Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo app/dialplans/dialplan_detail_edit.php en el parámetro dialplan_uuid en FusionPBX (CVE-2019-19388)
Gravedad:
MediaMedia
Publication date: 28/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo app/dialplans/dialplan_detail_edit.php en FusionPBX versión 4.4.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro dialplan_uuid.
Vulnerabilidad en el archivo app/fifo_list/fifo_interactive.php en el parámetro c en FusionPBX (CVE-2019-19387)
Gravedad:
MediaMedia
Publication date: 28/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo app/fifo_list/fifo_interactive.php en FusionPBX versión 4.4.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro c.
Vulnerabilidad en el archivo app/voicemail_greetings/voicemail_greeting_edit.php en el parámetro id y/o voicemail_id en FusionPBX (CVE-2019-19386)
Gravedad:
MediaMedia
Publication date: 28/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo app/voicemail_greetings/voicemail_greeting_edit.php en FusionPBX versión 4.4.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro id y/o voicemail_id.
Vulnerabilidad en el archivo app/dialplans/dialplans.php en el parámetro app_uuid en FusionPBX (CVE-2019-19385)
Gravedad:
MediaMedia
Publication date: 28/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo app/dialplans/dialplans.php en FusionPBX versión 4.4.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro app_uuid.
Vulnerabilidad en el archivo app/fax/fax_log_view.php en el parámetro fax_uuid en FusionPBX (CVE-2019-19384)
Gravedad:
MediaMedia
Publication date: 28/11/2019
Last modified:
02/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo app/fax/fax_log_view.php en FusionPBX versión 4.4.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro fax_uuid.
Vulnerabilidad en la funcionalidad Search en la integración de Elasticsearch en GitLab Community and Enterprise Edition (CVE-2019-18456)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en GitLab Community and Enterprise Edition versiones 8.17 hasta 12.4, en la funcionalidad Search provista por la integración de Elasticsearch. Posee Permisos No Seguros (problema 1 de 4).
Vulnerabilidad en la funcionalidad autocomplete en GitLab Community and Enterprise Edition (CVE-2019-18449)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en GitLab Community and Enterprise Edition versiones anteriores a 12.4, en la funcionalidad autocomplete. Posee Permisos No Seguros (problema 2 de 2).
Vulnerabilidad en la funcionalidad protected environments en GitLab Community and Enterprise Edition (CVE-2019-18459)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
03/12/2019
Descripción:
Se detectó un problema en GitLab Community and Enterprise Edition versiones 11.3 hasta 12.3, en la funcionalidad protected environments. Posee Permisos No Seguros (problema 3 de 4).
Vulnerabilidad en un paquete de protocolo MQTT en el archivo mongoose.c en la función parse_mqtt en Cesanta Mongoose (CVE-2019-19307)
Gravedad:
AltaAlta
Publication date: 26/11/2019
Last modified:
24/08/2020
Descripción:
Un desbordamiento de enteros en la función parse_mqtt en el archivo mongoose.c en Cesanta Mongoose versión 6.16, permite a un atacante lograr una DoS remota (bucle infinito), o posiblemente causar una escritura fuera de límites, al enviar un paquete de protocolo MQTT diseñado.
Vulnerabilidad en la interfaz de usuario de Cloudera Manager (CVE-2015-4457)
Gravedad:
BajaBaja
Publication date: 26/11/2019
Last modified:
02/12/2019
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en la interfaz de usuario de Cloudera Manager versiones anteriores a 5.4.3, permiten a usuarios autenticados remotos inyectar script web o HTML arbitrario utilizando vectores no especificados.
CVE-2015-9539
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
10/11/2020
Descripción:
El plugin Fast Secure Contact Form versiones anteriores a 4.0.38 para WordPress, permite un ataque de tipo XSS de fs_contact_form1[welcome].
Vulnerabilidad en el agregado de un subgrupo epic a un grupo público en GitLab Community and Enterprise Edition (CVE-2019-18461)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
03/12/2019
Descripción:
Se detectó un problema en GitLab Community and Enterprise Edition versiones 11.3 hasta 12.3, cuando es agregado un subgrupo epic a un grupo público. Posee un Control de Acceso Incorrecto.
Vulnerabilidad en permisos en GitLab Community and Enterprise Edition (CVE-2019-18462)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
03/12/2019
Descripción:
Se detectó un problema en GitLab Community and Enterprise Edition versiones 11.3 hasta 12.4. Posee Permisos No Seguros.
Vulnerabilidad en permisos en GitLab Community and Enterprise Edition (CVE-2019-18463)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
03/12/2019
Descripción:
Se detectó un problema en GitLab Community and Enterprise Edition versiones hasta 12.4. Posee Permisos No Seguros (problema 4 de 4).
