Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición POST de /login/forget1 en el parámetro user_id en ARP-GUARD (CVE-2019-18663)
Gravedad:
AltaAlta
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
Una vulnerabilidad de inyección SQL en una petición POST de /login/forget1 en ARP-GUARD versión 4.0.0-5, permite a atacantes remotos no autenticados ejecutar comandos SQL arbitrarios por medio del parámetro user_id.
Vulnerabilidad en las peticiones de cierre de sesión en One Identity Cloud Access Manager (CVE-2019-13497)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
One Identity Cloud Access Manager versiones anteriores a 8.1.4 Hotfix 1, permite un ataque de tipo CSRF para peticiones de cierre de sesión.
Vulnerabilidad en OTP en One Identity Cloud Access Manager (CVE-2019-13496)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
One Identity Cloud Access Manager versiones anteriores a 8.1.4 Hotfix 1, permite la omisión de OTP por medio de vectores que involucran una vulnerabilidad de tipo man in the middle, el producto One Identity Defender, y el reemplazo de una respuesta SAML fallida con una respuesta SAML con éxito.
Vulnerabilidad en el Esquema de Cifrado Multiparte en Cryptocat (CVE-2013-4105)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
Cryptocat versiones anteriores a 2.0.22, presenta Divulgación de Información del Esquema de Cifrado Multiparte
Vulnerabilidad en la Descripción General de la Conversación de Firefox en Cryptocat (CVE-2013-2259)
Gravedad:
AltaAlta
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
Cryptocat versiones anteriores a 2.0.22, presenta Ejecución de Código Arbitraria en la Descripción General de la Conversación de Firefox
Vulnerabilidad en la Generación de Clave Privada ECC del Grupo de Chat Cryptocat (CVE-2013-2257)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
Cryptocat versiones anteriores a 2.0.42, presenta una Debilidad de Fuerza Bruta en la Generación de Clave Privada ECC del Grupo de Chat.
Vulnerabilidad en el archivo strophe.js de Cryptocat (CVE-2013-2262)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
El archivo strophe.js de Cryptocat versiones anteriores a 2.0.22, presenta una divulgación de información.
Vulnerabilidad en la Extensión de Chrome "img/keygen.gif" en Cryptocat (CVE-2013-2261)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
En Cryptocat versiones anteriores a 2.0.22, la Extensión de Chrome "img/keygen.gif" presenta una Divulgación de Información.
Vulnerabilidad en el archivo net/rds/tcp.c en la función rds_tcp_kill_sock() en el kernel de Linux (CVE-2019-18680)
Gravedad:
AltaAlta
Publication date: 04/11/2019
Last modified:
05/12/2019
Descripción:
Se detectó un problema en el kernel de Linux versiones 4.4.x anteriores a 4.4.195. Se presenta una desreferencia del puntero NULL en la función rds_tcp_kill_sock() en el archivo net/rds/tcp.c que causará una denegación de servicio, también se conoce como CID-91573ae4aed0.
Vulnerabilidad en el indexserver de una instancia SAP HANA Database (CVE-2019-0350)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
SAP HANA Database, versiones 1.0, 2.0, permite a un atacante no autorizado enviar una petición de conexión malformada, que bloquea el indexserver de una instancia SAP HANA, conllevando a la denegación de servicio
Vulnerabilidad en el nombre de usuario en Cryptocat (CVE-2013-4100)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
Cryptocat versiones anteriores a 2.0.22, presenta una Denegación de Servicio Remota mediante el nombre de usuario
Vulnerabilidad en el archivo strophe.js en la función Math.random() en Cryptocat (CVE-2013-4102)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
05/11/2019
Descripción:
Cryptocat versiones anteriores a 2.0.22, una Debilidad del Generador de Números Aleatorios de la función Math.random() del archivo strophe.js.
