Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la creación de directorios temporales en Gambas (CVE-2013-1809)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
Gambas versiones anteriores a 3.4.0, permite a atacantes remotos mover o manipular el contenido del directorio o realizar ataques de tipo symlink debido a la creación de directorios temporales no seguros.
Vulnerabilidad en el archivo /var/log/monkeyd/master.log en servidor web Monkeyd en gentoo (CVE-2013-1771)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
El servidor web Monkeyd produce un registro de tipo world-readable (archivo /var/log/monkeyd/master.log) en gentoo.
Vulnerabilidad en los paquetes de frysk en Red Hat Enterprise Linux (CVE-2008-3278)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
Los paquetes de frysk hasta el 05-08-2008 transportados en Red Hat Enterprise Linux versión 5, están construidos con un RPATH no seguro establecido en el encabezado ELF de múltiples binarios en /usr/bin/f* (por ejemplo, fcore, fcatch, fstack, fstep, ...) enviado en el paquete. Un atacante local puede explotar esta vulnerabilidad mediante la ejecución de código arbitrario como otro usuario.
Vulnerabilidad en ScanOLE2 en clamav (CVE-2007-6745)
Gravedad:
AltaAlta
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
clamav versión 0.91.2, sufre de una excepción de coma flotante cuando usa ScanOLE2.
Vulnerabilidad en los archivos packages/strapi-admin/controllers/Auth.js y packages/strapi-plugin-users-permissions/controllers/Auth.js en los restablecimientos de contraseña en strapi (CVE-2019-18818)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
strapi versiones anteriores a 3.0.0-beta.17.5, maneja inapropiadamente los restablecimientos de contraseña dentro de los archivos packages/strapi-admin/controllers/Auth.js y packages/strapi-plugin-users-permissions/controllers/Auth.js.
Vulnerabilidad en la creación de una clave privada DES en el script keygen.sh en /usr/local/etc/shibboleth en Shibboleth (CVE-2010-2450)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
El script keygen.sh en Shibboleth SP 2.0 (ubicado en /usr/local/etc/shibboleth por defecto) utiliza OpenSSL para crear una clave privada DES que es colocada en el archivo sp-key.pm. Se basa en la umask root (predeterminado 22) en lugar de chmoding del archivo resultante en sí mismo, por lo que la clave privada generada es de tipo world readable por defecto.
Vulnerabilidad en una sesión abierta de un usuario bloqueado en Drupal (CVE-2010-2473)
Gravedad:
BajaBaja
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
Drupal versiones 6.x anteriores a 6.16 y versiones 5.x anteriores a 5.22, no bloquea apropiadamente a usuarios bajo determinadas circunstancias. Un usuario con una sesión abierta que fue bloqueada podría mantener su sesión en el sitio de Drupal a pesar de estar bloqueado.
Vulnerabilidad en el módulo local y los módulos contribuidos dependientes en Drupal (CVE-2010-2472)
Gravedad:
BajaBaja
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
El módulo local y los módulos contribuidos dependientes en Drupal versiones 6.x anteriores a 6.16 y versiones 5.x anteriores a 5.22, no sanean apropiadamente la visualización de códigos de Idioma, nombres nativos y de idioma Inglés, lo que podría permitir a un atacante llevar a cabo un ataque de tipo cross-site scripting (XSS). Esta vulnerabilidad es mitigada por el hecho de que un atacante necesita tener un rol con el permiso de "administer languages".
Vulnerabilidad en strlen en WebKit en Google Chrome en 64 bits (CVE-2011-2337)
Gravedad:
AltaAlta
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
Es usado un tipo incorrecto para un valor de retorno de strlen en WebKit en Google Chrome anterior a Blink M12 en plataformas de 64 bits.
Vulnerabilidad en el borrado de listas en AnimationControllerPrivate en WebKit en Google Chrome (CVE-2011-2336)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
Se presenta un problema en WebKit en Google Chrome anterior a Blink M12. Cuando se borran listas en AnimationControllerPrivate que señala cuando se inicia una animación de hardware.
Vulnerabilidad en el temporizador en el archivo Timer.cpp en WebKit en Google Chrome (CVE-2011-2807)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
Un manejo incorrecto de la información del temporizador en el archivo Timer.cpp en WebKit en Google Chrome anterior a Blink M13.
