Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la autenticación en Teléfonos Inteligentes Huawei (CVE-2019-5233)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Teléfonos Inteligentes Huawei con versiones anteriores a Taurus-AL00B 10.0.0.41(SP2C00E41R3P2), presentan una vulnerabilidad de autenticación inapropiada. Una explotación con éxito puede causar que el atacante acceda a componentes específicos.
Vulnerabilidad en la autorización en Teléfonos Inteligentes P30 (CVE-2019-5231)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Teléfonos Inteligentes P30 con versiones anteriores a ELLE-AL00B 9.1.0.186(C00E180R2P1), presentan una vulnerabilidad de autorización inapropiada. El software realiza incorrectamente una comprobación de autorización cuando un usuario intenta llevar a cabo determinada acción. Una explotación con éxito podría permitir al atacante actualizar un paquete diseñado.
Vulnerabilidad en la comprobación de ciertos modelos de entrada en Teléfonos Inteligentes P20 Pro, P20, Mate RS (CVE-2019-5230)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Teléfonos Inteligentes P20 Pro, P20, Mate RS con versiones anteriores a Charlotte-AL00A 9.1.0.321(C00E320R1P1T8), versiones anteriores a Emily-AL00A 9.1.0.321(C00E320R1P1T8), versiones anteriores a NEO-AL00D NEO-AL00 9.1.0.321(C786E320R1P1T8), presentan una vulnerabilidad de comprobación inapropiada. El sistema no realiza una comprobación apropiada de ciertos modelos de entrada, un atacante podría engañar al usuario para que instale una aplicación maliciosa y luego diseñe un modelo malformado, Una explotación con éxito podría permitirle al atacante obtener y manipular determinada información de datos de salida.
Vulnerabilidad en el parámetro asset=UUID en JBoss BRMS (CVE-2010-3857)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
JBoss BRMS versiones anteriores a 5.1.0, presenta una vulnerabilidad de tipo XSS por medio del parámetro asset=UUID.
Vulnerabilidad en la comprobación de ciertos parámetros en Teléfonos Inteligentes P30 (CVE-2019-5229)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Teléfonos Inteligentes P30 con versiones anteriores a ELLE-AL00B 9.1.0.193(C00E190R2P1), presentan una vulnerabilidad de comprobación insuficiente. El sistema no comprueba ciertos parámetros lo suficiente, un atacante debe conectarse al teléfono y obtener un privilegio alto para iniciar el ataque, una explotación con éxito podría causar una ejecución de código malicioso.
Vulnerabilidad en la descarga y desempaquetado de archivos de diccionario en babiloo (CVE-2010-3440)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
babiloo versión 2.0.9 anteriores a 2.0.11, crea archivos temporales con nombres predecibles cuando se c, permitiendo a un atacante local sobrescribir archivos arbitrarios.
Vulnerabilidad en la contraseña de administrador en pixelpost. (CVE-2010-3305)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
La vulnerabilidad de tipo cross-site request forgery (CSRF) en pixelpost versión 1.7.3, podría permitir a atacantes remotos cambiar la contraseña de administrador.
Vulnerabilidad en los nodos de contador en WebKit en Google Chrome (CVE-2011-1802)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
WebKit en Google Chrome anterior a Blink M11 y M12, no maneja apropiadamente los nodos de contador, lo que permite a atacantes remotos causar una denegación de servicio (corrupción de memoria).
Vulnerabilidad en el componente del proveedor de servicios local en NVIDIA GeForce Experience y Windows GPU Display Driver (CVE-2019-5695)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
18/11/2019
Descripción:
NVIDIA GeForce Experience (versiones anteriores a 3.20.1) y Windows GPU Display Driver (todas las versiones), contienen una vulnerabilidad en el componente del proveedor de servicios local en la que un atacante con sistema local y acceso privilegiado puede cargar incorrectamente las DLL del sistema Windows sin comprobar la ruta o la firma (también se conoce como ataque de siembra binaria o de precarga de DLL), lo que puede conllevar a una denegación de servicio o una divulgación de información por medio de una ejecución de código.