Vulnerabilidad en el método crypt() de glibc en slim (CVE-2013-4412)
Gravedad:
MediaMedia
Publication date: 04/11/2019
Last modified:
04/11/2019
Descripción:
slim presenta una desreferencia del puntero NULL cuando es usado el método crypt() de glibc versión 2.17.
Vulnerabilidad en el archivo bundles/AdminBundle/Resources/public/js/pimcore/settings/translations.js en Pimcore (CVE-2019-18656)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
01/11/2019
Descripción:
Pimcore versión 6.2.3, presenta una vulnerabilidad de tipo XSS en la cuadrícula de traducciones porque el archivo bundles/AdminBundle/Resources/public/js/pimcore/settings/translations.js maneja inapropiadamente ciertos elementos HTML.
Vulnerabilidad en la interfaz SSH (SFTP) en Progress MOVEit Transfer (CVE-2019-18465)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
En Progress MOVEit Transfer versiones 11.1 anteriores a 11.1.3, se ha encontrado una vulnerabilidad que podría permitir a un atacante iniciar sesión sin credenciales completas por medio de la interfaz SSH (SFTP). La vulnerabilidad afecta solo a determinadas configuraciones SSH (SFTP), y es aplicable solo si la base de datos MySQL está siendo usado.
Vulnerabilidad en los nombres de jugador en la máquina del servidor en overkill (CVE-2009-5041)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
overkill, presenta un desbordamiento de búfer por medio de nombres de jugador largos que pueden corromper los datos en la máquina del servidor
Vulnerabilidad en las etiquetas de la lista de problemas en JetBrains YouTrack (CVE-2019-18369)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
01/11/2019
Descripción:
En JetBrains YouTrack versiones anteriores a 2019.2.55152, eliminar etiquetas de la lista de problemas era posible sin el permiso correspondiente.
Vulnerabilidad en JetBrains Toolbox App para Windows (CVE-2019-18368)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
En JetBrains Toolbox App versiones anteriores a 1.15.5666 para Windows, una escalada de privilegios era posible.
Vulnerabilidad en una operación no destructiva en JetBrains TeamCity (CVE-2019-18367)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
En JetBrains TeamCity versiones anteriores a 2019.1.2, una operación no destructiva podría ser realizada por parte de un usuario sin los permisos correspondientes.
Vulnerabilidad en JetBrains TeamCity (CVE-2019-18366)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
En JetBrains TeamCity versiones anteriores a 2019.1.2, valores seguros podrían estar expuestos a usuarios con el permiso "View build runtime parameters and data".
Vulnerabilidad en el historial de compilaciones en JetBrains TeamCity (CVE-2019-18363)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
01/11/2019
Descripción:
En JetBrains TeamCity versiones anteriores a 2019.1.2, un acceso podría ser conseguido al historial de compilaciones de una configuración de compilación eliminada en algunas circunstancias.
Vulnerabilidad en Java en JetBrains TeamCity (CVE-2019-18364)
Gravedad:
AltaAlta
Publication date: 31/10/2019
Last modified:
01/11/2019
Descripción:
En JetBrains TeamCity versiones anteriores a 2019.1.4, una Deserialización de Java no segura podría permitir una ejecución de código remota.
Vulnerabilidad en los puertos de escucha en JetBrains MPS (CVE-2019-18362)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
JetBrains MPS versiones anteriores a 2019.2.2, expuso los puertos de escucha en la red.
Vulnerabilidad en JetBrains IntelliJ IDEA (CVE-2019-18361)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
JetBrains IntelliJ IDEA versiones anteriores a 2019.2, permite la escalada de privilegios de un usuario local, conllevando potencialmente a una ejecución de código arbitrario.
Vulnerabilidad en la recuperación de contraseña en nombres de usuario en JetBrains Hub (CVE-2019-18360)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
05/11/2019
Descripción:
En JetBrains Hub versiones anteriores a 2019.1.11738, la enumeración de nombres de usuario fue posible mediante la recuperación de contraseña.
