Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición de paquete HTTP en las cámaras IP serie equIP de Honeywell (CVE-2019-18228)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
En las cámaras IP serie equIP de Honeywell Multiple equIP Series Cameras, una vulnerabilidad se presenta en los productos afectados donde una petición de paquete HTTP especialmente diseñada podría resultar en una denegación de servicio.
Vulnerabilidad en la entrada suministrada por el usuario en Advantech WISE-PaaS/RMM (CVE-2019-18229)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
Advantech WISE-PaaS/RMM, versiones 3.3.29 y anteriores. Una falta de saneamiento de la entrada suministrada por el usuario causa vulnerabilidades de inyección SQL. Un atacante puede aprovechar estas vulnerabilidades para divulgar información.
Vulnerabilidad en el análisis de etiquetas en paquetes mDNS en el binario mdnscap del CUJO Smart Firewall (CVE-2018-4002)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
Se presenta una vulnerabilidad de denegación de servicio explotable en el binario mdnscap del CUJO Smart Firewall ejecutando la versión de firmware 7003. Cuando analiza etiquetas en paquetes mDNS, el firewall maneja de manera no segura los punteros de compresión de etiquetas, conllevando a una recursión no controlada que eventualmente agota la pila y bloquea el proceso de mdnscap. Un atacante no autenticado puede enviar un mensaje mDNS para activar esta vulnerabilidad.
Vulnerabilidad en las peticiones HTTP en la función safe browsing del CUJO Smart Firewall (CVE-2018-4031)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
Se presenta una vulnerabilidad explotable en la función safe browsing del CUJO Smart Firewall, versión 7003. El fallo radica en la manera en que la función safe browsing analiza las peticiones HTTP. El nombre de host del servidor es extraído de las peticiones HTTP/HTTPS capturadas y es insertado como parte de una sentencia Lua sin saneamiento previo, lo que resulta en una ejecución de script Lua arbitraria en el kernel. Un atacante podría enviar una petición HTTP para explotar esta vulnerabilidad.
Vulnerabilidad en Advantech WISE-PaaS/RMM (CVE-2019-13547)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
Advantech WISE-PaaS/RMM, versiones 3.3.29 y anteriores. Se presenta una función no segura que permite a cualquiera que pueda acceder a la dirección IP usar la función sin autenticación.
Vulnerabilidad en Advantech WISE-PaaS/RMM (CVE-2019-13551)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
Advantech WISE-PaaS/RMM, versiones 3.3.29 y anteriores. Las vulnerabilidades de salto de ruta son causadas por la falta de comprobación apropiada de una ruta suministrada por el usuario antes de su uso en las operaciones de archivo. Un atacante puede aprovechar estas vulnerabilidades para ejecutar código remotamente mientras se hace pasar por un administrador.
Vulnerabilidad en el archivo filemanager2.php en el parámetro cmd_arg en CentOS-WebPanel.com (CVE-2019-16295)
Gravedad:
BajaBaja
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
Una vulnerabilidad de tipo XSS almacenado en el archivo filemanager2.php en CentOS-WebPanel.com (también se conoce como CWP) CentOS Web Panel versión 0.9.8.885, se presenta mediante el parámetro cmd_arg. Esto puede ser explotado por parte de un atacante local que suministra un nombre de archivo diseñado dentro de un directorio visitado por la víctima.
Vulnerabilidad en el analizador de certificados X509 de Python.org Python (CVE-2019-5010)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
22/08/2020
Descripción:
Se presenta una vulnerabilidad de denegación de servicio explotable en el analizador de certificados X509 de Python.org Python versión 2.7.11 / 3.6.6. Un certificado X509 especialmente diseñado puede causar una desreferencia del puntero NULL, resultando en una denegación de servicio. Un atacante puede iniciar o aceptar conexiones TLS usando certificados diseñados para activar esta vulnerabilidad.
Vulnerabilidad en un conjunto de conexiones TCP en el demonio Weave de la Nest Cam IQ Indoor (CVE-2019-5043)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de denegación de servicio explotable en el demonio Weave de la Nest Cam IQ Indoor, versión 4620002. Un conjunto de conexiones TCP puede causar una asignación de recursos sin restricciones, resultando en una denegación de servicio. Un atacante puede conectarse varias veces para activar esta vulnerabilidad.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el método de autenticación en las cámaras IP y grabadoras Honeywell equIP series y Performance series (CVE-2019-18226)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
27/04/2020
Descripción:
En las cámaras IP y grabadoras Honeywell equIP series y Performance series, una vulnerabilidad se presenta en los productos afectados donde las cámaras IP y grabadoras poseen una posible vulnerabilidad de ataque de reproducción ya que un método de autenticación débil es retenido por compatibilidad con productos heredados.