Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las API expuestas por el servidor TIE en McAfee Threat Intelligence Exchange Server (CVE-2019-3641)
Gravedad:
BajaBaja
Publication date: 13/11/2019
Last modified:
15/11/2019
Descripción:
Una vulnerabilidad de abuso de autorización en las API expuestas por el servidor TIE en McAfee Threat Intelligence Exchange Server (TIE Server) versión 3.0.0, permite a usuarios autenticados remotos modificar los datos de reputación almacenados por medio de mensajes especialmente diseñados.
Vulnerabilidad en la contraseña de un usuario conectado al servidor MySQL en mysql-gui-tools (CVE-2010-4177)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
mysql-gui-tools (mysql-query-browser y mysql-admin) versiones anteriores a 5.0r14+openSUSE-2.3 expone la contraseña de un usuario conectado al servidor MySQL en forma de texto sin cifrar por medio de la lista de procesos en ejecución.
Vulnerabilidad en un error de juez lógico bajo cierto escenario en Teléfonos Inteligentes Honor Play (CVE-2019-5213)
Gravedad:
BajaBaja
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Teléfonos Inteligentes Honor Play con versiones anteriores a Cornell-AL00A versión 9.1.0.321 (C00E320R1P1T8), presentan una vulnerabilidad de autenticación insuficiente. El sistema presenta un error de juez lógico bajo cierto escenario. Una explotación con éxito podría permitir al atacante modificar la configuración del reloj de alarma posterior a una serie de operaciones poco comunes sin desbloquear el bloqueo de pantalla.
Vulnerabilidad en el bloqueo de determinadas funciones en ciertos módulos de detección de Teléfonos Inteligentes P30, P30 Pro, Honor V20 (CVE-2019-5228)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Ciertos módulos de detección de teléfonos inteligentes P30, P30 Pro, Honor V20 con versiones anteriores a ELLE-AL00B 9.1.0.193(C00E190R1P21), versiones anteriores a VOGUE-AL00A 9.1.0.193(C00E190R1P12), versiones anteriores a Princeton-AL10B 9.1.0.233(C00E233R4P3), presentan una vulnerabilidad de condición de carrera. El sistema no bloquea determinadas funciones apropiadamente, cuando la función es invocada por múltiples procesos podría causar una escritura fuera del límite. Un atacante engaña al usuario para que instale una aplicación maliciosa, una explotación con éxito podría causar una ejecución de código malicioso.
Vulnerabilidad en el archivo third_party/WebKit/Source/WebCore/svg/animation/SVGSMILElement.h en WebKit en Google Chrome (CVE-2011-1803)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Existe un problema en el archivo third_party/WebKit/Source/WebCore/svg/animation/SVGSMILElement.h en WebKit en Google Chrome anterior a Blink M11 y M12, al intentar acceder a un elemento smil eliminado.
Vulnerabilidad en comprobación de determinadas peticiones en Azure Stack (CVE-2019-1234)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
13/02/2020
Descripción:
Se presenta una vulnerabilidad de suplantación de identidad cuando Azure Stack no es capaz de comprobar determinadas peticiones, también se conoce como "Azure Stack Spoofing Vulnerability".
Vulnerabilidad en el archivo Picture_Manage_mvc.aspx en un parámetro authority en AUO SunVeillance Monitoring System (CVE-2019-12719)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
Se detectó un problema en el archivo Picture_Manage_mvc.aspx en AUO SunVeillance Monitoring System versiones anteriores a v1.1.9e. Se presenta una vulnerabilidad de control de acceso incorrecta que puede permitir a un usuario no autenticado cargar archivos por medio de un parámetro authority modificado.
Vulnerabilidad en el archivo mvc_send_mail.aspx en el parámetro MailAdd en AUO SunVeillance Monitoring System (CVE-2019-12720)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
15/11/2019
Descripción:
AUO SunVeillance Monitoring System versiones anteriores a v1.1.9e, es vulnerable a una inyección SQL del archivo mvc_send_mail.aspx (parámetro MailAdd). Un atacante puede llevar una carga útil de inyección SQL al servidor, permitiéndole leer datos privilegiados. Esto también afecta el parámetro plant_no del archivo picture_manage_mvc.aspx, el parámetro plant_no del archivo swapdl_mvc.aspx y los parámetros Text_Postal_Code y Text_Dis_Code del archivo account_management.aspx.
Vulnerabilidad en las operaciones de archivo en Windows Data Sharing Service (CVE-2019-1383)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Data Sharing Service maneja inapropiadamente las operaciones de archivo, también se conoce como "Windows Data Sharing Service Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1379, CVE-2019-1417.
Vulnerabilidad en el kernel de Windows (CVE-2019-1392)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el kernel de Windows no es capaz de manejar apropiadamente objetos en la memoria, también se conoce como "Windows Kernel Elevation of Privilege Vulnerability".
Vulnerabilidad en la creación de objetos COM en el servicio Windows Universal Plug and Play (UPnP) (CVE-2019-1405)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el servicio Windows Universal Plug and Play (UPnP), inapropiadamente permite la creación de objetos COM, también se conoce como "Windows UPnP Service Elevation of Privilege Vulnerability".
Vulnerabilidad en los componentes Click-to-Run (C2R) de Microsoft Office (CVE-2019-1449)
Gravedad:
AltaAlta
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad en la manera en que los componentes Click-to-Run (C2R) de Office manejan un archivo especialmente diseñado, lo que podría conllevar a un usuario estándar, de cualquier sandbox de AppContainer y Office LPAC Protected View, escale privilegios a SYSTEM. Para aprovechar este error, un atacante tendría que ejecutar un archivo especialmente diseñado, también se conoce como "Microsoft Office ClickToRun Security Feature Bypass Vulnerability".
Vulnerabilidad en Hitachi Command Suite (CVE-2018-21026)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
18/11/2019
Descripción:
Una vulnerabilidad en Hitachi Command Suite versiones 7.x y versiones 8.x anteriores a 8.6.5-00, permite a un usuario remoto no autenticado leer información interna.
Vulnerabilidad en el control de acceso en los dispositivos ZyXEL P-1302-T10D (CVE-2019-15815)
Gravedad:
MediaMedia
Publication date: 12/11/2019
Last modified:
24/08/2020
Descripción:
Los dispositivos ZyXEL P-1302-T10D versión v3 con versión de firmware 2.00(ABBX.3) y anteriores, no aplican el control de acceso apropiadamente y podrían permitir a un usuario no autorizado acceder a ciertas páginas que requieren privilegios de administrador.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: