Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un correo electrónico en un controlador de notificación push en Dovecot (CVE-2019-19722)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
08/01/2020
Descripción:
En Dovecot versiones anteriores a 2.3.9.2, un atacante puede bloquear un controlador de notificación push con un correo electrónico diseñado cuando notificaciones push son usadas, debido a una desreferencia del puntero NULL. El correo electrónico debe usar una dirección de grupo como remitente o destinatario.
Vulnerabilidad en el URI vocab/admin.php?doAdmin=bulkReplace en el parámetro replace_string o search_string en TemaTres (CVE-2019-14344)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
17/12/2019
Descripción:
TemaTres versión 3.0, presenta una vulnerabilidad de tipo XSS reflejado mediante el parámetro replace_string o search_string en el URI vocab/admin.php?doAdmin=bulkReplace.
Vulnerabilidad en la funcionalidad source-highlighting de SuPHP (CVE-2014-1867)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
17/12/2019
Descripción:
la funcionalidad source-highlighting de SuPHP versiones anteriores a 0.7.2, permite omitir la seguridad lo que podría conllevar a una ejecución de código arbitrario
Vulnerabilidad en el archivo admin/quiz-options-page.php en el parámetro from o till y/o quiz_id en el plugin quiz-master-next para WordPress (CVE-2019-17599)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
17/12/2019
Descripción:
El plugin quiz-master-next (también se conoce como Quiz And Survey Master) versiones anteriores a 6.3.5 para WordPress, está afectado por: Cross Site Scripting (XSS). El impacto es: permite a un atacante ejecutar código arbitrario HTML y JavaScript por medio del parámetro from o till (y/o el parámetro quiz_id). El componente es: el archivo admin/quiz-options-page.php. El vector de ataque es: cuando el administrador inicia sesión, un XSS reflejado puede ser ejecutado con un clic en una URL maliciosa.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18305)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server podría desencadenar una condición de Denegación de Servicio mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente del CVE-2019-18290, CVE-2019-18291, CVE-2019-18292, CVE-2019-18294, CVE-2019-18298, CVE-2019-18299, CVE-2019-18300, CVE-2019 -18301, CVE-2019-18302, CVE-2019-18303, CVE-2019-18304, CVE-2019-18306 y CVE-2019-18307. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 a fin de explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18307)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server podría desencadenar una condición de Denegación de Servicio mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente del CVE-2019-18290, CVE-2019-18291, CVE-2019-18292, CVE-2019-18294, CVE-2019-18298, CVE-2019-18299, CVE-2019-18300, CVE-2019 -18301, CVE-2019-18302, CVE-2019-18303, CVE-2019-18304, CVE-2019-18305 y CVE-2019-18306. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 a fin de explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18323)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server podría causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18324, CVE-2019-18325, CVE-2019-18326, CVE-2019-18327, CVE-2019-18328, CVE-2019-18329 y CVE-2019-18330. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18324)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server puede causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18323, CVE-2019-18325, CVE-2019-18326, CVE-2019-18327, CVE-2019-18328, CVE-2019-18329 y CVE-2019-18330. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18325)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server puede causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18323, CVE-2019-18324, CVE-2019-18326, CVE-2019-18327, CVE-2019-18328, CVE-2019-18329 y CVE-2019-18330. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18326)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server puede causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18323, CVE-2019-18324, CVE-2019-18325, CVE-2019-18327, CVE-2019-18328, CVE-2019-18329 y CVE-2019-18330. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18327)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server puede causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18323, CVE-2019-18324, CVE-2019-18325, CVE-2019-18326, CVE-2019-18328, CVE-2019-18329 y CVE-2019-18330. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18328)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server puede causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18323, CVE-2019-18324, CVE-2019-18325, CVE-2019-18326, CVE-2019-18327, CVE-2019-18329 y CVE-2019-18330. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18329)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server puede causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18323, CVE-2019-18324, CVE-2019-18325, CVE-2019-18326, CVE-2019-18327, CVE-2019-18328 y CVE-2019-18330. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el puerto 5010/tcp en SPPA-T3000 MS3000 Migration Server (CVE-2019-18330)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SPPA-T3000 MS3000 Migration Server (todas las versiones). Un atacante con acceso de red al MS3000 Server podría causar una condición de Denegación de Servicio y potencialmente conseguir una ejecución de código remota mediante el envío de paquetes específicamente diseñados hacia el puerto 5010/tcp. Esta vulnerabilidad es independiente de CVE-2019-18323, CVE-2019-18324, CVE-2019-18325, CVE-2019-18326, CVE-2019-18327, CVE-2019-18328 y CVE-2019-18329. Tenga en cuenta que un atacante necesita tener acceso de red al MS3000 para explotar esta vulnerabilidad. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el atributo HTTPOnly en la cookie de sesión del usuario en 3scale (CVE-2019-14849)
Gravedad:
BajaBaja
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se encontró una vulnerabilidad en 3scale versión anterior a 2.6, no estableció el atributo HTTPOnly en la cookie de sesión del usuario. Un atacante podría usar esto para conducir ataques de tipo cross site scripting y conseguir acceso a información no autorizada.
Vulnerabilidad en el procesamiento del control de Entradas y Salidas en el producto Snapdragon Connectivity (CVE-2019-10618)
Gravedad:
BajaBaja
Publication date: 12/12/2019
Last modified:
24/08/2020
Descripción:
Un controlador puede acceder a una dirección no válida mientras procesa el control de Entradas y Salidas debido a la falta de comprobación de la validación de la dirección en el producto Snapdragon Connectivity en la versión QCA6390.
Vulnerabilidad en una URL en la instalación rápida en Puppet Enterprise (CVE-2019-10694)
Gravedad:
AltaAlta
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
La instalación rápida, que es la forma sugerida de instalar Puppet Enterprise, le entrega al usuario una URL al final de la instalación para establecer la contraseña de administrador. Si no usan esa URL, existe una contraseña predeterminada obviada por el usuario administrador. Esto se resolvió en Puppet Enterprise versiones 2019.0.3 y 2018.1.9.
Vulnerabilidad en el archivo libltdic.so en la funcionalidad de análisis de paquetes DICOM de LEADTOOLS (CVE-2019-5085)
Gravedad:
AltaAlta
Publication date: 11/12/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código explotable en la funcionalidad de análisis de paquetes DICOM del archivo libltdic.so de LEADTOOLS, versión 20.0.2019.3.15. Un paquete especialmente diseñado puede causar un desbordamiento de enteros, resultando en una corrupción de la pila. Un atacante puede enviar un paquete para activar esta vulnerabilidad.
Vulnerabilidad en el archivo libltdic.so en la funcionalidad de análisis de paquetes DICOM de LEADTOOLS (CVE-2019-5090)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de información explotable en la funcionalidad de análisis de paquetes DICOM del archivo libltdic.so de LEADTOOLS, versión 20.0.2019.3.15. Un paquete especialmente diseñado puede causar una lectura fuera de límites, resultando en una divulgación de información. Un atacante puede enviar un paquete para activar esta vulnerabilidad.
Vulnerabilidad en el archivo libltdic.so en la funcionalidad de análisis de paquetes Dicom de LEADTOOLS (CVE-2019-5091)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
Se presenta una vulnerabilidad de denegación de servicio explotable en la funcionalidad de análisis de paquetes Dicom del archivo libltdic.so de LEADTOOLS versión 20.0.2019.3.15. Un paquete especialmente diseñado puede causar un bucle infinito, resultando en una denegación de servicio. Un atacante puede enviar un paquete para activar esta vulnerabilidad.
Vulnerabilidad en la funcionalidad de análisis de etiquetas de la Interfaz de Usuario del formato de imagen DICOM de LEADTOOLS (CVE-2019-5092)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
Se presenta una vulnerabilidad de escritura de la pila fuera de límites explotable en la funcionalidad de análisis de etiquetas de la Interfaz de Usuario del formato de imagen DICOM de LEADTOOLS versión 20.0.2019.3.15. Una imagen DICOM especialmente diseñada puede causar que se escriba un desplazamiento más allá de los límites de una asignación de la pila, resultando potencialmente en una ejecución de código. Un atacante puede crear una imagen DICOM de forma especial para activar esta vulnerabilidad.
Vulnerabilidad en el archivo libltdic.so en la funcionalidad de respuesta de red DICOM de LEADTOOLS (CVE-2019-5093)
Gravedad:
AltaAlta
Publication date: 11/12/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código explotable en la funcionalidad de respuesta de red DICOM del archivo libltdic.so de LEADTOOLS versión 20.0.2019.3.15. Un paquete especialmente diseñado puede causar un desbordamiento de enteros, resultando en la corrupción de la pila. Un atacante puede enviar un paquete para activar esta vulnerabilidad.
Vulnerabilidad en un archivo de imagen J2K en la funcionalidad de análisis JPEG2000 de LEADTOOLS (CVE-2019-5154)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
Se presenta una vulnerabilidad de desbordamiento de la pila explotable en la funcionalidad de análisis JPEG2000 de LEADTOOLS versión 20.0.2019.3.15. Un archivo de imagen J2K especialmente diseñado puede causar una escritura fuera de límites de un byte null en un búfer de la pila, resultando potencialmente en una ejecución de código. Un ataque puede crear especialmente una imagen J2K para activar esta vulnerabilidad.
