXE que pueden permitir una divulgación de datos confidenciales.
Vulnerabilidad en los nombres de usuario en la aplicación "In-App & Desktop Notifications" de Infosysta para Jira (CVE-2019-16907)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en la aplicación "In-App & Desktop Notifications" de Infosysta versión 1.6.13_J8 para Jira. Es posible obtener una lista de todos los nombres de usuario de Jira válidos sin autenticación ni autorización por medio del URI plugins/servlet/nfj/UserFilter?searchQuery=@.
Vulnerabilidad en las notificaciones de usuario en la aplicación "In-App & Desktop Notifications" de Infosysta para Jira (CVE-2019-16906)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en la aplicación "In-App & Desktop Notifications" de Infosysta versión 1.6.13_J8 para Jira. Mediante el uso de plugins/servlet/nfj/PushNotification?username= con un nombre de usuario modificado, las notificaciones de un usuario diferente se pueden leer sin autenticación ni autorización. Estas notificaciones ya no son mostradas más al usuario normal.
Vulnerabilidad en FreeTDS (CVE-2019-13508)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
29/05/2020
Descripción:
FreeTDS versiones hasta 1.1.11, presenta un Desbordamiento de Búfer.
Vulnerabilidad en Extended JNLP Services en IcedTea6 (CVE-2010-2783)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
IcedTea6 versiones anteriores a 1.7.4, permite a aplicaciones sin firmar leer y escribir archivos arbitrarios, relacionados con Extended JNLP Services.
Vulnerabilidad en el acceso a la propiedad en IcedTea6 (CVE-2010-2548)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
IcedTea6 versiones anteriores a 1.7.4, no comprueba apropiadamente el acceso a la propiedad, lo que permite a aplicaciones sin firmar leer y escribir archivos arbitrarios.
Vulnerabilidad en una petición HTTP en YouPHPTube (CVE-2019-5151)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
Se presenta una vulnerabilidad de inyección SQL explotable en YouPHPTube versión 7.7. Una petición HTTP no autenticada especialmente diseñada puede causar una inyección SQL, conllevando posiblemente a una denegación de servicio, una exfiltración de la base de datos y una inclusión de archivos locales, lo que podría potencialmente conllevar aún más a una ejecución de código. Un atacante puede enviar una petición HTTP para activar esta vulnerabilidad.
Vulnerabilidad en el plugin Atlassian Jira Tempo (CVE-2019-5095)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información del resumen de problema en el plugin Atlassian Jira Tempo, versión 4.10.0. Los usuarios autenticados pueden obtener el resumen de los problemas que no tienen permiso para visualizar mediante el plugin Tempo.
Vulnerabilidad en la página de reporte de la configuración (archivo adm_config_report.php) en MantisBT (CVE-2013-1934)
Gravedad:
BajaBaja
Publication date: 31/10/2019
Last modified:
01/11/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en la página de reporte de la configuración (archivo adm_config_report.php) en MantisBT versiones 1.2.0rc1 anteriores a 1.2.14, permite a usuarios autenticados remotos inyectar script web o HTML arbitrario por medio de un valor complejo.
Vulnerabilidad en la función quarantine restoration en Total Defense Anti-virus (CVE-2019-18645)
Gravedad:
BajaBaja
Publication date: 30/10/2019
Last modified:
24/08/2020
Descripción:
La función quarantine restoration en Total Defense Anti-virus versión 11.5.2.28, es vulnerable a ataques de enlaces simbólicos, permitiendo que los archivos se escriban en directorios privilegiados.
Vulnerabilidad en la función malware scan en Total Defense Anti-virus (CVE-2019-18644)
Gravedad:
MediaMedia
Publication date: 30/10/2019
Last modified:
01/11/2019
Descripción:
La función malware scan en Total Defense Anti-virus versión 11.5.2.28, es vulnerable a un error TOCTOU; en consecuencia, los ataques de enlaces simbólicos permiten que archivos privilegiados sean eliminados.
Vulnerabilidad en un comentario en ikiwiki (CVE-2010-1673)
Gravedad:
MediaMedia
Publication date: 30/10/2019
Last modified:
30/10/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en ikiwiki versiones anteriores a 3.20101112, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de un comentario.