Vulnerabilidad en un Slack Access Token en el código fuente en el Slack-Chat (CVE-2019-14367)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Slack-Chat versiones hasta 1.5.5, filtra un Slack Access Token en el código fuente. Un atacante puede obtener mucha información sobre el Slack de la víctima (canales, miembros, etc.).
Vulnerabilidad en un Slack Access Token en el código fuente en el plugin WP SlackSync (CVE-2019-14366)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
El plugin WP SlackSync versiones hasta 1.8.5 para WordPress, filtra un Slack Access Token en el código fuente. Un atacante puede obtener mucha información sobre el Slack de la víctima (canales, miembros, etc.).
Vulnerabilidad en un Slack Access Token en el código fuente en el plugin Intercom para WordPress (CVE-2019-14365)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
El plugin Intercom versiones hasta 1.2.1 para WordPress, filtra un Slack Access Token en el código fuente. Un atacante puede obtener mucha información sobre el Slack de la víctima (canales, miembros, etc.).
Vulnerabilidad en RenderLayerwhen en WebKit en Google Chrome (CVE-2011-2334)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Una vulnerabilidad de Uso de la Memoria Previamente Liberada en WebKit en Google Chrome anterior a Blink M12, en RenderLayerwhen eliminando elementos con reflexiones.
Vulnerabilidad en las funciones de cifrado y descifrado en Ruby on Rails (CVE-2010-3299)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Las funciones de cifrado y descifrado en Ruby on Rails versión 2.3, son vulnerables a los ataques de tipo padding oracle.
Vulnerabilidad en ciertos archivos de configuración en los scripts update{_bad,}_phishing_sites en mailscanner (CVE-2010-3292)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Los scripts update{_bad,}_phishing_sites en mailscanner versión 4.79.11-2 descarga archivos y confía en ellos sin usar cifrado (por ejemplo, https) o comprueba la firma digital, lo que podría permitir a un atacante reemplazar ciertos archivos de configuración (por ejemplo, la lista blanca de phishing) mediante suplantación de un paquete dns .
Vulnerabilidad en en determinados archivos temporales en mailscanner (CVE-2010-3095)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
mailscanner versiones anteriores a 4.79.11-2.1, podría permitir a usuarios locales sobrescribir archivos arbitrarios mediante un ataque de tipo symlink en determinados archivos temporales. NOTA: este problema existe debido a una solución incompleta para CVE-2008-5313.
Vulnerabilidad en la función WebCore::CSSSelector en WebKit en Google Chrome (CVE-2011-2335)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Se presenta una vulnerabilidad de doble liberación en WebKit en Google Chrome anterior a Blink M12, en la función WebCore::CSSSelector.
Vulnerabilidad en el comando de descarga en el servidor en alien-arena (CVE-2010-3439)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Es posible causar una condición DoS causando que el servidor se bloquee en alien-arena versión 7.33, al proporcionar varios parámetros no válidos al comando de descarga.
Vulnerabilidad en un argumento "some text\rQUIT" en el manejador "privmsg" en libpoe-component-irc-perl (CVE-2010-3438)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
libpoe-component-irc-perl versiones anteriores a v6.32, no elimina los retornos de carro y los avances de línea. Esto puede ser utilizado para ejecutar comandos IRC arbitrarios al pasar un argumento como "some text\rQUIT" hacia el manejador "privmsg", lo que causaría que el cliente se desconecte del servidor.
Vulnerabilidad en las estadísticas de tráfico en ZNC (CVE-2010-2488)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Una vulnerabilidad de desreferencia del puntero NULL en ZNC versiones anteriores a 0.092, causada por estadísticas de tráfico cuando se presentan conexiones no autenticadas.
Vulnerabilidad en el componente Digital Asset Manager Web Interface de los Add-ons TIBCO EBX de TIBCO Software Inc (CVE-2019-17332)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
El componente Digital Asset Manager Web Interface de los Add-ons TIBCO EBX de TIBCO Software Inc. contiene una vulnerabilidad que teóricamente permite a usuarios autenticados realizar ataques de tipo cross-site scripting (XSS) almacenados. Las versiones afectadas son los Add-ons TIBCO EBX de TIBCO Software Inc.: versiones hasta 3.20.13 incluyéndola, versiones 4.1.0, 4.2.0, 4.2.1 y 4.2.2.