Vulnerabilidad en la ruta (path) root del sistema en Reliable Controls LicenseManage (CVE-2019-18245)
Gravedad:
AltaAlta
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
Reliable Controls LicenseManager versiones 3.4 y anteriores, pueden permitir a un usuario autenticado insertar código malicioso en la ruta (path) root del sistema, lo que puede permitir una ejecución de código con privilegios elevados de la aplicación.
Vulnerabilidad en el módulo de texto en Fiori BI Launchpad en la plataforma SAP BusinessObjects Business Intelligence (CVE-2019-0395)
Gravedad:
BajaBaja
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
La plataforma SAP BusinessObjects Business Intelligence (Fiori BI Launchpad), versiones anteriores a 4.2, permite una ejecución de JavaScript en un módulo de texto en Fiori BI Launchpad, lo que conlleva a una vulnerabilidad de tipo Cross Site Scripting Almacenada.
Vulnerabilidad en la plataforma SAP BusinessObjects Business Intelligence (CVE-2019-0398)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
Debido a una protección CSRF insuficiente, la plataforma SAP BusinessObjects Business Intelligence (Monitoring Application), versiones anteriores a 4.1, 4.2 y 4.3, puede conllevar a que un usuario autenticado envíe peticiones no deseadas al servidor web, conllevando a una vulnerabilidad de tipo Cross Site Request Forgery.
Vulnerabilidad en los archivos CSV en SAP Enable Now (CVE-2019-0403)
Gravedad:
AltaAlta
Publication date: 11/12/2019
Last modified:
24/08/2020
Descripción:
SAP Enable Now, versiones anteriores a 1911, permite a un atacante ingresar comandos en los archivos CSV, que serán ejecutados cuando se abran, conllevando a una inyección de comandos CSV.
Vulnerabilidad en los mensajes de error del servidor en SAP Enable Now (CVE-2019-0404)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
24/08/2020
Descripción:
SAP Enable Now, versiones anteriores a 1911, filtra información sobre la configuración de la red en los mensajes de error del servidor, conllevando a una Divulgación de Información.
Vulnerabilidad en SAP Enable Now (CVE-2019-0405)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
SAP Enable Now, versiones anteriores a 1911, filtra información sobre la existencia de un usuario en particular que puede ser usada para construir una lista de usuarios, lo que conlleva a una vulnerabilidad de enumeración de usuarios y una Divulgación de Información.
Vulnerabilidad en el atributo "xlink:href" en el espacio de nombres xlink en enshrined/svg-sanitize (CVE-2019-10772)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
Es posible omitir a enshrined/svg-sanitize versiones anteriores a 0.13.1 usando el atributo "xlink:href" debido al manejo inapropiado del espacio de nombres xlink por parte del saneador.
Vulnerabilidad en el middleware Sencha Labs Connect en node-connect (CVE-2013-7370)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
node-connect versiones anteriores a 2.8.1, presenta una vulnerabilidad de tipo XSS en el middleware Sencha Labs Connect.
Vulnerabilidad en smokeping (CVE-2013-4158)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
17/12/2019
Descripción:
smokeping versiones anteriores a 2.6.9, presenta una vulnerabilidad de tipo XSS (corrección incompleta para el CVE-2012-0790)
Vulnerabilidad en paquetes de descubrimiento de endpoint DCE-RPC de PROFINET en los dispositivos Moxa EDS-G508E, EDS-G512E y EDS-G516E (CVE-2019-19707)
Gravedad:
AltaAlta
Publication date: 10/12/2019
Last modified:
17/12/2019
Descripción:
En los dispositivos Moxa EDS-G508E, EDS-G512E y EDS-G516E (con versión de firmware hasta 6.0), una denegación de servicio puede presentarse por medio de paquetes de descubrimiento de endpoint DCE-RPC de PROFINET .
Vulnerabilidad en el archivo lib/libc/stdlib/random.c en OpenBSD (CVE-2012-1577)
Gravedad:
AltaAlta
Publication date: 10/12/2019
Last modified:
17/12/2019
Descripción:
El archivo lib/libc/stdlib/random.c en OpenBSD devuelve 0 cuando es sembrado con 0.
Vulnerabilidad en el escritorio plasma en kde-workspace. (CVE-2013-4133)
Gravedad:
AltaAlta
Publication date: 10/12/2019
Last modified:
17/12/2019
Descripción:
kde-workspace versiones anteriores a la versión 4.10.5, tiene una pérdida de memoria en el escritorio plasma
Vulnerabilidad en el módulo Data::UUID de Perl de CPAN. (CVE-2013-4184)
Gravedad:
BajaBaja
Publication date: 10/12/2019
Last modified:
17/12/2019
Descripción:
El módulo Data::UUID de Perl de CPAN versión 1.219, es vulnerable a ataques de tipo symlink.
Vulnerabilidad en en el archivo cartridge_cache.rb en rubygem-openshift-origin-controller. (CVE-2013-2095)
Gravedad:
AltaAlta
Publication date: 10/12/2019
Last modified:
17/12/2019
Descripción:
rubygem-openshift-origin-controller: La API puede ser utilizada para crear aplicaciones por medio de la función URI.prase() en el archivo cartridge_cache.rb para realizar una inyección de comandos
Vulnerabilidad en una cuenta de administrador predeterminada en el canal LAN de IPMI en IBM DataPower Gateway (CVE-2019-4621)
Gravedad:
MediaMedia
Publication date: 09/12/2019
Last modified:
17/12/2019
Descripción:
IBM DataPower Gateway versiones 7.6.0.0-7 hasta 6.0.14 y versiones 2018.4.1.0 hasta 2018.4.1.5, presentan una cuenta de administrador predeterminada que está habilitada si el canal LAN de IPMI está habilitado. Un atacante remoto podría utilizar esta cuenta para conseguir acceso no autorizado al BMC. ID de IBM X-Force: 168883.
Vulnerabilidad en el encabezado Content-Type en el módulo mod_wsgi para Apache, en modo insertado (CVE-2014-0242)
Gravedad:
MediaMedia
Publication date: 09/12/2019
Last modified:
17/12/2019
Descripción:
El módulo mod_wsgi versiones anteriores a 3.4 para Apache, cuando es usado en modo insertado, podría permitir a atacantes remotos obtener información confidencial por medio del encabezado Content-Type que es generado desde la memoria que puede haber sido liberada y luego sobrescrita mediante un hilo o subproceso separado.
Vulnerabilidad en paquetes de datos NTP en las variables de estado en chrony (CVE-2015-1853)
Gravedad:
MediaMedia
Publication date: 09/12/2019
Last modified:
17/12/2019
Descripción:
chrony versiones anteriores a 1.31.1, no protege apropiadamente las variables de estado en asociaciones NTP simétricas autenticadas, lo que permite a atacantes remotos con conocimiento del emparejamiento NTP causar una denegación de servicio (incapacidad de sincronización) mediante marcas de tiempo aleatorias en paquetes de datos NTP diseñados.
Vulnerabilidad en cuentas de usuario de la aplicación en Symantec Industrial Control System Protection (ICSP) (CVE-2019-18380)
Gravedad:
BajaBaja
Publication date: 09/12/2019
Last modified:
17/12/2019
Descripción:
Symantec Industrial Control System Protection (ICSP), versiones 6.x.x, puede ser susceptible a un problema de acceso no autorizado lo que podría permitir a un actor de amenazas crear o modificar cuentas de usuario de la aplicación sin la autenticación apropiada.
Vulnerabilidad en /v3/credentials en la función enforce_scope en la API de credenciales de lista en OpenStack Keystone (CVE-2019-19687)
Gravedad:
BajaBaja
Publication date: 09/12/2019
Last modified:
19/12/2019
Descripción:
OpenStack Keystone versiones 15.0.0 y 16.0.0, está afectado por un Filtrado de Datos en la API de credenciales de lista. Cualquier usuario con un rol en un proyecto es capaz de enumerar cualquier credencial con la API de /v3/credentials cuando la función enforce_scope es falsa. Los usuarios con un rol en un proyecto pueden visualizar las credenciales de cualquier otro usuario, lo que podría (por ejemplo) filtrar información de inicio de sesión de Time-based One Time Passwords (TOTP). Las implementaciones con la función enforce_scope establecida en false están afectadas. (Habrá un ligero impacto en el rendimiento de la API de credenciales de lista una vez que este problema sea corregido).
Vulnerabilidad en Admin/RoxyFileman/ProcessRequest en la biblioteca Libraries/Nop.Services/Media/RoxyFileman/FileRoxyFilemanService.cs en RoxyFileman entregado con nopCommerce (CVE-2019-19683)
Gravedad:
AltaAlta
Publication date: 09/12/2019
Last modified:
17/12/2019
Descripción:
RoxyFileman, como es entregado con nopCommerce v4.2.0, es vulnerable a un salto de directorio ../ por medio de d o f en Admin/RoxyFileman/ProcessRequest debido a la biblioteca Libraries/Nop.Services/Media/RoxyFileman/FileRoxyFilemanService.cs.