Vulnerabilidad en el módulo EditShortcode o LayoutName en el plugin Zoho CRM Lead Magnet para WordPress (CVE-2019-19306)
Gravedad:
BajaBaja
Publication date: 26/11/2019
Last modified:
29/10/2020
Descripción:
El plugin Zoho CRM Lead Magnet versión 1.6.9.1 para WordPress, permite XSS por medio del módulo, EditShortcode o LayoutName.
Vulnerabilidad en Paquetes de Soporte de Diagnóstico de Cloudera Manager (CVE-2015-6495)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
03/12/2019
Descripción:
Existe información confidencial en Paquetes de Soporte de Diagnóstico de Cloudera Manager versiones anteriores a 5.4.6.
Vulnerabilidad en una petición de URL en Yaws (CVE-2011-4350)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
03/12/2019
Descripción:
Yaws versión 1.91, presenta una vulnerabilidad de salto de directorio en la manera en que ciertas URL son procesadas. Un usuario autenticado remoto podría usar este fallo para obtener contenido de archivos locales arbitrarios mediante una petición de URL especialmente diseñada.
Vulnerabilidad en una página HTML en IndexedDB en Google Chrome (CVE-2019-5826)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Un uso de la memoria previamente liberada en IndexedDB en Google Chrome versiones anteriores a 73.0.3683.86, permitió a un atacante remoto, que había comprometido el proceso del renderizador, explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada.
Vulnerabilidad en una página HTML en JavaScript en Google Chrome (CVE-2019-5825)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una escritura fuera de límites en JavaScript en Google Chrome versiones anteriores a 73.0.3683.86, permitió a un atacante remoto, explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en FortiGuard (CVE-2018-9195)
Gravedad:
MediaMedia
Publication date: 21/11/2019
Last modified:
27/11/2019
Descripción:
El uso de una clave criptográfica codificada en el protocolo de comunicación de servicios FortiGuard puede permitir que un Hombre en el medio con conocimiento de la clave escuche y modifique información (servicios URL / SPAM en FortiOS 5.6 y servicios URL / SPAM / AV en FortiOS 6.0). ; Clasificación de URL en FortiClient) enviado y recibido de los servidores de Fortiguard al descifrar estos mensajes. Los productos afectados incluyen FortiClient para Windows 6.0.6 y versiones anteriores, FortiOS 6.0.7 y versiones anteriores , FortiClient para Mac OS 6.2.1 y versiones anteriores.
Vulnerabilidad en Tautulli permiten a los atacantes remotos eludir el control de acceso (CVE-2018-21031)
Gravedad:
MediaMedia
Publication date: 18/11/2019
Last modified:
19/12/2019
Descripción:
Las versiones 2.1.38 y posteriores de Tautulli permiten a los atacantes remotos eludir el control de acceso previsto en Plex Media Server porque el X-Plex-Token se maneja mal y se puede recuperar de Tautulli. NOTA: Inicialmente, esta identificación estaba asociada con Plex Media Server 1.18.2.2029-36236cc4c como versión y producto afectado. La investigación adicional indicó que Tautulli es el producto afectado correcto.
Vulnerabilidad en el producto Hyperion de rentabilidad y gestión de costos de Oracle Hyperion (CVE-2019-2941)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
27/11/2019
Descripción:
Vulnerabilidad en el producto Hyperion de rentabilidad y gestión de costos de Oracle Hyperion (component: Modeling) La versión compatible que está afectada es 11.1.2.4. La vulnerabilidad difícil de explotar permite que un atacante con privilegios elevados y acceso a la red a través de HTTP comprometa la rentabilidad y la gestión de costos de Hyperion. Los ataques con éxito requieren la interacción humana de una persona que no sea el atacante y, si bien la vulnerabilidad se encuentra en la gestión de rentabilidad y costos de Hyperion, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden dar como resultado una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de la Administración de Costos y Rentabilidad de Hyperion, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de la Administración de Costos y Rentabilidad de Hyperion. CVSS 3.0 Base Score 4.0 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS: 3.0 / AV: N / AC: H / PR: H / UI: R / S: C / C: L / I: L / A: N).
Vulnerabilidad en La versión del núcleo de OpenBSD (CVE-2019-8460)
Gravedad:
MediaMedia
Publication date: 26/08/2019
Last modified:
22/10/2020
Descripción:
La versión del núcleo de OpenBSD anterior o igual a la versión 6.5 se puede forzar a crear largas cadenas de agujeros TCP SACK que provocan llamadas muy costosas a tcp_sack_option () para cada paquete SACK entrante que puede conducir a una denegación de servicio.