Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un archivo .m65 en el archivo asm.c en la función to_comma() en Atasm (CVE-2019-19785)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
13/12/2019
Descripción:
ATasm versión 1.06, presenta un desbordamiento de búfer en la región heap de la memoria en la función to_comma() en el archivo asm.c por medio de un archivo .m65 diseñado.
Vulnerabilidad en un archivo .m65 en el archivo setparse.c en la función parse_expr() en Atasm (CVE-2019-19786)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
13/12/2019
Descripción:
ATasm versión 1.06, presenta un desbordamiento de búfer en la región heap de la memoria en la función parse_expr() en el archivo setparse.c por medio de un archivo .m65 diseñado.
Vulnerabilidad en un archivo .m65 en el archivo setparse.c en la función get_signed_expression() en Atasm (CVE-2019-19787)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
13/12/2019
Descripción:
ATasm versión 1.06, presenta un desbordamiento de búfer en la región heap de la memoria en la función get_signed_expression() en el archivo setparse.c por medio de un archivo .m65 diseñado.
Vulnerabilidad en una respuesta EHLO en el cliente FTP en AceaXe Plus (CVE-2019-19782)
Gravedad:
AltaAlta
Publication date: 13/12/2019
Last modified:
16/12/2019
Descripción:
El cliente FTP en AceaXe Plus versión 1.0, permite un desbordamiento del búfer por medio de una respuesta EHLO larga desde un servidor FTP.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en SQLite 3.30.1 maneja mal ciertas declaraciones SELECT (CVE-2019-19603)
Gravedad:
MediaMedia
Publication date: 09/12/2019
Last modified:
16/06/2020
Descripción:
SQLite 3.30.1 maneja mal ciertas declaraciones SELECT con una VISTA inexistente, lo que lleva a un bloqueo de la aplicación.
Vulnerabilidad en btrfs_free_extent en fs / btrfs / extension-tree.c en el kernel de Linux (CVE-2019-19039)
Gravedad:
BajaBaja
Publication date: 20/11/2019
Last modified:
29/07/2020
Descripción:
** EN DISPUTA ** __btrfs_free_extent en fs / btrfs / extension-tree.c en el kernel de Linux hasta la versión 5.3.12 llama a btrfs_print_leaf en un caso ENOENT determinado, lo que permite a los usuarios locales obtener información potencialmente confidencial sobre los valores de registro a través del programa dmesg. NOTA: El equipo de desarrollo de BTRFS cuestiona estos problemas por no ser una vulnerabilidad porque “1) El núcleo proporciona facilidades para restringir el acceso a la opción dmesg - dmesg_restrict = 1 sysctl. Por lo tanto, depende realmente del administrador del sistema juzgar si el acceso a dmesg será rechazado o no. 2) WARN / WARN_ON son macros ampliamente utilizadas en el kernel de Linux. Si este CVE se considera válido, esto significaría que hay literalmente miles de CVE al acecho en el núcleo, algo que claramente no es el caso ".
Vulnerabilidad en en el SIMATIC ET 200SP Open Controller CPU 1515SP PC (CVE-2019-10943)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
10/03/2020
Descripción:
Se ha identificado una vulnerabilidad en el SIMATIC ET 200SP Open Controller CPU 1515SP PC (incluidas las variantes SIPLUS) (todas las versiones), SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluidas las variantes SIPLUS) (todas las versiones anterior o igual 20.8), SIMATIC ET200SP ( incluidas las variantes SIPLUS) Open Controller CPU 1515SP PC (todas las versiones), SIMATIC ET200SP (incluidas las variantes SIPLUS) Open Controller CPU 1515SP PC2 (todas las versiones), SIMATIC S7 PLCSIM Advanced (todas las versiones anteriores o igual a la versión V3.0), SIMATIC S7- Familia de CPU 1200 (incluidas las variantes SIPLUS) (Todas las versiones anteriores o igual a la V4.4), familia de CPU SIMATIC S7-1500 (incluidas las CPU ET200 relacionadas y las variantes SIPLUS), excluyendo la CPU 1518 MFP (y la variante SIPLUS relacionada) (Todas las versiones anteriores o igual a la versión V2.8.1), familia de CPU SIMATIC S7-1500 (incluidas las CPU ET200 relacionadas y las variantes SIPLUS), excluyendo CPU 1518-4 PN / DP y CPU 1518 MFP (y la variante SIPLUS relacionada) (Todas las versiones anteriores a la versión V2.8.1) , Controlador de software SIMATIC S7-1500 (Todas las versiones anteriores a la versión V20.8). Un atacante con acceso de red al puerto 102 / tcp podría modificar potencialmente el programa de usuario en el PLC de manera que el código en ejecución sea diferente del código fuente que está almacenado en el dispositivo. Un atacante debe tener acceso a la red a los dispositivos afectados y debe poder realizar cambios en el programa del usuario. La vulnerabilidad podría afectar la integridad percibida del programa de usuario almacenado en la CPU. Un ingeniero que intenta obtener el código del programa de usuario que se ejecuta en el dispositivo puede recibir un código fuente diferente que en realidad no se ejecuta en el dispositivo. No se conocía la explotación pública de la vulnerabilidad en el momento de la publicación de asesoramiento.