Vulnerabilidad en las peticiones GET en RoxyFileman entregado con nopCommerce (CVE-2019-19685)
Gravedad:
MediaMedia
Publication date: 09/12/2019
Last modified:
17/12/2019
Descripción:
RoxyFileman, como es entregado con nopCommerce versión v4.2.0, es vulnerable a un ataque de tipo CSRF porque las peticiones GET pueden ser usadas para renombrar y eliminar.
Vulnerabilidad en un archivo MachO en el archivo macho/macho.c en la funcionalidad macho_parse_file de YARA (CVE-2019-19648)
Gravedad:
MediaMedia
Publication date: 08/12/2019
Last modified:
17/12/2019
Descripción:
En la funcionalidad macho_parse_file en el archivo macho/macho.c de YARA versión 3.11.0, command_size puede ser inconsistente con el tamaño real. Un archivo MachO especialmente diseñado puede causar un acceso a la memoria fuera de límites, resultando en una Denegación de Servicio (bloqueo de aplicación) o una potencial ejecución de código.
Vulnerabilidad en un RangeError en la función eval en safer-eval (CVE-2019-10769)
Gravedad:
AltaAlta
Publication date: 06/12/2019
Last modified:
17/12/2019
Descripción:
safer-eval es un paquete npm para ejecutar en sandbox la evaluación del código utilizado dentro de la función eval. Las versiones afectadas de este paquete son vulnerables a una Ejecución de Código Arbitrario mediante la generación de un RangeError.
Vulnerabilidad en el script cobbler-ubuntu-import en Ubuntu Cobbler (CVE-2012-2092)
Gravedad:
MediaMedia
Publication date: 06/12/2019
Last modified:
17/12/2019
Descripción:
Se presenta una vulnerabilidad de Omisión de Seguridad en Ubuntu Cobbler versiones anteriores a 2,2,2 en el script cobbler-ubuntu-import debido a un error cuando se comprueba la firma GPG.
Vulnerabilidad en OpenSLP, usado en ESXi y los dispositivos Horizon DaaS (CVE-2019-5544)
Gravedad:
AltaAlta
Publication date: 06/12/2019
Last modified:
14/05/2020
Descripción:
OpenSLP, como es usado en ESXi y los dispositivos Horizon DaaS, presenta un problema de sobrescritura de la pila. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad Crítica con una puntuación base máxima CVSSv3 de 9.8.
Vulnerabilidad en el archivo dis_flow.cpp en las funciones calc() y ocl_calc() en la variable coarsest_scale en OpenCV (CVE-2019-19624)
Gravedad:
MediaMedia
Publication date: 06/12/2019
Last modified:
17/12/2019
Descripción:
Se detectó una lectura fuera de límites en OpenCV versiones anteriores a 4.1.1. Específicamente, una variable coarsest_scale es asumida para ser mayor o igual que finest_scale dentro de las funciones calc() y ocl_calc() en el archivo dis_flow.cpp. Sin embargo, esto no es cierto cuando se trata de imágenes pequeñas, conllevando a una lectura fuera de límites de las matrices Ux y Uy asignadas de la pila.
Vulnerabilidad en mensajes de excepción en la Interfaz de Usuario en \Symfony\Component\Security\Core\Exception\AuthenticationServiceException (CVE-2019-16768)
Gravedad:
MediaMedia
Publication date: 05/12/2019
Last modified:
17/12/2019
Descripción:
Unos mensajes de excepción de las excepciones internas (como la excepción de la base de datos) están empaquetados por \Symfony\Component\Security\Core\Exception\AuthenticationServiceException y se propagan por medio del sistema a la Interfaz de Usuario. Por lo tanto, algo de la información interna del sistema puede filtrarse y ser visible para el cliente. Un mensaje de comprobación con los detalles de la excepción será presentado al usuario cuando uno intentase iniciar sesión en la tienda.
Vulnerabilidad en el directorio /tmp en el paquete Jasig Project php-pear-CAS (CVE-2012-1105)
Gravedad:
BajaBaja
Publication date: 05/12/2019
Last modified:
17/12/2019
Descripción:
Se presenta una vulnerabilidad de Divulgación de Información en el paquete Jasig Project php-pear-CAS versión 1.2.2 en el directorio /tmp. La biblioteca del cliente Central Authentication Service guarda el archivo de registro de depuración de manera no segura.
Vulnerabilidad en un sombreador de píxeles en el controlador AMD ATIDXX64.DLL en el invitado de VMware (CVE-2019-5098)
Gravedad:
MediaMedia
Publication date: 05/12/2019
Last modified:
17/12/2019
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites explotable en el controlador AMD ATIDXX64.DLL, versión 26.20.13001.29010. Un sombreador de píxeles especialmente diseñado puede causar una lectura de memoria fuera de límites. Un atacante puede proveer un archivo tipo sombreador especialmente diseñado para activar esta vulnerabilidad. Esta vulnerabilidad puede ser activada desde el invitado de VMware, afectando al host VMware.
Vulnerabilidad en conexiones TLS en haskell-tls-extra (CVE-2013-0243)
Gravedad:
MediaMedia
Publication date: 05/12/2019
Last modified:
17/12/2019
Descripción:
haskell-tls-extra versiones anteriores a 0.6.1, presenta una vulnerabilidad del atributo Basic Constraints lo que puede conllevar a ataques de tipo Man in the Middle en conexiones TLS.
Vulnerabilidad en el archivo v1/system/user en los dispositivos Intelbras IWR 3000N (CVE-2019-19007)
Gravedad:
AltaAlta
Publication date: 05/12/2019
Last modified:
24/08/2020
Descripción:
Los dispositivos Intelbras IWR 3000N versión 1.8.7, permiten una divulgación del nombre de usuario y la contraseña de administrador porque el archivo v1/system/user es manejado inapropiadamente, un problema relacionado con CVE-2019-17600.
Vulnerabilidad en una descompresión HPACK dentro del protocolo HTTP2 (CVE-2019-11940)
Gravedad:
AltaAlta
Publication date: 04/12/2019
Last modified:
17/12/2019
Descripción:
En el curso de una descompresión HPACK dentro del protocolo HTTP2, una secuencia no prevista de operaciones de cambio de tamaño de la tabla de encabezado puede colocar la tabla de encabezado en un estado corrupto, lo que conlleva a una condición de uso de la memoria previamente liberada y un comportamiento no definido. Este problema afecta a Proxygen desde la versión v0.29.0 hasta v2017.04.03.00.
Vulnerabilidad en el archivo asn1.c en la función asn1_signature en Cameron Hamilton-Rich axTLS (CVE-2019-10013)
Gravedad:
AltaAlta
Publication date: 03/12/2019
Last modified:
31/12/2019
Descripción:
La función asn1_signature en el archivo asn1.c en Cameron Hamilton-Rich axTLS versiones hasta 2.1.5, presenta un Desbordamiento de Búfer que permite a atacantes remotos causar una denegación de servicio (consumo de memoria y CPU) por medio de un certificado diseñado en el mensaje del protocolo de enlace del certificado TLS, porque el resultado de la función get_asn1_length() no es comprobado para un tamaño mínimo o máximo.
Vulnerabilidad en la aplicación Anhui Huami Mi Fit para Android (CVE-2019-19463)
Gravedad:
MediaMedia
Publication date: 29/11/2019
Last modified:
17/12/2019
Descripción:
La aplicación Anhui Huami Mi Fit versiones anteriores a 4.0.11 para Android, presenta una Comprobación de Actualización Sin Cifrar.
Vulnerabilidad en la función Verified_certificate_identity en la extensión OpenSSL en Ruby (CVE-2015-1855)
Gravedad:
MediaMedia
Publication date: 29/11/2019
Last modified:
17/12/2019
Descripción:
La función Verified_certificate_identity en la extensión OpenSSL en Ruby versiones anteriores a 2.0.0 patchlevel 645, versiones 2.1.x anteriores a 2.1.6 y versiones 2.2.x anteriores 2.2.2, no comprueba apropiadamente los nombres de host, lo que permite a atacantes remotos falsificar servidores por medio de vectores relacionados con (1) múltiples wildcards, (1) wildcards en nombres IDNA, (3) sensibilidad a mayúsculas y minúsculas y (4) caracteres no ASCII.
Vulnerabilidad en el archivo downloadFile.php en la función download_file en rConfig (CVE-2019-19372)
Gravedad:
MediaMedia
Publication date: 28/11/2019
Last modified:
17/12/2019
Descripción:
** EN DISPUTA ** Una vulnerabilidad de salto de la ruta de la función download_file del archivo downloadFile.php en rConfig versiones hasta la versión 3.9.3, permite a atacantes registrar archivos en carpetas arbitrarias y potencialmente descargar archivos. NOTA: el descubridor informó más tarde que no había una "explotación totalmente en funcionamiento".
