Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una página HTML en developer tools en Google Chrome (CVE-2019-13668)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una aplicación de política insuficiente en developer tools en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en site isolation en Google Chrome (CVE-2019-13677)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una aplicación de política insuficiente en site isolation en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto omitir el aislamiento del sitio por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en Chromium en Google Chrome (CVE-2019-13676)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una aplicación de política insuficiente en Chromium en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto realizar una suplantación de dominios por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en extensions en Google Chrome (CVE-2019-13675)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una comprobación de datos insuficiente en extensions en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto deshabilitar extensiones por medio de una página HTML diseñada.
Vulnerabilidad en IDN en Omnibox en Google Chrome (CVE-2019-13674)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una suplantación de identidad en IDN en Omnibox en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto realizar una suplantación de dominio mediante homógrafos IDN por medio de un nombre de dominio diseñado.
Vulnerabilidad en una página HTML en developer tools en Google Chrome (CVE-2019-13673)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una comprobación de datos insuficiente en developer tools en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en la Interfaz de Usuario de seguridad en Blink en Google Chrome (CVE-2019-13671)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una suplantación de la Interfaz de Usuario en Blink en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto suplantar la Interfaz de Usuario de seguridad por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en JavaScript en Google Chrome (CVE-2019-13670)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una comprobación de datos insuficiente en JavaScript en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en Omnibox en navigation en Google Chrome (CVE-2019-13669)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una comprobación de datos incorrecta en navigation en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto falsificar el contenido del Omnibox (barra de URL) por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en downloads en Google Chrome (CVE-2019-13678)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una comprobación de datos incorrecta en downloads en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto realizar una suplantación de dominios por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en Omnibox en Google Chrome en iOS (CVE-2019-13667)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una implementación inapropiada en Omnibox en Google Chrome en iOS versiones anteriores a 77.0.3865.75, permitió a un atacante remoto falsificar el contenido del Omnibox (barra de URL) por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en storage en Google Chrome (CVE-2019-13666)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una fuga de información en storage en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada.
CVE-2019-13665
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Un filtrado insuficiente en Blink en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto omitir la protección de descarga de múltiples archivos por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en Blink en Google Chrome (CVE-2019-13664)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una aplicación de política insuficiente en Blink en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto omitir la política de seguridad de contenido por medio de una página HTML diseñada.
Vulnerabilidad en IDN en Omnibox en Google Chrome (CVE-2019-13663)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una suplantación de identidad en IDN en Omnibox en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto realizar una suplantación de dominio mediante homógrafos IDN por medio de un nombre de dominio diseñado.
Vulnerabilidad en una página HTML en navigations en Google Chrome (CVE-2019-13662)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una aplicación de política insuficiente en navigations en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto omitir la política de seguridad de contenido por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en UI en Chromium en Google Chrome (CVE-2019-13661)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una suplantación de la Interfaz de Usuario en Chromium en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto falsificar notificaciones por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en UI en Chromium en Google Chrome (CVE-2019-13660)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una suplantación de la Interfaz de Usuario en Chromium en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto falsificar notificaciones por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en navigations en Google Chrome (CVE-2019-5865)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una aplicación de política insuficiente en navigations en Google Chrome versiones anteriores a 76.0.3809.87, permitió a un atacante remoto, que había comprometido el proceso del renderizador, omitir el aislamiento del sitio por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en SwiftShader en Google Chrome (CVE-2019-5881)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una lectura fuera de límites en SwiftShader en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto obtener información potencialmente confidencial de la memoria de proceso por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en Blink en Google Chrome (CVE-2019-5880)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una aplicación de política insuficiente en Blink en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto filtrar datos de origen cruzado por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en JavaScript en Google Chrome (CVE-2019-5877)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Un acceso a la memoria fuera de límites en JavaScript en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en el Omnibox en downloads en Google Chrome (CVE-2019-5875)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una comprobación de datos insuficiente en downloads en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto falsificar el contenido del Omnibox (barra de URL) por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en URI schemes en Google Chrome en Windows (CVE-2019-5874)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Un filtrado insuficiente en URI schemes en Google Chrome en Windows versiones anteriores a 77.0.3865.75, permitió a un atacante remoto omitir las restricciones de navegación por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en navigation en Google Chrome en iOS (CVE-2019-5873)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
La comprobación insuficiente de la política en navigation en Google Chrome en iOS versiones anteriores a 77.0.3865.75, permitió a un atacante remoto falsificar el contenido del Omnibox (barra de URL) por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en Skia en Google Chrome (CVE-2019-5871)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Un desbordamiento de búfer de la pila en Skia en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en JavaScript en Google Chrome (CVE-2019-5867)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una lectura fuera de límites en JavaScript en Google Chrome versiones anteriores a 76.0.3809.100, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada.