Vulnerabilidad en Airflow (CVE-2019-12417)
Gravedad:
BajaBaja
Publication date: 30/10/2019
Last modified:
01/11/2019
Descripción:
Un usuario administrador malicioso podría editar el estado de los objetos en la base de datos de metadatos de Airflow para ejecutar JavaScript arbitrario en determinadas vistas de página. Esto también presentó una vulnerabilidad de Divulgación de Archivos Local en cualquier archivo legible por el proceso del servidor web.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los campos de hora de inicio y finalización en SmokePing (CVE-2013-4168)
Gravedad:
MediaMedia
Publication date: 01/11/2019
Last modified:
18/08/2020
Descripción:
Vulnerabilidad de tipo cross-site scripting (XSS) en SmokePing versión 2.6.9, en los campos de hora de inicio y finalización.
Vulnerabilidad en los nombres de función de Lua en MediaWiki (CVE-2013-1951)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
18/08/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en MediaWiki versiones anteriores a 1.19.5 y versiones 1.20.x anteriores a 1.20.4 y permite a atacantes remotos inyectar script web o HTML arbitrario por medio de nombres de función de Lua.
Vulnerabilidad en los argumentos tr en un enlace magnético en Transmission (CVE-2010-0748)
Gravedad:
AltaAlta
Publication date: 30/10/2019
Last modified:
18/08/2020
Descripción:
Transmission versiones anteriores a 1.92, permite a un atacante causar una denegación de servicio (bloqueo) o posiblemente tener otro impacto no especificado por medio de una gran cantidad de argumentos tr en un enlace magnético.
Vulnerabilidad en los datos corruptos durante el final del juego en Transmission (CVE-2010-0749)
Gravedad:
MediaMedia
Publication date: 30/10/2019
Last modified:
18/08/2020
Descripción:
Transmission versiones anteriores a 1.92, permite a atacantes impedir la descarga de un archivo mediante datos corruptos durante el final del juego.
Vulnerabilidad en una función SECURITY DEFINER en postgresql (CVE-2019-10208)
Gravedad:
MediaMedia
Publication date: 29/10/2019
Last modified:
17/08/2020
Descripción:
Se descubrió un fallo en postgresql versiones 9.4.x en versiones anteriores a la 9.4.24, versiones 9.5.x en versiones anteriores a la 9.5.19, versiones 9.6.x en versiones anteriores a la 9.6.15, versiones 10.x en versiones anteriores a la 10.10 y versiones 11.x en versiones anteriores a la 11.5 donde pueden ser ejecutadas sentencias SQL arbitrarias dada una función SECURITY DEFINER adecuada. Un atacante, con permiso EXECUTE sobre la función, puede ejecutar código SQL arbitrario como propietario de la función.
Vulnerabilidad en pootle (CVE-2010-4245)
Gravedad:
MediaMedia
Publication date: 28/10/2019
Last modified:
01/11/2019
Descripción:
pootle versión 2.0.5 tiene una vulnerabilidad de tipo XSS mediante el parámetro "match_names".
Vulnerabilidad en pixelpost (CVE-2009-4900)
Gravedad:
MediaMedia
Publication date: 28/10/2019
Last modified:
01/11/2019
Descripción:
pixelpost versión 1.7.1 tiene una vulnerabilidad de tipo XSS.
Vulnerabilidad en pixelpost (CVE-2009-4899)
Gravedad:
AltaAlta
Publication date: 28/10/2019
Last modified:
01/11/2019
Descripción:
pixelpost versión 1.7.1 tiene una inyección SQL.
Vulnerabilidad en exec cURL en Snoopy (CVE-2002-2444)
Gravedad:
AltaAlta
Publication date: 28/10/2019
Last modified:
01/11/2019
Descripción:
Snoopy en versiones anteriores a la 2.0.0 tiene un hueco de seguridad en exec cURL
Vulnerabilidad en Zoo (CVE-2005-2349)
Gravedad:
MediaMedia
Publication date: 28/10/2019
Last modified:
01/11/2019
Descripción:
Zoo 2.10 tiene un salto de Directorio