Vulnerabilidad en rutas especialmente diseñadas en una petición específica en Relion 670 Series. (CVE-2019-18253)
Gravedad:
AltaAlta
Publication date: 27/11/2019
Last modified:
17/12/2019
Descripción:
Un atacante podría utilizar rutas especialmente diseñadas en una petición específica para leer o eliminar archivos desde Relion 670 Series (versiones 1p1r26, 1.2.3.17, 2.0.0.10, RES670 2.0.0.4, 2.1.0.1 y anteriores) fuera del directorio previsto.
Vulnerabilidad en generación de contraseña en xquest (CVE-2016-4980)
Gravedad:
BajaBaja
Publication date: 27/11/2019
Last modified:
09/01/2020
Descripción:
Existe una debilidad de generación de contraseña en xquest hasta 13-06-2016.
Vulnerabilidad en un árbol de directorios en Visual Studio Code con la extensión CodeQL activa (CVE-2019-16765)
Gravedad:
MediaMedia
Publication date: 25/11/2019
Last modified:
17/12/2019
Descripción:
Si un atacante puede lograr que un usuario abra un árbol de directorios especialmente preparado como un espacio de trabajo en Visual Studio Code con la extensión CodeQL activa, el código arbitrario de la elección del atacante puede ser ejecutado en nombre del usuario. Esto se corrige en la versión 1.0.1 de la extensión. Los usuarios deben actualizar a esta versión usando el mecanismo de actualización de Visual Studio Code Marketplace. Luego de la actualización, la configuración codeQL.cli.executablePath solo puede ser establecida en la configuración por usuario y no en la configuración por espacio de trabajo. Más información sobre la configuración de VS Code puede ser encontrada aquí.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (CVE-2019-18331)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
10/03/2020
Descripción:
Se ha identificado una vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (todas las versiones anteriores a la versión Service Pack R8.2 SP2). Un atacante con acceso de red al Servidor de aplicaciones podría obtener acceso a la ruta y los nombres de archivo en el servidor enviando paquetes específicamente diseñados a 1099 / tcp. Tenga en cuenta que un atacante debe tener acceso de red al Servidor de aplicaciones para aprovechar esta vulnerabilidad. En el momento de la publicación del aviso no se conocía la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (CVE-2019-18332)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
10/03/2020
Descripción:
Se ha identificado una vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (todas las versiones anteriores a la versión Service Pack R8.2 SP2). Un atacante con acceso de red al servidor de aplicaciones podría obtener acceso a las listas de directorios del servidor enviando paquetes específicamente diseñados a 80 / tcp, 8095 / tcp o 8080 / tcp. Tenga en cuenta que un atacante debe tener acceso de red al Servidor de aplicaciones para aprovechar esta vulnerabilidad. En el momento de la publicación del aviso no se conocía la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (CVE-2019-18333)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
10/03/2020
Descripción:
Se ha identificado una vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (todas las versiones anteriores a la versión Service Pack R8.2 SP2). Un atacante con acceso de red al Servidor de aplicaciones podría obtener acceso a los nombres de archivo en el servidor enviando paquetes específicamente diseñados a 8090 / tcp. Tenga en cuenta que un atacante debe tener acceso de red al Servidor de aplicaciones para aprovechar esta vulnerabilidad. En el momento de la publicación del aviso no se conocía la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (CVE-2019-18334)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
10/03/2020
Descripción:
Se ha identificado una vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (todas las versiones anteriores a la versión Service Pack R8.2 SP2). Un atacante con acceso de red al servidor de aplicaciones podría enumerar nombres de usuario válidos enviando paquetes específicamente diseñados a 8090 / tcp. Tenga en cuenta que un atacante debe tener acceso de red al Servidor de aplicaciones para explotar esta vulnerabilidad. En el momento de la publicación del aviso no se conocía la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (CVE-2019-18335)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
10/03/2020
Descripción:
Se ha identificado una vulnerabilidad en el servidor de aplicaciones SPPA-T3000 (todas las versiones anterior a la versión Service Pack R8.2 SP2). Un atacante con acceso de red al servidor de aplicaciones podría obtener acceso a registros y archivos de configuración enviando paquetes específicamente diseñados a 80 / tcp. Tenga en cuenta que un atacante debe tener acceso de red al Servidor de aplicaciones para aprovechar esta vulnerabilidad. En el momento de la publicación del aviso no se conocía la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en peticiones HTTP en la aplicación de escritorio Last.fm en macOS (CVE-2019-19251)
Gravedad:
MediaMedia
Publication date: 10/12/2019
Last modified:
24/08/2020
Descripción:
La aplicación de escritorio Last.fm (Last.fm Scrobbler) versiones hasta la versión 2.1.39 en macOS, realiza peticiones HTTP que incluyen una clave de la API sin el uso de SSL/TLS. Aunque existe una opción Enable SSL, que está deshabilitada por defecto, y las peticiones de texto sin cifrar se realizan tan pronto como se inicia la aplicación.
Vulnerabilidad en SecureWorks Red Cloak Windows Agent (CVE-2019-19620)
Gravedad:
BajaBaja
Publication date: 06/12/2019
Last modified:
17/12/2019
Descripción:
En SecureWorks Red Cloak Windows Agent anterior a la versión 2.0.7.9, un usuario local puede omitir la generación de alertas de telemetría eliminando los permisos NT AUTHORITY \ SYSTEM de un archivo. Esto se limita en el ámbito a la recopilación de telemetría de ejecución de procesos, para las ejecuciones en archivos específicos donde se denegó el acceso al archivo de origen al usuario SYSTEM.
Vulnerabilidad en el archivo arch/x86/include/asm/fpu/internal.h en la función fpregs_state_valid en el kernel de Linux, usado con GCC (CVE-2019-19602)
Gravedad:
MediaMedia
Publication date: 05/12/2019
Last modified:
24/08/2020
Descripción:
La función fpregs_state_valid en el archivo arch/x86/include/asm/fpu/internal.h en el kernel de Linux versiones anteriores a 5.4.2, cuando es usado GCC versión 9, permite a atacantes dependiendo del contexto causar una denegación de servicio (corrupción de memoria) o posiblemente tener otros impactos no especificados debido a un almacenamiento en caché incorrecto de fpu_fpregs_owner_ctx, como es demostrado por el manejo inapropiado de la preferencia no cooperativa basada en señal en Go versiones 1.14 preliminares a amd64, también se conoce como CID-59c4 anywhere53abc.
Vulnerabilidad en el procedimiento .buildfont1 no aseguraba adecuadamente sus llamadas privilegiadas (CVE-2019-10216)
Gravedad:
MediaMedia
Publication date: 27/11/2019
Last modified:
07/01/2020
Descripción:
En ghostscript anterior a la versión 9.50, el procedimiento .buildfont1 no aseguraba adecuadamente sus llamadas privilegiadas, permitiendo que los scripts eludieran las restricciones `-dSAFER`. Un atacante podría abusar de esta fallo al crear un archivo PostScript especialmente diseñado que podría escalar privilegios y acceder a archivos fuera de las áreas restringidas.
Vulnerabilidad en MikroTik RouterOS Stable (CVE-2019-3943)
Gravedad:
AltaAlta
Publication date: 10/04/2019
Last modified:
17/12/2019
Descripción:
Las versiones de MikroTik RouterOS Stable versión 6.43.12 y versiones posteriores, Long-term versión 6.42.12 y versiones posteriores, y Testing versión 6.44beta75 y versiones anteriores son vulnerables a un salto de directorio remoto autenticado por medio de las interfaces HTTP o Winbox. Un ataque remoto autenticado puede usar esta vulnerabilidad para leer y escribir archivos fuera del directorio sandbox (/rw/disk).
Vulnerabilidad en Popup Maker (CVE-2017-2284)
Gravedad:
MediaMedia
Publication date: 02/08/2017
Last modified:
11/03/2020
Descripción:
Una vulnerabilidad de tipo Cross-Site Scripting (XSS) en versiones anteriores a la 1.6.5 de Popup Maker permite a atacantes remotos inyectar scripts web o HTML arbitrarios utilizando vectores no especificados.
Vulnerabilidad en libffi (CVE-2017-1000376)
Gravedad:
MediaMedia
Publication date: 19/06/2017
Last modified:
15/01/2020
Descripción:
libffi solicita una pila ejecutable que permite que los atacantes desencadenen con más facilidad la ejecución de código arbitrario sobrescribiendo la pila. Se debe tener en cuenta que libffi es empleado por otras bibliotecas. Antes se dijo que esto afecta a la versión 3.2.1 de libffi, pero parece ser incorrecto. libffi en versiones anteriores a la 3.1 en sistemas x86 de 32 bits era vulnerable y se cree que upstream ha solucionado este problema en la versión 3.1.
Vulnerabilidad en Red Hat OpenShift Enterprise (CVE-2016-5409)
Gravedad:
MediaMedia
Publication date: 20/04/2017
Last modified:
17/12/2019
Descripción:
Red Hat OpenShift Enterprise 2 no incluye el indicador HTTPOnly en el encabezado Set-Cookie para la cookie GEARID, lo que hace más fácil para el atacante remoto obtener información potencialmente sensible a través del acceso con secuencias de comandos a los cookies.