Vulnerabilidad en IDN en Omnibox en Google Chrome (CVE-2019-13659)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una suplantación de identidad en IDN en Omnibox en Google Chrome versiones anteriores a 77.0.3865.75, permitió a un atacante remoto realizar una suplantación de dominio mediante homógrafos IDN por medio de un nombre de dominio diseñado.
Vulnerabilidad en una Extensión de Chrome en CORS en Google Chrome (CVE-2019-5864)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una comprobación de datos insuficiente en CORS en Google Chrome versiones anteriores a 76.0.3809.87, permitió a un atacante, que convenció a un usuario para instalar una extensión maliciosa, omitir la política de seguridad de contenido por medio de una Extensión de Chrome diseñada.
Vulnerabilidad en una página HTML en AppCache en Google Chrome (CVE-2019-5862)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una comprobación de datos insuficiente en AppCache en Google Chrome versiones anteriores a 76.0.3809.87, permitió a un atacante remoto, que había comprometido el proceso del renderizador, omitir el aislamiento del sitio por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en Blink en Google Chrome (CVE-2019-5861)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una comprobación de datos insuficiente en Blink en Google Chrome versiones anteriores a 76.0.3809.87, permitió a un atacante remoto omitir la política anti-clickjacking por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en URI schemes en Google Chrome en Windows (CVE-2019-5859)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Un filtrado insuficiente en URI schemes en Google Chrome en Windows versiones anteriores a 76.0.3809.87, permitió a un atacante remoto omitir las restricciones de navegación por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en MacOS services integration en Google Chrome en OS X (CVE-2019-5858)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una interfaz de usuario de seguridad incorrecta en MacOS services integration en Google Chrome en OS X versiones anteriores a 76.0.3809.87, permitió a un atacante local ejecutar código arbitrario por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en JavaScript en Google Chrome (CVE-2019-5857)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una implementación inapropiada en JavaScript en Google Chrome versiones anteriores a 76.0.3809.87, permitió a un atacante remoto explotar potencialmente una corrupción de objetos por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en storage en Google Chrome (CVE-2019-5856)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
02/12/2019
Descripción:
Una aplicación de política insuficiente en storage en Google Chrome versiones anteriores a 76.0.3809.87, permitió a un atacante remoto, que había comprometido el proceso del renderizador, omitir el aislamiento del sitio por medio de una página HTML diseñada.
Vulnerabilidad en un archivo PDF en PDFium en Google Chrome (CVE-2019-5855)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Un desbordamiento de enteros en PDFium en Google Chrome versiones anteriores a 76.0.3809.87, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de un archivo PDF diseñado.
Vulnerabilidad en el archivo /includes/plugins/mobile/scripts/login.php en el parámetro error o el archivo portal/openrssarticle.php en el parámetro id en POSH (CVE-2014-2214)
Gravedad:
MediaMedia
Publication date: 22/11/2019
Last modified:
02/12/2019
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en POSH (también se conoce como portal Posh o Portaneo) versiones 3.0 hasta 3.2.1, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio del (1) parámetro error en el archivo /includes/plugins/mobile/scripts/login.php o (2) parámetro id en el archivo portal/openrssarticle.php.
Vulnerabilidad en el archivo component/mijosearch/search en el parámetro query en el componente Mijosoft MijoSearch para Joomla! (CVE-2013-6878)
Gravedad:
MediaMedia
Publication date: 22/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el componente Mijosoft MijoSearch versión 2.0.4 y anteriores para Joomla!, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro query en el archivo component/mijosearch/search.
Vulnerabilidad en el parámetro image en una acción detail el modelo de galería de fotos en Exis Contexis (CVE-2013-6239)
Gravedad:
MediaMedia
Publication date: 22/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el modelo de galería de fotos en Exis Contexis versiones anteriores a 2.0, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro image en una acción detail.