Vulnerabilidad en SIMATIC CP 343-1 Advanced (CVE-2016-8672)
Gravedad:
MediaMedia
Publication date: 23/11/2016
Last modified:
12/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SIMATIC CP 343-1 Advanced (incluida la variante SIPLUS NET) (Todas las versiones anteriores a la versión V3.0.53), SIMATIC CP 443-1 Advanced (incluida la variante SIPLUS NET) (Todas las versiones anteriores a la versión fV3.2.17), Familia de CPU SIMATIC S7-300 PN / DP (incluidas las variantes SIPLUS) (todas las versiones), familia de CPU SIMATIC S7-400 PN / DP (incluidas las variantes SIPLUS) (todas las versiones). El servidor web integrado entrega cookies sin la bandera "segura". Los navegadores modernos que interpretan la bandera mitigarían la posible fuga de datos en caso de transmisión de texto claro.
Vulnerabilidad en SIMATIC CP 343-1 Advanced (CVE-2016-8673)
Gravedad:
MediaMedia
Publication date: 23/11/2016
Last modified:
12/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SIMATIC CP 343-1 Advanced (incluida la variante SIPLUS NET) (Todas las versiones anteriores a la versión V3.0.53), SIMATIC CP 443-1 Advanced (incluida la variante SIPLUS NET) (Todas las versiones anteriores a la versión V3.2.17), Familia de CPU SIMATIC S7-300 PN / DP (incluidas las variantes SIPLUS) (todas las versiones), familia de CPU SIMATIC S7-400 PN / DP (incluidas las variantes SIPLUS) (todas las versiones). El servidor web integrado en el puerto 80 / TCP o el puerto 443 / TCP de los dispositivos afectados podría permitir a los atacantes remotos realizar acciones con los permisos de un usuario autenticado, siempre que el usuario objetivo tenga una sesión activa y se induzca a activar la solicitud maliciosa.
Vulnerabilidad en la familia de conmutadores SCALANCE X-200 (CVE-2013-3633)
Gravedad:
AltaAlta
Publication date: 24/05/2013
Last modified:
12/12/2019
Descripción:
Se ha identificado una vulnerabilidad en la familia de conmutadores SCALANCE X-200 (incluidas las variantes SIPLUS NET) (Versiones anteriores a la versión V5.0.0 para CVE-2013-3633 y versiones anteriores a la versión V4.5.0 para CVE-2013-3634), conmutador SCALANCE X-200IRT familia (incluidas las variantes SIPLUS NET) (Todas las versiones anteriores a la versión V5.1.0). Los privilegios de usuario para la interfaz web solo se aplican en el lado del cliente y no se verifican adecuadamente en el lado del servidor. Por lo tanto, un atacante puede ejecutar comandos con privilegios utilizando una cuenta sin privilegios.
Vulnerabilidad en SCALANCE X-200 (CVE-2013-3634)
Gravedad:
AltaAlta
Publication date: 24/05/2013
Last modified:
12/12/2019
Descripción:
Se ha identificado una vulnerabilidad en la familia de conmutadores SCALANCE X-200 (incluidas las variantes SIPLUS NET) (Versiones anteriores a la versión V5.0.0 para CVE-2013-3633 y versiones anteriores a la versión V4.5.0 para CVE-2013-3634), conmutador SCALANCE X-200IRT familia (incluidas las variantes SIPLUS NET) (Todas las versiones anteriores a la versión V5.1.0). La implementación de SNMPv3 no verifica suficientemente las credenciales de usuario. Por lo tanto, un atacante puede ejecutar comandos SNMP sin las credenciales correctas.