Vulnerabilidad en la implementación de software C de AES Encryption and Decryption en wolfSSL (CVE-2016-7440)
Gravedad:
BajaBaja
Publication date: 13/12/2016
Last modified:
17/12/2019
Descripción:
La implementación de software C de AES Encryption and Decryption en wolfSSL (anterioremtne CyaSSL) en versiones anteriores a 3.9.10 hace más fácil para usuarios locales descubrir las claves AES aprovechando las diferencias de tiempo de banco del cachè.
Vulnerabilidad en Jenkins y LTS (CVE-2015-7538)
Gravedad:
MediaMedia
Publication date: 03/02/2016
Last modified:
17/12/2019
Descripción:
Jenkins en versiones anteriores a 1.640 y LTS en versiones anteriores a 1.625.2 permite a atacantes remotos eludir el mecanismo de protección CSRF a través de vectores no especificados.
Vulnerabilidad en Jenkins y LTS (CVE-2015-7537)
Gravedad:
MediaMedia
Publication date: 03/02/2016
Last modified:
17/12/2019
Descripción:
Vulnerabilidad de CSRF en Jenkins en versiones anteriores a 1.640 y LTS en versiones anteriores a 1.625.2 permite a atacantes remotos secuestrar la autenticación de los administradores en peticiones que tienen un impacto no especificado a través de vectores relacionados con el método HTTP GET.
Vulnerabilidad en Jenkins y LTS (CVE-2015-7539)
Gravedad:
AltaAlta
Publication date: 03/02/2016
Last modified:
17/12/2019
Descripción:
The Plugins Manager in Jenkins en versiones anteriores a 1.640 y LTS en versiones anteriores a 1.625.2 no verifica sumas de comprobación para archivos de plugin referenciados en datos del sitio de actualización, lo que facilita a atacantes man-in-the-middle ejecutar código arbitrario a través de un plugin manipulado.
Vulnerabilidad en Apache ActiveMQ (CVE-2015-5254)
Gravedad:
AltaAlta
Publication date: 08/01/2016
Last modified:
17/12/2019
Descripción:
Apache ActiveMQ 5.x en versiones anteriores a 5.13.0 no restringe las clases que pueden ser serializadas en el broker, lo que permite a atacantes remotos ejecutar código arbitrario a través de un objeto ObjectMessage Java Message Service (JMS) serializado manipulado.
Vulnerabilidad en las páginas Fingerprints en Jenkins y LTS (CVE-2015-5317)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Las páginas Fingerprints en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 podrían permitir a atacantes remotos obtener trabajo sensible y construir la información de nombre a través de una petición directa.
Vulnerabilidad en Jenkis y LTS (CVE-2015-5318)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 utiliza un salt de acceso público para generar tokens de protección CSRF, lo que hace que sea más fácil para atacantes remotos eludir el mecanismo de protección CSRF a través de un ataque de fuerza bruta.
Vulnerabilidad en el comando create-job en CLI en Jenkins y LTS (CVE-2015-5319)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Vulnerabilidad XXE en el comando create-job en CLI en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permite a atacantes remotos leer archivos arbitrarios a través de una configuración de trabajo manipulado que es cuando se utiliza una "herramienta XML-aware", según lo demostrado mediante get-job y update-job.
Vulnerabilidad en los widgets de panel lateral en el comando CLI de la páginas de resumen y ayuda en Jenkins y LTS (CVE-2015-5321)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Los widgets de panel lateral en el comando CLI de la páginas de resumen y ayuda en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permiten a atacantes remotos obtener información sensible a través de una petición directa a las páginas.
Vulnerabilidad en Jenkins y LTS (CVE-2015-5322)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Vulnerabilidad de salto de directorio en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permite a atacantes remotos listar el contenido de directorio y leer archivos arbitrarios en los recursos de servlet Jenkins servlet a través de secuencias de salto de directorio en una petición de jnlpJars/.
Vulnerabilidad en Jenkins y LTS (CVE-2015-5323)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 no restringe adecuadamente el acceso a tokens de la API lo que podría permitir a administradores remotos obtener privilegios y ejecutar secuencias de comandos mediante el uso de un token de API de otro usuario.
Vulnerabilidad en Jenkins y LTS (CVE-2015-5324)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permiten a atacantes remotos obtener información sensible a través de petición directa a queue/api.
Vulnerabilidad en Jenkins y LTS (CVE-2015-5325)
Gravedad:
AltaAlta
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permite a atacantes eludir las restricciones slave-to-master destinadas al acceso aprovechando un esclavo JNLP. NOTA: esta vulnerabilidad existe a causa de una solución incompleta para CVE-2014-3665.
Vulnerabilidad en Jenkis y LTS (CVE-2015-5320)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 no verifica adecuadamente el secreto compartido utilizado en conexiones esclavo JNLP, lo que permite a atacantes remotos conectar como esclavos y obtener información sensible o posiblemente obtener acceso administrativo aprovechando el conocimiento del nombre de un esclavo.
Vulnerabilidad en Jenkins y LTS (CVE-2015-5326)
Gravedad:
MediaMedia
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
Vulnerabilidad de XSS en la página de vista general de esclavos en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permite a usuarios remotos autenticados con ciertos permisos inyectar secuencias de comandos web o HTML arbitrarios a través del mensaje de estado del esclavo fuera de línea.
Vulnerabilidad en el subsistema Jenkins CLI en Jenkins y LTS (CVE-2015-8103)
Gravedad:
AltaAlta
Publication date: 25/11/2015
Last modified:
17/12/2019
Descripción:
El subsistema Jenkins CLI en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permite a atacantes remotos ejecutar código arbitrario a través de un objeto Java serializado manipulado, relacionado con una problemática de archivo webapps/ROOT/WEB-INF/lib/commons-collections-*.jar y la 'variante Groovy en 'ysoserial''.
Vulnerabilidad en Red Hat OpenShift Enterprise y OpenShift Origin (CVE-2014-0233)
Gravedad:
MediaMedia
Publication date: 16/11/2014
Last modified:
17/12/2019
Descripción:
Red Hat OpenShift Enterprise 2.0 y 2.1 y OpenShift Origin permite a usuarios remotos autenticados ejecutar comandos arbitrarios a través de meta-caracteres de shell en el nombre del directorio referenciado por un cartucho (cartridge), usando el fichero : URI scheme.
Vulnerabilidad en Red Hat OpenShift Enterprise (CVE-2014-3602)
Gravedad:
BajaBaja
Publication date: 13/11/2014
Last modified:
17/12/2019
Descripción:
Red Hat OpenShift Enterprise anterior a 2.2 permite a usuarios locales obtener direcciones IP y otra información para sistemas remotos mediante la lectura de /proc/net/tcp.
Vulnerabilidad en Red Hat OpenShift Enterprise (CVE-2014-3674)
Gravedad:
AltaAlta
Publication date: 13/11/2014
Last modified:
17/12/2019
Descripción:
Red Hat OpenShift Enterprise anterior a 2.2 no restringe debidamente el acceso a gears, lo que permite a atacantes remotos acceder a los recursos de red de gears arbitrarios a través de vectores no especificados.
Vulnerabilidad en Oracle MySQL Server. (CVE-2014-6520)
Gravedad:
MediaMedia
Publication date: 15/10/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en Oracle MySQL Server 5.5.38 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores relacionados con SERVER:DDL.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2014-4243)
Gravedad:
BajaBaja
Publication date: 17/07/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.5.35 y anteriores y 5.6.15 y anteriores permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores relacionados con ENFED.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2014-4258)
Gravedad:
MediaMedia
Publication date: 17/07/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.5.37 y anteriores y 5.6.17 y anteriores permite a usuarios remotos autenticados afectar la confidencialidad, integridad y disponibilidad a través de vectores relacionados con SRINFOSC.
CVE-2014-4260
Gravedad:
MediaMedia
Publication date: 17/07/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.5.37 y anteriores y 5.6.17 y anteriores, permite a usuarios remotos autenticados afectar la integridad y disponibilidad a través de vectores relacionados con SRCHAR.
Vulnerabilidad en cartridge_repository.rb en OpenShift Origin and Enterprise (CVE-2014-3496)
Gravedad:
AltaAlta
Publication date: 20/06/2014
Last modified:
17/12/2019
Descripción:
cartridge_repository.rb en OpenShift Origin and Enterprise 1.2.8 hasta 2.1.1 permite a atacantes remotos ejecutar comandos arbitrarios a través de metacaracteres de shell en una Url de fuente que termina con una extensión de fichero (1) .tar.gz, (2) .zip, (3) .tgz o (4) .tar en un fichero del manifiesto de cartuchos.
Vulnerabilidad en Oracle MySQL Server (CVE-2014-2419)
Gravedad:
MediaMedia
Publication date: 16/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server 5.5.35 y anteriores y 5.6.15 y anteriores, permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con la partición.