Vulnerabilidad en el archivo apps/calendar/ajax/event/new.php en parámetros no especificados y en el archivo apps/bookmarks/ajax/addBookmark.php en parámetro url en ownCloud (CVE-2013-0203)
Gravedad:
BajaBaja
Publication date: 22/11/2019
Last modified:
02/12/2019
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en ownCloud versiones 4.5.5, 4.0.10 y anteriores, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de los (1) parámetros no especificados en el archivo apps/calendar/ajax/event/new.php o (2) parámetro url en el archivo apps/bookmarks/ajax/addBookmark.php.
Vulnerabilidad en el encabezado Referer de HTTP en el archivo proxy.php en FlashCanvas (CVE-2013-6880)
Gravedad:
MediaMedia
Publication date: 22/11/2019
Last modified:
02/12/2019
Descripción:
Un redireccionamiento abierto en el archivo proxy.php en FlashCanvas versiones anteriores a 1.6, permite a atacantes remotos redireccionar a los usuarios a sitios web arbitrarios y realizar ataques de tipo cross-site scripting (XSS) por medio del encabezado Referer de HTTP.
Vulnerabilidad en el archivo templates/openid-selector.tmpl en el parámetro openid_identifier en ikiwiki (CVE-2015-2793)
Gravedad:
MediaMedia
Publication date: 21/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo templates/openid-selector.tmpl en ikiwiki versiones anteriores a 3.20150329, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro openid_identifier en una acción de comprobación para el archivo ikiwiki.cgi.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (CVE-2019-15372)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Hisense F17 Android con una huella digital de compilación de Hisense/F17_4G/HS6739MT:8.1.0/O11019/Hisense_F17_4G_00_S01:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Lava Iris 88 Lite Android (CVE-2019-15374)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Lava Iris 88 Lite Android con una huella digital de compilación de LAVA/iris88_lite/iris88_lite:8.1.0/O11019/1536323070:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Symphony G100 Android (CVE-2019-15371)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Symphony G100 Android con una huella digital de compilación de Symphony/G100/G100:8.1.0/O11019/1530618779:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (CVE-2019-15370)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Haier G8 Android con una huella digital de compilación de Haier/HM-G559-FL/G8:8.1.0/O11019/1526527761:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Lava Z61 Turbo Android (CVE-2019-15369)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Lava Z61 Turbo Android con una huella digital de compilación de LLAVA/Z61_Turbo/Z61_Turbo:8.1.0/O11019/1536917928:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Haier P10 Android (CVE-2019-15367)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Haier P10 Android con una huella digital de compilación de Haier/P10/P10:8.1.0/O11019/1532662449:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Lava Z92 Android. (CVE-2019-15365)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Lava Z92 Android con una huella digital de compilación de LAVA/Z92/Z92:8.1.0/O11019/1535088037:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Leagoo Power 5 Android (CVE-2019-15363)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Leagoo Power 5 Android con una huella digital de LEAGOO/Power_5/Power_5:8.1.0/O11019/1532686195:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en La aplicación com.mediatek.wfo.impl en el dispositivo Lava Iris 88 Go Android. (CVE-2019-15362)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Lava Iris 88 Go Android con una huella digital de compilación de LAVA/iris88_go/iris88_go:8.1.0/O11019/1538188945:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer en el dispositivo Tecno Camon Android (CVE-2019-15351)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Tecno Camon Android con una huella digital de compilación de TECNO/H622/TECNO-ID5b:8.1.0/O11019/G-180829V31:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer (versionCode=7, versionName=7.0.11). Esta aplicación contiene un servicio exportado llamado com.lovelyfont.manager.FontCoverService que permite a cualquier aplicación ubicada en el dispositivo suministrar comandos arbitrarios por medio de un script de shell para ser ejecutado como el usuario del sistema que es activado al escribir un mensaje seleccionado por parte del atacante en el registro logcat. Esta aplicación no puede ser deshabilitada por parte del usuario y el ataque puede ser realizado por una aplicación de permiso cero. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la interfaz gráfica de usuario (GUI) y obtener mensajes de texto del usuario y más. Ejecutando código como el usuario del sistema puede permitir a una aplicación de terceros restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la GUI, cambiar el Input Method Editor (IME) predeterminado (p. Ej., Teclado) con un contenido dentro de la aplicación de ataque que contiene la funcionalidad keylogging, y obtener los mensajes de texto del usuario, y más.
