Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en consultas impala en Cloudera Manager (CVE-2019-14449)
Gravedad:
BajaBaja
Publication date: 26/11/2019
Last modified:
05/12/2019
Descripción:
Se detectó un problema en Cloudera Manager versiones 5.x anteriores a 5.16.2, versiones 6.0.x anteriores a 6.0.2 y versiones 6.1.x anteriores a 6.1.1. Las consultas impala maliciosas pueden resultar en un ataque de tipo Cross Site Scripting (XSS) cuando se visualizan dentro de este producto.
Vulnerabilidad en la funcionalidad help search en Cloudera Manager (CVE-2016-9271)
Gravedad:
BajaBaja
Publication date: 26/11/2019
Last modified:
05/12/2019
Descripción:
Cloudera Manager versiones 5.7.x anteriores a 5.7.6, versiones 5.8.x anteriores a 5.8.4 y versiones 5.9.x anteriores a 5.9.1, permite un ataque de tipo XSS en la funcionalidad help search.
Vulnerabilidad en http en EC2_ACCESS_KEY en OpenStack Nova (CVE-2011-4076)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
05/12/2019
Descripción:
OpenStack Nova versiones anteriores a 2012.1, permite a alguien con acceso a una EC2_ACCESS_KEY (equivalente a un nombre de usuario) obtener la EC2_SECRET_KEY (equivalente a una contraseña). Exponer el EC2_ACCESS_KEY por medio de http o herramientas que permiten ataques de tipo man-in-the-middle sobre https podría permitir a un atacante obtener fácilmente el EC2_SECRET_KEY. Un atacante también podría presumir valores por fuerza bruta para EC2_ACCESS_KEY.
Vulnerabilidad en las sentencias preparadas en Typo3 Core. (CVE-2011-3583)
Gravedad:
AltaAlta
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
Se detectó que Typo3 Core versiones 4.5.0 hasta 4.5.5 utiliza sentencias preparadas que, si los valores de los parámetros no se reemplazan apropiadamente, podrían generar una vulnerabilidad de Inyección SQL. Este problema solo puede ser explotado si dos o más parámetros están vinculados a la consulta y al menos dos provienen desde la entrada del usuario.
Vulnerabilidad en la extensión TYPO3 Core wec_discussion (CVE-2011-3584)
Gravedad:
AltaAlta
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
La extensión TYPO3 Core wec_discussion versiones anteriores a 2.1.1, es vulnerable a una inyección SQL debido al saneamiento inapropiado de la entrada suministrada por el usuario.
Vulnerabilidad en la máquina local en UniFi Video Controller (CVE-2019-15595)
Gravedad:
AltaAlta
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
Se presenta una escalada de privilegios en UniFi Video Controller versiones anteriores a 3.10.6 incluyéndola, que permitiría a un atacante en la máquina local ejecutar comandos arbitrarios.
Vulnerabilidad en el saneamiento de los mensajes de error en Zope (CVE-2011-4924)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
Vulnerabilidad de tipo cross-site scripting (XSS) en Zope versiones 2.8.x anteriores a 2.8.12, versiones 2.9.x anteriores a 2.9.12, versiones 2.10.x anteriores a 2.10.11, versiones 2.11.x anteriores a 2.11.6 y versiones 2.12.x versiones anteriores a 2.12.3 , versiones 3.1.1 hasta 3.4.1, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores relacionados con la forma en que los mensajes de error realizan el saneamiento. NOTA: este problema se presenta debido a una solución incompleta para CVE-2010-1104
Vulnerabilidad en la instancia EC2 en Cloud-init (CVE-2012-6639)
Gravedad:
AltaAlta
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Cloud-init versiones anteriores a 0.7.0, cuando se envían peticiones a un sistema no confiable para datos de la instancia EC2.
Vulnerabilidad en los controles de autenticación en Symantec Critical System Protection (CSP) (CVE-2019-18374)
Gravedad:
AltaAlta
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
Symantec Critical System Protection (CSP), versiones 8.0, 8.0 HF1 y 8.0 MP1, pueden ser susceptibles a una vulnerabilidad de omisión de autenticación, que es un tipo de problema que puede potencialmente permitir a un actor de amenazas omitir los controles de autenticación existentes.
Vulnerabilidad en el subdirectorio CIT en IBM Spectrum Protect Backup-Archive Client e IBM Spectrum Protect for Virtual Environments (CVE-2018-2025)
Gravedad:
BajaBaja
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
IBM Spectrum Protect Backup-Archive Client e IBM Spectrum Protect for Virtual Environments versiones 7.1 y 8.1, crean directorios y archivos en el subdirectorio CIT que pueden ser leído y escrito por todos. ID de IBM X-Force: 155551.
Vulnerabilidad en las credenciales del registro en Katello (CVE-2019-14825)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
Se detectó un problema de almacenamiento de contraseña en texto sin cifrar en Katello, versiones 3.x.x.x anteriores a katello 3.12.0.9. Las credenciales de registro utilizadas durante la detección de imágenes del contenedor se registraron inadvertidamente sin enmascararse. Esta fallo podría exponer las credenciales del registro a otros usuarios privilegiados.
Vulnerabilidad en una extensión de Kaspersky Protection para el navegador web Google Chrome (CVE-2019-15684)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
24/08/2020
Descripción:
Una extensión de Kaspersky Protection para el navegador web Google Chrome versiones anteriores a 30.112.62.0, era vulnerable a un acceso no autorizado a sus funcionalidades remotamente lo que podría conllevar a la eliminación de otras extensiones instaladas.
Vulnerabilidad en el archivo de configuración de política PolicyKit en gksu-polkit (CVE-2012-5617)
Gravedad:
AltaAlta
Publication date: 25/11/2019
Last modified:
05/12/2019
Descripción:
gksu-polkit: el archivo de configuración de política PolicyKit permisivo permite una escalada de privilegios.
CVE-2019-19126
Gravedad:
BajaBaja
Publication date: 19/11/2019
Last modified:
09/07/2020
Descripción:
En la arquitectura de x86-64, la Biblioteca GNU C (también se conoce como glibc) versiones anteriores a 2.31 no omite la variable de entorno de LD_PREFER_MAP_32BIT_EXEC durante la ejecución del programa después de una transición de seguridad, permitiendo a atacantes locales restringir las posibles direcciones de mapeo para las bibliotecas cargadas y así omitir ASLR para un programa setuid

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un DUID en el proceso del servidor Kea DHCPv6 (kea-dhcp6) (CVE-2019-6472)
Gravedad:
BajaBaja
Publication date: 16/10/2019
Last modified:
05/12/2019
Descripción:
Un paquete que contiene un DUID malformado puede hacer que el proceso del servidor Kea DHCPv6 (kea-dhcp6) se cierre debido a un error de aserción. Versiones afectadas: 1.4.0 hasta 1.5.0, 1.6.0-beta1 y 1.6.0-beta2.