Vulnerabilidad en el componente servidor Web de TIBCO EBX de TIBCO Software Inc (CVE-2019-17330)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
18/11/2019
Descripción:
El componente servidor Web de TIBCO EBX de TIBCO Software Inc. contiene múltiples vulnerabilidades que teóricamente permiten a usuarios autenticados llevar a cabo ataques de tipo cross-site scripting (XSS) almacenados, y usuarios no autenticados para realizar ataques de tipo cross-site scripting reflejados. Las versiones afectadas son TIBCO EBX de TIBCO Software Inc.: versiones hasta 5.8.1.fixR incluyéndola, versiones 5.9.3, 5.9.4, 5.9.5 y 5.9.6.
Vulnerabilidad en el componente Data Exchange Web Interface de los Add-ons TIBCO EBX de TIBCO Software Inc (CVE-2019-17331)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
El componente Data Exchange Web Interface de los Add-ons TIBCO EBX de TIBCO Software Inc. contiene una vulnerabilidad que teóricamente permite a usuarios autenticados realizar ataques de tipo cross-site scripting (XSS) almacenados. Las versiones afectadas son los Add-ons TIBCO EBX de TIBCO Software Inc.: versiones hasta 3.20.13 incluyéndola, versión 4.1.0.
Vulnerabilidad en las fuentes OpenType en Windows Adobe Type Manager Library en Microsoft Windows (CVE-2019-1456)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft Windows cuando la Windows Adobe Type Manager Library maneja inapropiadamente las fuentes OpenType especialmente diseñadas, también se conoce como "OpenType Font Parsing Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1419.
Vulnerabilidad en los manejadores de comunicaciones de origen cruzado en Office Online (CVE-2019-1447)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de suplantación de identidad cuando Office Online no comprueba correctamente el origen en los manejadores de comunicaciones de origen cruzado, también se conoce como "Microsoft Office Online Spoofing Vulnerability". Este ID de CVE es diferente de CVE-2019-1445.
Vulnerabilidad en el contenido de la memoria en Microsoft Excel (CVE-2019-1446)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
13/11/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando Microsoft Excel divulga inapropiadamente el contenido de su memoria, también se conoce como "Microsoft Excel Information Disclosure Vulnerability".
Vulnerabilidad en los manejadores de comunicaciones de origen cruzado en Office Online (CVE-2019-1445)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de suplantación de identidad cuando Office Online no comprueba correctamente el origen en los manejadores de comunicaciones de origen cruzado, también se conoce como "Microsoft Office Online Spoofing Vulnerability". Este ID de CVE es diferente de CVE-2019-1447.
Vulnerabilidad en la característica de seguridad en Microsoft Office (CVE-2019-1442)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad cuando Microsoft Office no comprueba las URL. Un atacante podría enviar a la víctima un archivo especialmente diseñado, que podría engañar a la víctima para que ingrese las credenciales, también se conoce como "Microsoft Office Security Feature Bypass Vulnerability".
Vulnerabilidad en la aplicación de los privilegios de usuario en el Windows Certificate Dialog (CVE-2019-1388)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en el Windows Certificate Dialog cuando no aplica apropiadamente los privilegios de usuario, también se conoce como "Windows Certificate Dialog Elevation of Privilege Vulnerability".
Vulnerabilidad en una gestión de privilegios en el Windows AppX Deployment Extensions (CVE-2019-1385)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows AppX Deployment Extensions realiza una gestión de privilegios inapropiada, resultando en un acceso a los archivos del sistema. Para explotar esta vulnerabilidad, un atacante autenticado necesitaría ejecutar una aplicación especialmente diseñada para elevar los privilegios. La actualización de seguridad aborda la vulnerabilidad corrigiendo cómo AppX Deployment Extensions gestiona los privilegios, también se conoce como "Windows AppX Deployment Extensions Elevation of Privilege Vulnerability".
