Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los permisos de flujo de trabajo en modificación de ticket en Trac. (CVE-2010-5108)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
Trac versión 0.11.6, no comprueba apropiadamente los permisos de flujo de trabajo antes de modificar un ticket. Un atacante puede explotar esto para cambiar el estado y la resolución de los tickets sin tener los permisos apropiados.
Vulnerabilidad en comprobación de autorización en el procesamiento de pedidos en SAP ERP Sales (CVE-2019-0386)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
24/08/2020
Descripción:
El procesamiento de pedidos en SAP ERP Sales (corregido en SAP_APPL versiones 6.0, 6.02, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18) y S4HANA Sales (corregido en S4CORE versiones 1.0, 1.01, 1.02, 1.03, 1.04), no ejecuta la comprobación de autorización requerida para un usuario autenticado, lo que puede resultar en una escalada de privilegios.
Vulnerabilidad en Fuji Electric V-Server. (CVE-2019-18240)
Gravedad:
AltaAlta
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
En Fuji Electric V-Server versión 4.0.6 y anteriores, se han identificado varios desbordamientos de búfer en la región heap de la memoria, lo que puede permitir a un atacante ejecutar código arbitrario remotamente.
Vulnerabilidad en la política de seguridad en el inicio de una sesión VNC en ConsoleKit. (CVE-2010-4664)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
En ConsoleKit versiones anteriores a la versión 0.4.2, se encontró una omisión de la restricción de la política de seguridad prevista. Este fallo permite a un usuario del sistema autenticado aumentar sus privilegios mediante el inicio de una sesión VNC remota.
Vulnerabilidad en el router Verizon FIOS Actiontec MI424WR-GEN3I. (CVE-2013-3097)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
Vulnerabilidad de tipo cross-site scripting (XSS) no especificada en el router Verizon FIOS Actiontec MI424WR-GEN3I..
Vulnerabilidad en comprobación del tipo de contenido en go-camo. (CVE-2019-18923)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
Una comprobación del tipo de contenido insuficiente de recursos proxy en go-camo versiones anteriores a la versión 2.1.1 permite a un atacante remoto servir contenido arbitrario desde el origen de go-camo.
Vulnerabilidad en una petición directa en la función hook_file_download en el módulo CKEditor para Drupal (CVE-2011-4972)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
La función hook_file_download en el módulo CKEditor versiones 7.x-1.4 para Drupal, no restringe correctamente el acceso a archivos privados, lo que permite a atacantes remotos leer archivos privados por medio de una petición directa.
Vulnerabilidad en la función zen_breadcrumb en el archivo template.php (CVE-2013-4275)
Gravedad:
BajaBaja
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
Vulnerabilidad de tipo Cross-Site Scripting (XSS) en la función zen_breadcrumb en el archivo template.php en el tema Zen versiones 6.x-1.x, versiones 7.x-3.x anteriores a la versión 7.x-3.2 y versiones 7.x-5.x anteriores a la versión 7.x-5.4 para Drupal, permite a usuarios autenticados remotos con el permiso "administer themes" para inyectar script web o HTML arbitrario por medio del campo breadcrumb separator.
Vulnerabilidad en el archivo views/upload.php en los parámetro dest y Filename en el componente ProJoom Smart Flash Header (CVE-2014-1214)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
El archivo views/upload.php en el componente ProJoom Smart Flash Header (NovaSFH) versiones 3.0.2 y anteriores para Joomla!, permite a atacantes remotos cargar y ejecutar archivos arbitrarios por medio de un (1) parámetro dest especialmente diseñado y una (2) extensión arbitraria en el parámetro Filename.
Vulnerabilidad en el parámetro from o till en los archivos inc/cleantalk-users.php y inc/cleantalk-comments.php (CVE-2019-17515)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
El plugin CleanTalk cleantalk-spam-protect versiones anteriores a la versión 5.127.4 para WordPress, está afectado por: Cross Site Scripting (XSS). El impacto es: permite a un atacante ejecutar código arbitrario HTML y JavaScript por medio del parámetro from o till. El componente es: los archivos inc/cleantalk-users.php y inc/cleantalk-comments.php. El vector de ataque es: cuando el administrador inicia sesión, un ataque de tipo XSS reflejado puede ser ejecutado tras un clic en una URL maliciosa.
Vulnerabilidad en el archivo views/b2s/post.calendar.php en el parámetro b2s_id (CVE-2019-17550)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
El plugin Blog2Social versiones anteriores a la versión 5.9.0 para WordPress, está afectado por: Cross Site Scripting (XSS). El impacto es: permite a un atacante ejecutar código HTML y JavaScript arbitrario por medio del parámetro b2s_id. El componente es: el archivo views/b2s/post.calendar.php. El vector de ataque es: cuando el administrador inicia sesión, un ataque de tipo XSS reflejado puede ser ejecutado con un clic en una URL maliciosa.
Vulnerabilidad en los teléfonos inteligentes Huawei Emily-L29C. (CVE-2019-5279)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
24/08/2020
Descripción:
Los teléfonos inteligentes Huawei Emily-L29C con versiones anteriores a 9.1.0.311(C10E2R1P13T8), versiones anteriores a 9.1.0.311(C461E2R1P11T8), versiones anteriores a 9.1.0.316(C635E2R1P11T8), versiones anteriores a 9.1.0.311(C185E2R1P12T8), versiones anteriores 9.1.0.311(C605E2R1P12T8), las versiones anteriores a 9.1.0.311(C636E7R1P13T8), presentan una vulnerabilidad de filtrado de información. Un atacante engaña al usuario para que instale una aplicación maliciosa, que puede copiar archivos específicos a la tarjeta sd, lo que resulta en un filtrado de información.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Servicio TELNET sin documentaicón en TRENDnet TEW-812DRU (CVE-2013-3366)
Gravedad:
AltaAlta
Publication date: 13/11/2019
Last modified:
10/02/2020
Descripción:
Servicio TELNET sin documentaicón en TRENDnet TEW-812DRU cuando una página web llamada puerta trasera contiene un parámetro HTML de contraseña y un valor de j78G¬DFdg_24Mhw3.
Vulnerabilidad en Servicio TELNET sin documentación en TRENDnet TEW-691GR (CVE-2013-3367)
Gravedad:
AltaAlta
Publication date: 13/11/2019
Last modified:
10/02/2020
Descripción:
Servicio TELNET sin documentación en TRENDnet TEW-691GR y TEW-692GR cuando una página web llamada puerta trasera contiene un parámetro HTML de contraseña y un valor de j78G¬DFdg_24Mhw3.
Vulnerabilidad en el manejo de algunos mensajes en algunos productos de Huawei. (CVE-2019-5293)
Gravedad:
MediaMedia
Publication date: 13/11/2019
Last modified:
18/11/2019
Descripción:
Algunos productos de Huawei tienen una vulnerabilidad de pérdida de memoria cuando manejan algunos mensajes. Un atacante remoto con privilegio de operación podría explotar la vulnerabilidad mediante el envío continuo de mensajes específicos. Una explotación con éxito puede causar que algún servicio sea anormal.