Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en creación de cuenta de administrador en TemaTres. (CVE-2019-14345)
Gravedad:
AltaAlta
Publication date: 15/11/2019
Last modified:
24/08/2020
Descripción:
TemaTres versión 3.0, permite a usuarios remotos no privilegiados crear una cuenta de administrador.
Vulnerabilidad en Adobe Illustrator CC. (CVE-2019-8248)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
Adobe Illustrator CC versiones 23.1 y anteriores, tiene una vulnerabilidad de corrupción de memoria. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Media Encoder (CVE-2019-8246)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
21/11/2019
Descripción:
Adobe Media Encoder versiones 13.1 y anteriores, tiene una vulnerabilidad de escritura fuera de límites. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Media Encoder. (CVE-2019-8244)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
21/11/2019
Descripción:
Adobe Media Encoder versiones 13.1 y anteriores, tiene una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Media Encoder (CVE-2019-8243)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
21/11/2019
Descripción:
Adobe Media Encoder versiones 13.1 y anteriores, tiene una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Media Encoder (CVE-2019-8242)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
21/11/2019
Descripción:
Adobe Media Encoder versiones 13.1 y anteriores, tiene una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Media Encoder. (CVE-2019-8241)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
21/11/2019
Descripción:
Adobe Media Encoder versiones 13.1 y anteriores, tiene una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo includes/acp/acp_bbcodes.php en la página BBCode en el Panel de Control de Administración en phpBB (CVE-2019-16993)
Gravedad:
MediaMedia
Publication date: 30/09/2019
Last modified:
21/11/2019
Descripción:
En phpBB versiones anteriores a 3.1.7-PL1, el archivo includes/acp/acp_bbcodes.php presenta una comprobación inapropiada de un token de CSRF en la página BBCode en el Panel de Control de Administración. Un ataque de tipo CSRF real es posible si un atacante también logra recuperar el id de sesión de un administrador reautenticado antes de que sea atacado.
Vulnerabilidad en la función is_file_acceptable CMS Made Simple (CVE-2017-16798)
Gravedad:
BajaBaja
Publication date: 12/11/2017
Last modified:
21/11/2019
Descripción:
En CMS Made Simple 2.2.3.1, la función is_file_acceptable en modules/FileManager/action.upload.php solo bloquea las extensiones de archivo que empiezan o finalizan con una subcadena "php", lo que permite a los atacantes remotos omitir las restricciones de acceso planeadas o desencadenar Cross-Site Scripting (XSS) mediante otras extensiones, tal y como se demostró con .phtml, .pht, .html o .svg.
Vulnerabilidad en la función DisplayTopKeywords en plugins/Referrers/Controller.php en Piwik (CVE-2015-7816)
Gravedad:
AltaAlta
Publication date: 16/11/2015
Last modified:
21/11/2019
Descripción:
La función DisplayTopKeywords en plugins/Referrers/Controller.php en Piwik en versiones anteriores a 2.15.0 permite a atacantes remotos llevar a cabo ataques de inyección de objetos PHP, ejecutar ataques de SSRF y ejecutar código PHP arbitrario a través de una cabecera HTTP manipulada.
Vulnerabilidad en core/ViewDataTable/Factory.php en Piwik (CVE-2015-7815)
Gravedad:
AltaAlta
Publication date: 16/11/2015
Last modified:
21/11/2019
Descripción:
Vulnerabilidad de salto de directorio en core/ViewDataTable/Factory.php en Piwik en versiones anteriores a 2.15.0 permite a atacantes remotos incluir y ejecutar archivos locales arbitrarios a través del parámetro viewDataTable.
Vulnerabilidad en XSS en Piwik (CVE-2013-1844)
Gravedad:
MediaMedia
Publication date: 21/03/2013
Last modified:
21/11/2019
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Piwik anterior a v1.11 que permite a atacantes remotos inyectar un script web o HTML a través de vectores no especificados.
Vulnerabilidad en Piwik (CVE-2013-2633)
Gravedad:
MediaMedia
Publication date: 21/03/2013
Last modified:
21/11/2019
Descripción:
Piwik anterior a v1.11 acepta entradas desde una petición POST en lugar de una petición GET en circunstancias sin especificar, lo que puede permitir ataques para conseguir información a través del aprovechamiento de los parámetros del login.
Vulnerabilidad en Piwik (CVE-2012-4541)
Gravedad:
MediaMedia
Publication date: 19/11/2012
Last modified:
21/11/2019
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en Piwik antes de v1.9 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados.
Vulnerabilidad en Piwik (CVE-2011-4941)
Gravedad:
MediaMedia
Publication date: 18/09/2012
Last modified:
21/11/2019
Descripción:
Vulnerabilidad no especificada en Piwik v1.2 hasta v1.4, permite a atacantes remotos con permisos de visualización, ejecutar código de su elección a través de vectores de ataque desconocidos
Vulnerabilidad en Piwik (CVE-2011-3791)
Gravedad:
MediaMedia
Publication date: 23/09/2011
Last modified:
21/11/2019
Descripción:
Piwik v1.1 permite a atacantes remotos obtener información sensible a través de una petición directa a un archivo .php, lo que revela la ruta de instalación en un mensaje de error, como se demostró con plugins/Widgetize/Widgetize.php y algunos otros archivos.