Vulnerabilidad en DocumentWriter::replaceDocument en el cargador de documentos en WebKit en Google Chrome (CVE-2011-2353)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
13/11/2019
Descripción:
Una vulnerabilidad de uso de la memoria previamente liberada en el cargador de documentos en WebKit en Google Chrome anterior a Blink M13 en la función DocumentWriter::replaceDocument.
Vulnerabilidad en un archivo de impresión en determinadas impresoras HP Inkjet (CVE-2019-6337)
Gravedad:
BajaBaja
Publication date: 07/11/2019
Last modified:
24/08/2020
Descripción:
Para las impresoras listadas, un archivo de impresión diseñado con fines maliciosos puede causar que determinadas impresoras HP Inkjet se confirmen. Bajo ciertas circunstancias, la impresora produce un volcado de núcleo en un dispositivo local.
Vulnerabilidad en AT+CIMI y AT+CGSN mediante Bluetooth en los dispositivos Samsung Galaxy S8 plus, Samsung Galaxy S3 y Samsung Galaxy Note 2 (CVE-2019-16401)
Gravedad:
BajaBaja
Publication date: 06/11/2019
Last modified:
24/08/2020
Descripción:
Los dispositivos Samsung Galaxy S8 plus (versión de Android: 8.0.0, Número de Compilación: R16NW.G955USQU5CRG3, Suplidor de Banda Base: Qualcomm Snapdragon 835, Banda Base: G955USQU5CRG3), Samsung Galaxy S3 (versión de Android: 4.3, Número de Compilación: JSS15J.I9300XXUGND5, Suplidor de Banda Base: Samsung Exynos 4412, Banda Base: I9300XXUGNA8) y Samsung Galaxy Note 2 (versión de Android: 4.3, Número de Compilación: JSS15J.I9300XUGND5, Suplidor de Banda Base: Samsung Exynos 4412, Banda Base: N7100DDUFND1), permiten la inyección de AT+CIMI y AT+CGSN mediante Bluetooth, una filtrado de información confidencial, como IMSI, IMEI, estado de la llamada, etapa de configuración de la llamada, estado del servicio de Internet, intensidad de la señal, estado de roaming actual, nivel de batería y estado de llamada retenida.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la contraseña de inicio de sesión remoto de Telnet en el producto MF910S en ZTE PSIRT (CVE-2019-3422)
Gravedad:
BajaBaja
Publication date: 07/11/2019
Last modified:
27/08/2020
Descripción:
El Laboratorio de seguridad Sec Consult reportó una vulnerabilidad de divulgación de información en el producto MF910S en ZTE PSIRT en octubre de 2019. A través del análisis del equipo de producto relacionado, se confirma la vulnerabilidad de divulgación de información. La herramienta de actualización con una sola acción de clic del producto MF910S puede obtener la contraseña de inicio de sesión remoto de Telnet de forma inversa. Si se abre Telnet, el atacante puede iniciar sesión remotamente en el dispositivo por medio de la contraseña descifrada, resultando en una fuga de información. El MF910S finalizó el servicio el 23 de octubre de 2019, ZTE recomienda a usuarios que elijan nuevos productos con el fin de una mejor seguridad.
Vulnerabilidad en Dell EMC (CVE-2019-3764)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
16/01/2020
Descripción:
Dell EMC iDRAC7 versiones anteriores a 2.65.65.65, iDRAC8 versiones anteriores a 2.70.70.70, e iDRAC9 versiones anteriores a 3.36.36.36 contienen una vulnerabilidad de autorización inapropiada. Un usuario malicioso autenticado remoto de iDRAC con pocos privilegios puede explotar potencialmente esta vulnerabilidad para obtener información confidencial, tal y como el hash de contraseñas.
Vulnerabilidad en PHPOffice PhpSpreadsheet (CVE-2019-12331)
Gravedad:
MediaMedia
Publication date: 07/11/2019
Last modified:
10/02/2020
Descripción:
PHPOffice PhpSpreadsheet anterior a la versión 1.8.0 tiene un problema XXE. El XmlScanner decodifica la sheet1.xml de un .xlsx a utf-8 si en el encabezado se declara algo más que UTF-8. Esta fue una medida de seguridad para evitar CVE-2018-19277, pero la solución no es suficiente. Al codificar dos veces la carga útil xml a utf-7, es posible omitir la comprobación de la cadena ‚