Vulnerabilidad en un documento SVG en Jupyter Notebook (CVE-2018-21030)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
04/11/2019
Descripción:
Jupyter Notebook versiones anteriores a 5.5.0, no utiliza un encabezado CSP para tratar los archivos servidos como pertenecientes a un origen separado. Así, por ejemplo, se puede colocar una carga XSS en un documento SVG.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una consulta de cliente en Mumble: murmur-server (CVE-2010-2490)
Gravedad:
MediaMedia
Publication date: 31/10/2019
Last modified:
06/11/2019
Descripción:
Mumble: murmur-server presenta una vulnerabilidad de DoS debido a una consulta de cliente malformada
Vulnerabilidad en Trend Micro Apex One, OfficeScan y Worry-Free Business Security (CVE-2019-18189)
Gravedad:
AltaAlta
Publication date: 28/10/2019
Last modified:
05/11/2019
Descripción:
Una vulnerabilidad de salto de directorio en Trend Micro Apex One, OfficeScan (en versiones 11.0, XG) y Worry-Free Business Security (en versiones 9.5, 10.0) puede permitir a un atacante omitir una autenticación e iniciar sesión en la consola de administración de un producto afectado como un usuario root. La vulnerabilidad no requiere de autenticación.
Vulnerabilidad en el archivo admin/app/mediamanager en Schlix CMS (CVE-2019-11021)
Gravedad:
MediaMedia
Publication date: 24/10/2019
Last modified:
29/10/2019
Descripción:
** EN DISPUTA ** El archivo admin/app/mediamanager en Schlix CMS versión 2.1.8-7, permite una carga de archivos sin restricciones autenticada, lo que conlleva a la ejecución de código remota. NOTA: "Si bien, sin darse cuenta, permite que un archivo PHP se cargue a través de Media Manager fue un descuido,aunque se requiere un permiso de administrador. Creemos que es bastante raro que un administrador explote un error en su propio sitio para tener su propio sitio ".
Vulnerabilidad en MuleSoft Mule Community Edition (CVE-2019-13116)
Gravedad:
AltaAlta
Publication date: 16/10/2019
Last modified:
29/10/2019
Descripción:
El motor de tiempo de ejecución de MuleSoft Mule Community Edition versiones anteriores a 3.8, permite a los atacantes remotos ejecutar código arbitrario debido a la deserialización de Java, relacionada con Apache Commons Collections.
Vulnerabilidad en el archivo getcfg.php en algunas interfaces web en los enrutadores D-Link DIR-868L y DIR-817LW (CVE-2019-17506)
Gravedad:
AltaAlta
Publication date: 11/10/2019
Last modified:
30/10/2019
Descripción:
Existen algunas interfaces web sin requisitos de autenticación en los enrutadores D-Link DIR-868L B1-2.03 y DIR-817LW A1-1.04. Un atacante puede obtener el nombre de usuario y la contraseña del enrutador (y otra información) mediante un valor DEVICE.ACCOUNT para SERVICIOS junto con AUTHORIZED_GROUP=1%0a en el archivo getcfg.php. Esto podría ser usado para controlar el enrutador remotamente.
Vulnerabilidad en gif2png (CVE-2019-17371)
Gravedad:
MediaMedia
Publication date: 09/10/2019
Last modified:
11/03/2020
Descripción:
gif2png 2.5.13 tiene una pérdida de memoria en la función de escritura de archivos.
Vulnerabilidad en string_vformat en el archivo string.c (CVE-2019-16928)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
Exim versiones 4.92 hasta 4.92.2, permite una ejecución de código remota, una vulnerabilidad diferente de CVE-2019-15846. Se presenta un desbordamiento del buffer basado en memoria dinámica (heap) en la función string_vformat en el archivo string.c que implica un comando EHLO largo.