Vulnerabilidad en Oracle MySQL Server (CVE-2014-2430)
Gravedad:
BajaBaja
Publication date: 16/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server 5.5.36 y anteriores y 5.6.16 y anteriores, permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Performance Schema.
Vulnerabilidad en Oracle MySQL Server (CVE-2014-2431)
Gravedad:
BajaBaja
Publication date: 16/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server 5.5.36 y anteriores y 5.6.16 y anteriores, permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con las opciones.
Vulnerabilidad en el componente de Oracle de MySQL Server (CVE-2014-2432)
Gravedad:
BajaBaja
Publication date: 16/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de Oracle MySQL Server 5.5.35 y anteriores y 5.6.15 y anteriores, permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Federated.
Vulnerabilidad en Oracle MySQL Server (CVE-2014-2436)
Gravedad:
MediaMedia
Publication date: 16/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server 5.5.36 y anteriores y 5.6.16 y anteriores, permite a usuarios remotos autenticados afectar a confidencialidad, integridad y disponibilidad a través de vectores relacionados con RBR.
Vulnerabilidad en Oracle MySQL Server (CVE-2014-2438)
Gravedad:
BajaBaja
Publication date: 16/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server 5.5.35 y anteriores y 5.6.15 y anteriores, permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Replication.
Vulnerabilidad en el componente MySQL Client en Oracle MySQL (CVE-2014-2440)
Gravedad:
MediaMedia
Publication date: 16/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Client en Oracle MySQL 5.5.36 y anteriores y 5.6.16 y anteriores, permite a atacantes remotos afectar la confidencialidad, integridad y disponibilidad a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2014-0384)
Gravedad:
MediaMedia
Publication date: 15/04/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.5.35 y anteriores y 5.6.15 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores relacionados con XML.
Vulnerabilidad en Oracle MySQL y MariaDB (CVE-2014-0001)
Gravedad:
AltaAlta
Publication date: 31/01/2014
Last modified:
17/12/2019
Descripción:
Desbordamiento de buffer en client/mysql.cc en Oracle MySQL y MariaDB anterior a 5.5.35 permite a servidores de bases de datos remotos causar una denegación de servicio (caída) y posiblemente ejecutar código arbitrario a través de una cadena de versión del servidor larga.
Vulnerabilidad en Oracle MySQL (CVE-2014-0420)
Gravedad:
BajaBaja
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL 5.534 y anteriores, y 5.6.14 y anteriores permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Replication.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2013-5891)
Gravedad:
MediaMedia
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MYSQL 5.5.33 y anteriores y 5.6.13 y anteriores permite a usuarios autenticados remotamente afectar a la disponibilidad a través de vectores desconocidos relacionados con "Partition".
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2013-5908)
Gravedad:
BajaBaja
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.1.72 y anteriores, 5.5.34 y anteriores, y 5.6.14 y anteriores permite a atacantes remotos afectar a la disponibilidad a través de vectores desconocidos relacionados con Error Handling.
Vulnerabilidad en Oracle MySQL (CVE-2014-0386)
Gravedad:
MediaMedia
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de servidor MySQL en Oracle MySQL 5.1.71 y anteriores, 5.5.33 y anteriores, y 5.6.13 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con Optimizer.
Vulnerabilidad en Oracle MySQL (CVE-2014-0393)
Gravedad:
BajaBaja
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL 5.1.71 y anteriores, 5.5.33 y anteriores y 5.6.13 y anteriores permite a usuarios remotos autenticados afectar la integridad a través de vectores desconodidos relacionados con InnoDB.
Vulnerabilidad en Oracle MySQL (CVE-2014-0401)
Gravedad:
MediaMedia
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.1.72 y anteriores, 5.5.34 y anteriores, y 5.6.14 y anteriores que permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2014-0402)
Gravedad:
MediaMedia
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL 5.1.71 y anteriores, 5.5.33 y anteriores, y 5.6.13 y anteriores permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Locking.
Vulnerabilidad en Oracle MySQL (CVE-2014-0412)
Gravedad:
MediaMedia
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL 5.1.72 y anteriores, 5.5.34 y anteriores y 5.6.14 y anteriores permite a atacantes remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con InnoDB.
Vulnerabilidad en Oracle MySQL (CVE-2014-0437)
Gravedad:
BajaBaja
Publication date: 15/01/2014
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL 5.1.72 y anteriores, 5.5.34 y anteriores y 5.6.14 y anteriores permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Optimizer.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3805)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.5.30 y anteriores y 5.6.10 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Prepared Statements.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3809)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.5.31 y anteriores y 5.6.11 y anteriores, permite a usuarios autenticados remotamente comprometer la integridad a través de vectores relacionados con Audit Log.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3783)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.3.31 y anteriores permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores desconocidos relacionados con el Server Parser.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3793)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.6.11 y anteriores y 5.5.31 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Data Manipulation Language.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3794)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.6.10 y anteriores y 5.5.30 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Server Partition.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3801)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.5.30 y anteriores y 5.6.10 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Server Options.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3802)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.5.31 y anteriores, 5.1.69 y anteriores y 5.6.11 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Server Full Text Search.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3804)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.5.31 y anteriores, 5.1.69 y anteriores y 5.6.11 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Server Optimizer.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3808)
Gravedad:
MediaMedia
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.5.30 y anteriores, 5.1.68 y anteriores y 5.6.10 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Server Options.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2013-3812)
Gravedad:
BajaBaja
Publication date: 17/07/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente MySQL Server en Oracle MySQL 5.5.31 y anteriores y 5.6.11 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores relacionados con Server Replication.
Vulnerabilidad en Oracle MySQL (CVE-2013-2376)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL v5.5.30 y anteriores y v5.6.10 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con Stored Procedure.
Vulnerabilidad en Oracle MySQL (CVE-2013-2389)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en Oracle MySQL 5.1.68 y anteriores, 5.5.30 y anteriores y 5.6.10 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores desconocidos relacionados con InnoDB.
Vulnerabilidad en Oracle MySQL (CVE-2013-2391)
Gravedad:
BajaBaja
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en Oracle MySQL 5.1.18 y anteriores, 5.5.30 y anteriores y 5.6.10 y anteriores, permite a usuarios autenticados remotamente comprometer la confidencialidad e integridad a través de vectores desconocidos relacionados con Server Install.
Vulnerabilidad en Oracle MySQL (CVE-2013-2392)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en Oracle MySQL 5.1.68 y anteriores, 5.5.30 y anteriores y 5.6.10 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores desconocidos relacionados con Server Optimizer.
Vulnerabilidad en Oracle MySQL (CVE-2013-2378)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL v1.5.67 y anteriores, v5.5.29 y anteriores, y v5.6.10 y anteriores permite a usuarios remotos autenticados afectar la confidencialidad, integridad y disponibilidad a través de vectores desconocidos relacionados con el Information Schema.
Vulnerabilidad en Oracle MySQL (CVE-2013-1521)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL v5.1.67 y anteriores y v5.5.29 y anteriores permite a atacantes remotos afectar la integridad, confidencialidad y disponibilidad mediante vectores desconocidos relacionados con Server Locking.
Vulnerabilidad en Oracle MySQL (CVE-2013-1523)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL v5.5.29 y anteriores y v5.6.10 y anteriores permite a usuarios remotos autenticados afectar la confidencialidad, integridad y disponibilidad mediante vectores relacionados con Server Optimizer.
Vulnerabilidad en Oracle MySQL (CVE-2013-1548)
Gravedad:
BajaBaja
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL v5.1.63 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con Server Types.
Vulnerabilidad en Oracle MySQL (CVE-2013-1552)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL v1.5.67 y anteriores y v5.5.29 y anteriores permite a usuarios remotos autenticados afectar la confidencialidad, integridad y disponibilidad a través de vectores desconocidos.
Vulnerabilidad en la Partición de Servidor en MySQL de Oracle (CVE-2013-1555)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
La vulnerabilidad no especificada en MySQL de Oracle versión 5.1.67 y anteriores, y versión 5.5.29 y anteriores, permite a los usuarios autenticados remotos afectar a la disponibilidad por medio de vectores desconocidos relacionados con la Partición del Servidor.
Vulnerabilidad en Oracle MySQL (CVE-2013-1502)
Gravedad:
BajaBaja
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en Oracle MySQL 5.5.30 y anteriores y 5.6.9 y anteriores, permite a usuarios locales comprometer la disponibilidad a través de vectores relacionados con Server Partition.
Vulnerabilidad en Oracle MySQL (CVE-2013-1506)
Gravedad:
BajaBaja
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en Oracle MySQL 5.1.67 y anteriores, 5.6.10 y anteriores y 5.5.29 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores no especificados relacionados con Server Locking.
Vulnerabilidad en Oracle MySQL (CVE-2013-1511)
Gravedad:
BajaBaja
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en Oracle MySQL 5.5.30 y anteriores, y 5.6.10 y anteriores, permite a usuarios autenticados remotamente comprometer la disponibilidad a través de vectores no especificados relacionados con InnoDB.