Vulnerabilidad en Piwik (CVE-2011-0401)
Gravedad:
MediaMedia
Publication date: 10/01/2011
Last modified:
21/11/2019
Descripción:
Piwik en versiones anteriores a la 1.1 no limita apropiadamente el número de ficheros almacenados bajo tmp/sessions/, lo que puede permitir a atacantes remotos provocar una denegación de servicio (consumo de los recursos inode) estableciendo muchas sesiones.
Vulnerabilidad en Piwik (CVE-2011-0400)
Gravedad:
MediaMedia
Publication date: 10/01/2011
Last modified:
21/11/2019
Descripción:
Cookie.php en Piwik anterior a v1.1 no establece el indicador seguro para la cookie de sesión en una sesión https, lo que facilita a los atacantes remotos capturar esta cookie mediante la interceptación de su transmisión entre una sesión http.
Vulnerabilidad en Piwik (CVE-2011-0399)
Gravedad:
MediaMedia
Publication date: 10/01/2011
Last modified:
21/11/2019
Descripción:
Piwik antes de 1.1 no previene la representación del formulario de conexión dentro de un marco en un documento HTML de terceros, lo que facilita a los atacantes remotos realizar ataques de clickjacking mediante un sitio web manipulado.
Vulnerabilidad en función Piwik_Common::getIP de Piwik (CVE-2011-0398)
Gravedad:
MediaMedia
Publication date: 10/01/2011
Last modified:
21/11/2019
Descripción:
La función Piwik_Common::getIP de Piwik en versiones anteriores a la 1.1 no determina apropiadamente la dirección IP cliente, lo que permite a atacantes remotos evitar laS funcionalidades de geolocalización y auditoría previstas a través de (1) el uso de una dirección privada (RFC 1918) detrás de un servidor proxy o (2) suplantando la cabecera HTTP X-Forwarded-For.
Vulnerabilidad en Piwik (CVE-2011-0004)
Gravedad:
MediaMedia
Publication date: 10/01/2011
Last modified:
21/11/2019
Descripción:
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados - (XSS) en Piwik antrior a v1.1 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados.
Vulnerabilidad en Piwik (CVE-2010-2786)
Gravedad:
MediaMedia
Publication date: 02/08/2010
Last modified:
21/11/2019
Descripción:
Vulnerabilidad de salto de directorio en Piwik 0.6 a 0.6.3 permite a atacantes remotos incluir ficheros locales de su elección y posiblemente tener otro impacto no especificado a través de secuencias de salto de directorio en una petición manipulada data-renderer.
Vulnerabilidad en formulario de login en Piwik (CVE-2010-1453)
Gravedad:
MediaMedia
Publication date: 07/05/2010
Last modified:
21/11/2019
Descripción:
Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en el formulario de login en Piwik v0.1.6 hasta v0.5.5 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro "form_url".
Vulnerabilidad en coreCookie.php en Piwik (CVE-2009-4137)
Gravedad:
AltaAlta
Publication date: 24/12/2009
Last modified:
21/11/2019
Descripción:
La función loadContentFromCookie en core/Cookie.php en Piwik before v0.5 no valida cadenas obtenidoas desde cookies antes de llamar a la función unserialize, lo que permite a atacantes remotos ejecuta código o cargar archivos de su elección a través de vectores relacionados con la función the __destruct en la clase Piwik_Config; php://filter URIs; las funciones __destruct en Zend Framework, como quedó demostrado por el destructor Zend_Log; las funciones shutdown en Zend Framework, como quedó demostrado por la clase Zend_Log_Writer_Mail; la función render en la clase Piwik_View; plantillas Smarty ; y la función _eval en Smarty.
Vulnerabilidad en Lug Wyrm Charmer, Piwik, Plugin Woopra Analytics, y otros productos (CVE-2009-4140)
Gravedad:
AltaAlta
Publication date: 22/12/2009
Last modified:
21/11/2019
Descripción:
Una vulnerabilidad de carga de archivos sin restricciones en el archivo ofc_upload_image.php en Open Flash Chart versión v2 Beta 1 hasta v2 Lug Wyrm Charmer, tal como es usado en Piwik versiones 0.2.35 hasta 0.4.3, Plugin Woopra Analytics anterior a versión 1.4.3.2, y posiblemente otros productos, cuando register_globals está habilitado, permite a los usuarios autenticados remotos ejecutar código arbitrario mediante la carga de un archivo con una extensión ejecutable por medio del parámetro name con el código en el parámetro HTTP_RAW_POST_DATA, a continuación, acceder a él por medio de una petición directa al archivo en tmp-upload-images/
Vulnerabilidad en Piwik (CVE-2009-1085)
Gravedad:
MediaMedia
Publication date: 25/03/2009
Last modified:
21/11/2019
Descripción:
Piwik v0.2.32 y anterioes almacenan información sensible bajo en directorio raíz Web con control de acceso insuficiente, lo que permite a atacantes remotos conseguir la clave API y otra información sensible a través de una petición directa de misc/cron/archive.sh.