Vulnerabilidad en En Bluetooth (CVE-2019-9427)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
01/10/2019
Descripción:
En Bluetooth, se presenta una posible divulgación de información debido a un uso de la memoria después de ser liberada. Esto podría conducir a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-110166350
Vulnerabilidad en En Couchbase Server (CVE-2019-11495)
Gravedad:
AltaAlta
Publication date: 10/09/2019
Last modified:
26/09/2019
Descripción:
En Couchbase Server versión 5.1.1, la cookie utilizada para la comunicación dentro del nodo no se genera de forma segura. Couchbase Server usa erlang:now() para generar el PRNG, lo que da como resultado un pequeño espacio de búsqueda de posibles semillas aleatorias que luego podrían usarse para realizar un ataque de fuerza bruta sobre la cookie y ejecutar el código contra un sistema remoto. Esto se ha solucionado en la versión 6.0.0.
Vulnerabilidad en los dispositivos D-Link DIR-806. (CVE-2019-10892)
Gravedad:
AltaAlta
Publication date: 06/09/2019
Last modified:
07/10/2019
Descripción:
Se ha descubierto un problema en los dispositivos D-Link DIR-806. Hay un desbordamiento de búfer en la región stack de la memoria en la función hnap_main en /htdocs/cgibin. La función llamará a sprintf sin verificar la longitud de las cadenas en los parámetros dados por el encabezado HTTP y puede ser controlado por el usuario. Y finalmente conduce a un desbordamiento de búfer en la región stack de la memoria mediante un encabezado HTTP especial.
Vulnerabilidad en DomainMOD (CVE-2019-1010096)
Gravedad:
MediaMedia
Publication date: 18/07/2019
Last modified:
30/10/2019
Descripción:
DomainMOD versión 4.10.0 está afectado por: Cross Site Request Forgery (CSRF). El impacto es: Existe una vulnerabilidad CSRF que puede cambiar el usuario de solo lectura a administrador. El componente es: admin/users/edit.php?uid=2. El vector de ataque es: Después de que el administrador haya iniciado sesión, abra la página html.
Vulnerabilidad en DomainMOD (CVE-2019-1010095)
Gravedad:
MediaMedia
Publication date: 18/07/2019
Last modified:
30/10/2019
Descripción:
DomainMOD versión 4.10.0 está afectado por: Cross Site Request Forgery (CSRF). El impacto es: Existe una vulnerabilidad CSRF que puede agregar la cuenta de administrador. El componente es: admin/users/add.php. El vector de ataque es: Después de que el administrador haya iniciado sesión, abra la página html.
Vulnerabilidad en Openfind Mail2000 (CVE-2019-9763)
Gravedad:
MediaMedia
Publication date: 19/06/2019
Last modified:
29/10/2019
Descripción:
Se detectó un problema en Openfind Mail2000 versiones 6.0 y 7.0 Webmail. Puede ocurrir Cross-Site Scripting (XSS) mediante una subcadena '
Vulnerabilidad en contenido del archivo en la Vista de acción (CVE-2019-5418)
Gravedad:
MediaMedia
Publication date: 27/03/2019
Last modified:
11/10/2019
Descripción:
Existe una vulnerabilidad de Divulgación del contenido del archivo en la Vista de acción versión anterior a .2.2.1, versión anterior a 1.6.2, versión anterior a 5.0.7.2, versión anterior a 4.2.11.1 y v3, donde los encabezados de aceptación especialmente diseñados pueden exponer el contenido de archivos arbitrarios en el sistema de archivos del sistema de destino. .
Vulnerabilidad en IBM QRadar Advisor (CVE-2018-1732)
Gravedad:
MediaMedia
Publication date: 05/12/2018
Last modified:
01/11/2019
Descripción:
IBM QRadar Advisor con Watson versión 1.14.0 divulga información sensible a usuarios no autorizados. La información puede ser usada para montar futuros ataques sobre el sistema. ID de IBM X-Force: 147810.