Vulnerabilidad en Oracle MySQL (CVE-2013-1512)
Gravedad:
MediaMedia
Publication date: 17/04/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el Oracle MySQL v5.5.29 y anteriores permite a usuarios remotos autenticados afectar la disponibilidad mediante vectores relacionados con Data Manipulation Language.
Vulnerabilidad en MySQL (CVE-2013-1492)
Gravedad:
AltaAlta
Publication date: 28/03/2013
Last modified:
17/12/2019
Descripción:
Desbordamiento de búfer en yaSSL, como se usa en MySQL v5.1.x hasta 5.1.68 y en v5.5.x antes de v5.5.30, tiene un impacto no especificado y vectores de ataque, una vulnerabilidad diferente a CVE-2012-0553.
Vulnerabilidad en yaSSL en MySQL (CVE-2012-0553)
Gravedad:
AltaAlta
Publication date: 28/03/2013
Last modified:
17/12/2019
Descripción:
Desbordamiento de búfer en yaSSL, usado en MySQL v5.1.x antes de v5.1.68 y v5.5.x antes de v5.5.28, tiene un impacto no especificado y vectores de ataque, una vulnerabilidad diferente a CVE-2013-1492.
Vulnerabilidad en Oracle MySQL (CVE-2012-1702)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente Server en Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores, permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-1705)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente Server en Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores, permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con el Server Optimizer.
Vulnerabilidad en Oracle MySQL (CVE-2012-5096)
Gravedad:
BajaBaja
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.5.28 y anteriores permite a usuarios remotos autenticados con los privilegios en el servidor afectar a la disponibilidad a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2013-0367)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.5.28 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con la partición de servidores.
Vulnerabilidad en Oracle MySQL (CVE-2013-0368)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.5.28 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con InnoDB.
Vulnerabilidad en Oracle MySQL (CVE-2013-0371)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.5.28 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad. Se trata de un problema relacionado con MyISAM.
Vulnerabilidad en Oracle MySQL (CVE-2013-0386)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.5.28 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con los procedimientos almacenados.
Vulnerabilidad en Oracle MySQL (CVE-2012-0572)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente Server en Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con InnoDB.
Vulnerabilidad en Oracle MySQL (CVE-2012-0574)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente Server en Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0578)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente Server en Oracle MySQL v5.5.28 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con "Server Optimizer".
Vulnerabilidad en Server en Oracle MySQL (CVE-2012-5060)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Vulnerabilidad sin especificar en el componente Server en Oracle MySQL v5.1.65 y anteriores y v5.5.27 y anteriores que permite a usuario autenticados de forma remota afectar a la disponibilidad en relación a la GIS Extension.
Vulnerabilidad en Oracle MySQL (CVE-2013-0383)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores, permite a atacantes remotos afectar a la disponibilidad a través de vectores desconocidos relacionados con el bloqueo del servidor.
Vulnerabilidad en Oracle MySQL (CVE-2013-0384)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores, permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con los esquemas de información.
Vulnerabilidad en Oracle MySQL (CVE-2013-0385)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores, permite a usuarios locales afectar la confidencialidad y la integridad a través de vectores desconocidos relacionados con un servidor de replicación (Replication Server).
Vulnerabilidad en Oracle MySQL (CVE-2013-0389)
Gravedad:
MediaMedia
Publication date: 16/01/2013
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente Servidor de Oracle MySQL v5.1.66 y anteriores y v5.5.28 y anteriores, permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con el optimizador del servidor
Vulnerabilidad en yaSSL (CVE-2012-0882)
Gravedad:
AltaAlta
Publication date: 21/12/2012
Last modified:
17/12/2019
Descripción:
Desbordamiento de búfer en yaSSL, como se usa en MySQL v5.5.20 y posiblemente otras versiones incluidas v5.5.x antes de v5.5.22 y y 5.1.x antes de v5.1.62, permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados, según lo demostrado por VulnDisco Paquete Profesional v9.17. NOTA: a partir de 20120224, esta revelación no tiene información procesable. Sin embargo, debido a que el autor del módulo es un investigador confiable, se ha asignado un identificador CVE al tema con fines de seguimiento. NOTA: debido a la falta de información, no está claro si este tema es un duplicado de CVE-2012-0492 CVE u otro.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3163)
Gravedad:
AltaAlta
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.64 y anteriores, y v5.5.26 y anteriores, permite a usuarios remotos autenticados a afectar la confidencialidad, integridad y disponibilidad a través de vectores desconocidos relacionados con Information Schema.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3173)
Gravedad:
MediaMedia
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.63 y anteriores, y v5.5.25 y anteriores, permite a usuarios remotos autenticados a afectar la disponibilidad a través de vectores desconocidos relacionados con InnoDB Plugin.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3180)
Gravedad:
MediaMedia
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.65 y anteriores, y v5.5.27 y anteriores, permite a usuarios remotos autenticados a afectar la disponibilidad a través de vectores desconocidos relacionados con Server Optimizer.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3166)
Gravedad:
MediaMedia
Publication date: 16/10/2012
Last modified:
06/08/2020
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.63 y anteriores, y v5.5.25 y anteriores, permite a usuarios remotos autenticados a afectar la disponibilidad a través de vectores desconocidos relacionados con InnoDB.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3177)
Gravedad:
MediaMedia
Publication date: 16/10/2012
Last modified:
05/08/2020
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.65 y anteriores, y v5.5.27 y anteriores, permite a usuarios remotos autenticados a afectar la disponibilidad a través de vectores desconocidos relacionados con Server.
Vulnerabilidad en Oracle MySQL (CVE-2012-3197)
Gravedad:
BajaBaja
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de MySQL Server en Oracle MySQL v5.1.64 y anteriores, y v5.5.26 y anteriores, permite a usuarios autenticados remotamente afectar a la disponibilidad a través de vectores desconocidos relacionados con Server Replication.
Vulnerabilidad en componente MySQL Serve en Oracle MySQL (CVE-2012-3144)
Gravedad:
MediaMedia
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Serve en Oracle MySQL v5.5.26 y anteriores permite a usuarios remotos autenticados afectar la disponibilidad mediante vectores relacionados con Server.
Vulnerabilidad en Oracle MySQL (CVE-2012-3147)
Gravedad:
MediaMedia
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de MySQL Server v5.5.26 y anteriores de Oracle MySQL, permite a usuarios remotos autenticados afectar a la integridad y disponibilidad, relacionado con MySQL Client.
Vulnerabilidad en Oracle MySQL (CVE-2012-3149)
Gravedad:
BajaBaja
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de MySQL Server v5.5.26 y anteriores de Oracle MySQL, permite a usuarios remotos autenticados afectar a la confidencialidad, relacionado con MySQL Client.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3156)
Gravedad:
BajaBaja
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.5.25 y anteriores, permite a usuarios remotos autenticados a afectar la disponibilidad a través de vectores desconocidos relacionados con Server.
Vulnerabilidad en Oracle MySQL (CVE-2012-3150)
Gravedad:
MediaMedia
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de MySQL Server de Oracle MySQL v5.1.64 y anteriores y 5.5.26 y anteriores, permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con el Server Optimizer.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3158)
Gravedad:
AltaAlta
Publication date: 16/10/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.64 y anteriores, y v5.5.26 y anteriores, permite a usuarios remotos autenticados a afectar la confidencialidad, integridad y disponibilidad a través de vectores desconocidos relacionados con Protocol.
Vulnerabilidad en MySQL Server en Oracle MySQL (CVE-2012-3160)
Gravedad:
BajaBaja
Publication date: 16/10/2012
Last modified:
05/08/2020
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.65 y anteriores, y v5.5.27 y anteriores, permite a usuarios locales a afectar la confidencialidad a través de vectores desconocidos relacionados con Server Installation.
Vulnerabilidad en MySQL (CVE-2012-2750)
Gravedad:
AltaAlta
Publication date: 16/08/2012
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en MySQL v5.5.x antes de v5.5.23 tiene un impacto y vectores de ataque desconocidos relacionados con una "revisión de seguridad". Se trata de un problema también conocido como Bug #59533. NOTA: este podría ser un duplicado de CVE-2012-1689, pero a 16/08/2012, Oracle no se ha pronunciado sobre esta posibilidad.
Vulnerabilidad en MySQL (CVE-2009-5026)
Gravedad:
MediaMedia
Publication date: 16/08/2012
Last modified:
17/12/2019
Descripción:
La característica de comentarios ejecutables en MySQL v5.0.x antes de v5.0.93 y v5.1.x antes de v5.1.50, cuando se ejecuta con ciertas configuraciones de esclavos en la que el esclavo está ejecutando una versión más reciente que el maestro, permite a atacantes remotos ejecutar comandos SQL a través de comentarios personalizados.
Vulnerabilidad en MySQL (CVE-2012-2102)
Gravedad:
BajaBaja
Publication date: 16/08/2012
Last modified:
17/12/2019
Descripción:
MySQL v5.1.x antes de v5.1.62 y v5.5.x antes de v5.5.22 permite a usuarios remotos autenticados provocar una denegación de servicio (error de aserción y parada no ordenada de mysqld) mediante la supresión de un registro y usando 'HANDLER READ NEXT'.