Vulnerabilidad en el acceso a los archivos en el servicio ActiveX Installer (CVE-2019-1382)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el servicio ActiveX Installer puede permitir el acceso a los archivos sin la autenticación apropiada, también se conoce como "Microsoft ActiveX Installer Service Elevation of Privilege Vulnerability".
Vulnerabilidad en las ubicaciones de archivos no privilegiadas en el Windows Servicing Stack (CVE-2019-1381)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el Windows Servicing Stack permite el acceso a ubicaciones de archivos no privilegiadas, también se conoce como "Microsoft Windows Information Disclosure Vulnerability".
Vulnerabilidad en Microsoft splwow64.exe (CVE-2019-1380)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios local en la manera en que splwow64.exe maneja ciertas llamadas, también se conoce como 'Vulnerabilidad de elevación de privilegios de Microsoft splwow64'.
Vulnerabilidad en Windows Error Reporting (WER) (CVE-2019-1374)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
13/11/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información en la manera en que Windows Error Reporting (WER) maneja objetos en la memoria, también se conoce como "Windows Error Reporting Information Disclosure Vulnerability".
Vulnerabilidad en PowerShell en Microsoft Exchange (CVE-2019-1373)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft Exchange por medio de la deserialización de metadatos mediante PowerShell, también se conoce como "Microsoft Exchange Remote Code Execution Vulnerability".
Vulnerabilidad en Open Enclave SDK (CVE-2019-1370)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
13/11/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando las versiones de Open Enclave SDK afectadas manejan inapropiadamente objetos en la memoria, también se conoce como "Open Enclave SDK Information Disclosure Vulnerability".
Vulnerabilidad en las etiquetas de flujo IPv6 en la pila TCP/IP de Windows (CVE-2019-1324)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
13/11/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando la pila TCP/IP de Windows maneja inapropiadamente las etiquetas de flujo IPv6 completados en paquetes, también se conoce como "Windows TCP/IP Information Disclosure Vulnerability".
Vulnerabilidad en la autenticación en Systematic IRIS WebForms y sus funcionalidades (CVE-2019-18925)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Systematic IRIS WebForms versión 5.4 y sus funcionalidades pueden ser accedidas y usadas sin ninguna forma de autenticación.
Vulnerabilidad en Systematic IRIS Standards Management (ISM) (CVE-2019-18926)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
14/11/2019
Descripción:
Systematic IRIS Standards Management (ISM) versión v2.1 SP1 89, es vulnerable a un ataque de tipo Cross Site Scripting (XSS) reflejado no autenticado. Una entrada de usuario (relacionada con la información de diálogo) es reflejada directamente en la página web, permitiendo a un usuario malicioso realizar un ataque de tipo Cross Site Scripting contra usuarios de la aplicación.
Vulnerabilidad en una manipulación de variables en Systematic IRIS WebForms (CVE-2019-18924)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
13/11/2019
Descripción:
Systematic IRIS WebForms versión 5.4, es vulnerable al salto de directorio. Mediante manipulación de variables que hacen referencia a archivos con ../ (y variaciones), es posible enumerar todos los directorios y comprobar si existe un archivo en particular.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un archivo de configuración temporal en la función sscanf() en ettercap (CVE-2010-3844)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
18/11/2019
Descripción:
Una llamada a la función sscanf() no comprobada en ettercap en versiones anteriores a la 0.7.5, permite que un archivo de configuración temporal no seguro desborde un búfer de tamaño estático sobre la pila.
Vulnerabilidad en la configuración macro en el software Microsoft Office Excel (CVE-2019-1457)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de omisión de característica de seguridad en el software Microsoft Office al no aplicar la configuración macro sobre un documento Excel, también se conoce como "Microsoft Office Excel Security Feature Bypass".
Vulnerabilidad en el software Microsoft Excel (CVE-2019-1448)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el software Microsoft Excel cuando el software no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Microsoft Excel Remote Code Execution Vulnerability".