Vulnerabilidad en una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer en el dispositivo Tecno Camon Android. (CVE-2019-15350)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Tecno Camon Android con una huella digital de compilación de TECNO/H622/TECNO-ID5b:8.1.0/O11019/G-180829V31:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer (versionCode=7, versionName=7.0.11). Esta aplicación contiene un servicio exportado llamado com.lovelyfont.manager.service.FunctionService que permite a cualquier aplicación ubicada en el dispositivo suministrar la ruta de archivo a un archivo Ejecutable Dalvik (DEX) que se cargará dinámicamente dentro de su propio proceso y se ejecutará con sus propios privilegios del sistema. Esta aplicación no puede ser deshabilitada por parte del usuario y el ataque puede ser realizado por una aplicación de permiso cero. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la interfaz gráfica de usuario (GUI) y obtener mensajes de texto del usuario y más. Ejecutando código como el usuario del sistema puede permitir a una aplicación de terceros restablecer de fábrica el dispositivo, obtener las contraseñas de Wi-Fi del usuario, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la GUI, cambiar el Input Method Editor (IME) predeterminado (p. Ej., Teclado) con un contenido en la aplicación de ataque que contiene la funcionalidad keylogging, y obtener los mensajes de texto del usuario, y más.
Vulnerabilidad en una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer en el dispositivo Tecno Camon Android. (CVE-2019-15349)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Tecno Camon Android con una huella digital de compilación de TECNO/H612/TECNO-ID5a:8.1.0/O11019/F-180828V106:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer (versionCode=7, versionName=7.0.11). Esta aplicación contiene un servicio exportado llamado com.lovelyfont.manager.service.FunctionService que permite a cualquier aplicación ubicada en el dispositivo suministrar la ruta de archivo a un archivo Ejecutable Dalvik (DEX) que se cargará dinámicamente dentro de su propio proceso y se ejecutará con sus propios privilegios del sistema. Esta aplicación no puede ser deshabilitada por parte del usuario y el ataque puede ser realizado por una aplicación de permiso cero. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la interfaz gráfica de usuario (GUI) y obtener mensajes de texto del usuario y más. Ejecutando código como el usuario del sistema puede permitir a una aplicación de terceros restablecer de fábrica el dispositivo, obtener las contraseñas de Wi-Fi del usuario, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la GUI, cambiar el Input Method Editor (IME) predeterminado (p. Ej., Teclado) con un contenido en la aplicación de ataque que contiene la funcionalidad keylogging, y obtener los mensajes de texto del usuario, y más.
Vulnerabilidad en una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer en el dispositivo Tecno Camon Android (CVE-2019-15348)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Tecno Camon Android con una huella digital de compilación de TECNO/H612/TECNO-ID5a:8.1.0/O11019/F-180828V106:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer (versionCode=7, versionName=7.0.11). Esta aplicación contiene un servicio exportado llamado com.lovelyfont.manager.FontCoverService que permite a cualquier aplicación ubicada en el dispositivo suministrar comandos arbitrarios por medio de un script de shell para ser ejecutado como el usuario del sistema que es activado al escribir un mensaje seleccionado por parte del atacante en el registro logcat. Esta aplicación no puede ser deshabilitada por parte del usuario y el ataque puede ser realizado por una aplicación de permiso cero. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la interfaz gráfica de usuario (GUI) y obtener mensajes de texto del usuario y más. Ejecutando código como el usuario del sistema puede permitir a una aplicación de terceros restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la GUI, cambiar el Input Method Editor (IME) predeterminado (p. Ej., Teclado) con un contenido dentro de la aplicación de ataque que contiene la funcionalidad keylogging, y obtener los mensajes de texto del usuario, y más.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Symphony i95 Lite Android. (CVE-2019-15373)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Symphony i95 Lite Android con una huella digital de compilación de LAVA/iris88_lite/iris88_lite:8.1.0/O11019/1536323070:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (CVE-2019-15378)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Panasonic Eluga Ray 600 Android con una huella digital de Panasonic/ELUGA_Ray_600/ELUGA_Ray_600:8.1.0/O11019/1532692680:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en La aplicación com.mediatek.wfo.impl en el dispositivo Walton Primo G3 Android. (CVE-2019-15379)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Walton Primo G3 Android con una huella digital de compilación de WALTON/Primo_GM3/Primo_GM3:8.1.0/O11019/1522737198:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada
Vulnerabilidad en La aplicación com.mediatek.wfo.impl en el dispositivo Fly Photo Pro Android. (CVE-2019-15380)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Fly Photo Pro Android con una huella digital de compilación de Fly/PhotoPro/Photo_Pro:8.1.0/O11019/1528117003:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo BQ 5515L Android. (CVE-2019-15381)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo BQ 5515L Android con una huella digital de compilación de BQru/BQru-5515L/BQru-5515L:8.1.0/O11019/20180409.195525:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Cubot Nova Android (CVE-2019-15382)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Cubot Nova Android con una huella digital de compilación de CUBOT/CUBOT_NOVA/CUBOT_NOVA:8.1.0/O11019/1527060122:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Elephone A4 Android. (CVE-2019-15384)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Elephone A4 Android con una huella digital de compilación de Elephone/A4/A4:8.1.0/O11019/20180530.143559:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación de com.mediatek.wfo.impl en el dispositivo Infinix Note 5 Android. (CVE-2019-15385)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Infinix Note 5 Android con una huella digital de compilación de Infinix/H633B/Infinix-X604_sprout:8.1.0/O11019/L-IN-180206V64:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación de com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización apropiada.
Vulnerabilidad en una aplicación de plataforma preinstalada con un nombre de paquete com.lovelyfont.defcontainer (CVE-2019-15389)
Gravedad:
AltaAlta
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Coolpad 1851 Android con una huella digital de compilación de Coolpad/android/android:8.1.0/O11019/1534834761:userdebug/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete com.lovelyfont.defcontainer (versionCode=7, versionName=7.1.13). Esta aplicación contiene un servicio exportado llamado com.lovelyfont.manager.FontCoverService que permite a cualquier aplicación ubicada en el dispositivo suministrar comandos arbitrarios para ser ejecutados como usuario del sistema. Esta aplicación no puede ser deshabilitada por parte del usuario y el ataque puede ser realizado por una aplicación de permiso cero. Además de la superficie de ataque local, su aplicación que lo acompaña con un nombre de paquete de com.ekesoo.lovelyhifonts realiza peticiones de red utilizando HTTP y un atacante puede realizar un ataque de tipo Man-in-the-Middle (MITM) sobre la conexión para inyectar un comando en una respuesta de red que será ejecutada como usuario del sistema por la aplicación com.lovelyfont.defcontainer. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la interfaz gráfica de usuario (GUI) y obtener mensajes de texto del usuario y más. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la GUI, cambiar el Input Method Editor (IME) predeterminado (p. Ej., Teclado) con un contenido dentro de la aplicación de ataque que contiene la funcionalidad keylogging, y obtener los mensajes de texto del usuario, y más.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.qiku.service.container en el dispositivo Haier G8 Android (CVE-2019-15390)
Gravedad:
BajaBaja
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Haier G8 Android con una huella digital de compilación de Haier/HM-G559-FL/G8:8.1.0/O11019/1522294799:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.qiku.service.container (versionCode=5, versionName=1.03.00_VER_32525983298984) que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización adecuada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.kddi.android.packageinstaller (CVE-2019-15416)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Sony keyaki_kddi Android con una huella digital de Sony/keyaki_kddi/keyaki_kddi:7.1.1/TONE3-3.0.0-KDDI-170517-0326/1:user/dev-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.kddi.android.packageinstaller (versionCode=70008, versionName=08.10.03), que permite a otras aplicaciones preinstaladas realizar la instalación de la aplicación por medio de un componente de aplicación accesible. Esta capacidad puede ser accedida mediante cualquier aplicación preinstalada en el dispositivo que pueda obtener permisos signatureOrSystem que son requeridos mediante otras aplicaciones preinstaladas que exportaron sus capacidades hacia otra aplicación preinstalada.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.qiku.cleaner en el dispositivo Evercoss U6 Android (CVE-2019-15432)
Gravedad:
MediaMedia
Publication date: 14/11/2019
Last modified:
24/08/2020
Descripción:
El dispositivo Evercoss U6 Android con una huella digital de compilación de EVERCOSS/U6/U6:7.0/NRD90M/1504236704:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.qiku.cleaner (versionCode=2, versionName=2.0.0_VER_32516486284094) que permite a otras aplicaciones preinstaladas realizar modificaciones de las propiedades del sistema por medio de un componente de aplicación accesible. Esta capacidad puede ser accedida mediante cualquier aplicación preinstalada en el dispositivo que pueda obtener permisos signatureOrSystem que son requeridos mediante otras aplicaciones preinstaladas que exportaron sus capacidades hacia otra aplicación preinstalada.
Vulnerabilidad en Cisco IOS XE Software (CVE-2018-0471)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad en el módulo Cisco Discovery Protocol (CDP) de Cisco IOS XE en versiones de software 16.6.1 y 16.6.2 podría permitir que un atacante adyacente sin autenticar provoque una fuga de memoria que podría conducir a una denegación de servicio (DoS). Esta vulnerabilidad se debe a un procesamiento incorrecto de ciertos paquetes CDP. Un atacante podría explotar esta vulnerabilidad enviando ciertos paquetes CDP a un dispositivo afectado. Su explotación con éxito podría provocar que un dispositivo afectado consuma continuamente memoria y, finalmente, resulte en un error de asignación de memoria que conduce a un cierre inesperado, desencadenando la recarga del dispositivo afectado.
Vulnerabilidad en ReadStat (CVE-2018-11365)
Gravedad:
MediaMedia
Publication date: 22/05/2018
Last modified:
02/12/2019
Descripción:
sas/readstat_sas7bcat_read.c en libreadstat.a en ReadStat 0.1.1 tiene un bucle infinito.
Vulnerabilidad en sav_parse_machine_integer_info_record en ReadStat (CVE-2018-11364)
Gravedad:
MediaMedia
Publication date: 22/05/2018
Last modified:
02/12/2019
Descripción:
sav_parse_machine_integer_info_record en spss/readstat_sav_read.c en libreadstat.a en ReadStat 0.1.1 tiene una fuga de memoria relacionada con una llamada iconv_open.
Vulnerabilidad en Cisco IOS Software y Cisco IOS XE Software (CVE-2018-0151)
Gravedad:
AltaAlta
Publication date: 28/03/2018
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad en el subsistema "quality of service" (QoS) de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto no autenticado provoque una denegación de servicio (DoS) o ejecute código arbitrario con privilegios elevados. Esta vulnerabilidad se debe a una verificación incorrecta de límites de determinados valores en paquetes que están destinados al puerto 18999 UDP de un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando paquetes maliciosos a un dispositivo afectado. Al procesar los paquetes se puede dar una situación explotable de desbordamiento de búfer. Un exploit con éxito podría permitir que el atacante ejecute código arbitrario en el dispositivo afectado con privilegios elevados. El atacante también podría aprovechar esta vulnerabilidad para hacer que el dispositivo se reinicie, provocando una denegación de servicio (DoS) temporal mientras el dispositivo se reinicia. Los paquetes maliciosos tienen que ir destinados a un dispositivo afectado y estar procesados por él. El tráfico que transita en un dispositivo no dará lugar a la vulnerabilidad. Cisco Bug IDs: CSCvf73881.
Vulnerabilidad en Cisco IOS XE Software (CVE-2018-0150)
Gravedad:
AltaAlta
Publication date: 28/03/2018
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad en Cisco IOS XE Software podría permitir que un atacante remoto no autenticado inicie sesión en un dispositivo que ejecute una versión de Cisco IOS XE Software con el nombre de usuario y contraseña por defecto que se emplean en el arranque inicial. Esta vulnerabilidad también se conoce como Static Credential Vulnerability. La vulnerabilidad se debe a una cuenta de usuario no documentada con un nivel 15 de privilegios que tiene un nombre de usuario y contraseña por defecto. Un atacante podría explotar esta vulnerabilidad utilizando esta cuenta para conectarse de forma remota al dispositivo afectado. Un exploit con éxito podría permitir que el atacante consiga iniciar sesión en el dispositivo con un nivel 15 de privilegios de acceso. Esta vulnerabilidad afecta a los dispositivos de Cisco que ejecuten una distribución vulnerable del software de Cisco IOS XE Release 16.x. La vulnerabilidad no afecta a distribuciones de Cisco IOS XE Software anteriores a Release 16.x. Cisco Bug IDs: CSCve89880.