Vulnerabilidad en MySQL (CVE-2012-2749)
Gravedad:
MediaMedia
Publication date: 16/08/2012
Last modified:
17/12/2019
Descripción:
MySQL v5.1.x antes de v5.1.63 y v5.5.x antes de v5.5.24 permite a usuarios remotos autenticados causar una denegación de servicio (por caída de mysqld) a través de vectores relacionados con un cálculo incorrecto y un índice de orden de clasificación.
Vulnerabilidad en Oracle MySQL Server (CVE-2012-1757)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server v5.5.23 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con InnoDB.
Vulnerabilidad en Oracle MySQL Server (CVE-2012-0540)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server v5.1.62 y anteriores y v5.5.23 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad, en relación a la extensión SIG.
Vulnerabilidad en Oracle MySQL Server (CVE-2012-1734)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server v5.1.62 y v5.5.23 y anteriores, permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con el Optimizador de servidor.
Vulnerabilidad en Oracle MySQL Server (CVE-2012-1735)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server v5.5.23 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con el Optimizador de servidor.
Vulnerabilidad en Oracle MySQL Server (CVE-2012-1689)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server v5.1.62 y anteriores, y v5.5.22 y anteriores, permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con el Optimizador de servidor.
Vulnerabilidad en Oracle MySQL Server (CVE-2012-1756)
Gravedad:
MediaMedia
Publication date: 17/07/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en Oracle MySQL Server v5.5.23 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2012-1690)
Gravedad:
MediaMedia
Publication date: 03/05/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.1.61 y versiones anteriores y 5.5.21 y versiones anteriores, permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Server Optimizer, una vulnerabilidad diferente a CVE-2012-1703.
Vulnerabilidad en componente de servidor MySQL (CVE-2012-1697)
Gravedad:
MediaMedia
Publication date: 03/05/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de servidor MySQL en Oracle MySQL v5.5.21 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con la partición.
Vulnerabilidad en el componente MySQL Server en Oracle MySQL (CVE-2012-1703)
Gravedad:
MediaMedia
Publication date: 03/05/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL 5.1.61 y versiones anteriores y 5.5.21 y versiones anteriores, permite a usuarios remotos autenticados afectar la disponibilidad a través de vectores desconocidos relacionados con Server Optimizer, una vulnerabilidad diferente a CVE-2012-1690.
Vulnerabilidad en MySQL Server (CVE-2012-0583)
Gravedad:
MediaMedia
Publication date: 03/05/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.60 y anteriores, y v5.5.19 y anteriores, que permite a usuarios remotos autenticados afectar la disponibilidad, relacionado con MyISAM.
Vulnerabilidad en MySQL Server (CVE-2012-1688)
Gravedad:
MediaMedia
Publication date: 03/05/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server en Oracle MySQL v5.1.61 y anteriores, y v5.5.21 y anteriores, que permite a usuarios remotos autenticados afectar la disponibilidad, relacionado con Server DML.
Vulnerabilidad en componente de servidor MySQL (CVE-2012-1696)
Gravedad:
MediaMedia
Publication date: 03/05/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de servidor MySQL en Oracle MySQL v5.5.19 y anteriores permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos relacionados con el Optimizador de servidor.
Vulnerabilidad en Oracle MySQL (CVE-2011-2262)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a atacantes remotos afectar a la disponibilidad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0115)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0112, CVE-2012-0119, CVE-2012-0120, CVE-2012-0485 y CVE-2012-0492.
Vulnerabilidad en Oracle MySQL (CVE-2012-0117)
Gravedad:
BajaBaja
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0486, CVE-2.012 a 0.487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0491, CVE-2012-0493 y CVE-2012-0495.
Vulnerabilidad en Oracle MySQL (CVE-2012-0484)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.0.x, v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la confidencialidad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0485)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los CVEs: CVE-2012-0112, CVE-2012-0115, CVE-2012-0119, CVE-2012-0120 y CVE-2012-0492.
Vulnerabilidad en Oracle MySQL (CVE-2012-0486)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los CVEs: CVE-2012-0117, CVE-2.012 a 0.487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0491, CVE-2012-0493 y CVE-2012-0495.
Vulnerabilidad en Oracle MySQL (CVE-2012-0487)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los CVEs: CVE-2012-0117, CVE-2012-0486, CVE-2012-0488, CVE-2012-0489, CVE-2012-0491, CVE-2012-0493 y CVE-2012-0495.
Vulnerabilidad en Oracle MySQL (CVE-2012-0488)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0117, CVE -2012-0486, CVE-2012-0487, CVE-2012-0489, CVE-2012-0491, CVE-2012-0493 y CVE-2012-0495.
Vulnerabilidad en Oracle MySQL (CVE-2012-0489)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0117, CVE-2012-0486, CVE-2012-0,487, CVE-2012-0488, CVE-2012-0491, CVE-2012-0493 y CVE-2012-0495.
Vulnerabilidad en Oracle MySQL (CVE-2012-0490)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en componente MySQL Server de Oracle MySQL v5.0.x, v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0491)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0117, CVE-2012-0486, CVE-2012-0,487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0493 y CVE-2012-0495.
Vulnerabilidad en Oracle MySQL (CVE-2012-0492)
Gravedad:
BajaBaja
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0112, CVE-2012-0115, CVE-2012-0119, CVE-2012-0120 y CVE-2012-0485.
Vulnerabilidad en Oracle MySQL (CVE-2012-0493)
Gravedad:
BajaBaja
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Una vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a los siguientes CVEs: CVE-2012-0117, CVE-2012-0486, CVE-2012-0,487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0491 y CVE-2012-0495.
Vulnerabilidad en Oracle MySQL (CVE-2012-0494)
Gravedad:
BajaBaja
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios locales afectar a la disponibilidad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0495)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0117, CVE-2012-0486, CVE-2012-0,487, CVE-2012-0488, CVE-2012-0489, CVE-2012-0491 y CVE-2012-0493.
Vulnerabilidad en Oracle MySQL (CVE-2012-0496)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.5.x permite a usuarios remotos autenticados afectar a la confidencialidad y la integridad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0075)
Gravedad:
BajaBaja
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.0.x, v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la integridad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0087)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.0.x y v5.1.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a la de los CVEs: CVE-2012-0101 y CVE-2012-0102.
Vulnerabilidad en Oracle MySQL (CVE-2012-0101)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.0.x y v5.1.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a la de los CVEs: CVE-2012-0087 y CVE-2012-0102.
Vulnerabilidad en Oracle MySQL (CVE-2012-0102)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.0.x y v5.1.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a los CVEs: CVE-2012-0087 y CVE-2012-0101.
Vulnerabilidad en Oracle MySQL (CVE-2012-0112)
Gravedad:
BajaBaja
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los siguientes CVEs: CVE-2012-0115, CVE-2012-0119, CVE-2012-0120, CVE-2012-0485 y CVE-2012-0492.
Vulnerabilidad en Oracle MySQL (CVE-2012-0113)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la confidencialidad y a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a la CVE-2012-0118.
CVE-2012-0114
Gravedad:
BajaBaja
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.0.x, v5.1.x y v5.5.x permite a usuarios locales afectar a la confidencialidad y a la integridad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0116)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la confidencialidad y la integridad de los datos a través de vectores desconocidos.
Vulnerabilidad en Oracle MySQL (CVE-2012-0118)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente de MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la confidencialidad y la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a la CVE-2012-0113.
Vulnerabilidad en Oracle MySQL (CVE-2012-0119)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los CVEs: CVE-2012-0112, CVE-2012-0115, CVE-2012-0120, CVE-2012-0485 y CVE-2012-0492.
Vulnerabilidad en Oracle MySQL (CVE-2012-0120)
Gravedad:
MediaMedia
Publication date: 18/01/2012
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en el componente MySQL Server de Oracle MySQL v5.1.x y v5.5.x permite a usuarios remotos autenticados afectar a la disponibilidad de los datos a través de vectores desconocidos. Se trata de una vulnerabilidad diferente a las de los CVEs: CVE-2012-0112, CVE-2012-0115, CVE-2012-0119, CVE-2012-0485 y CVE-2012-0492.
Vulnerabilidad en MySQL (CVE-2011-5049)
Gravedad:
MediaMedia
Publication date: 04/01/2012
Last modified:
17/12/2019
Descripción:
MySQL v5.5.8, cuando se ejecuta en Windows, permite a atacantes remotos provocar una denegación de servicio (desreferencia de puntero nulo) a través de un paquete modificado al puerto TCP 3306
Vulnerabilidad en MySQL (CVE-2010-3835)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
MySQL versiones 5.1 anteriores a 5.1.51 y versiones 5.5 anteriores a 5.5.6, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del servidor mysqld) mediante la realización de una asignación de variable de usuario en una expresión lógica que se calcula y almacena en una tabla temporal para GROUP BY y, entonces causar que sea usado el valor de la expresión después de crear la tabla, lo que causa que la expresión se vuelva a evaluar en lugar de tener acceso a su valor desde la tabla.
Vulnerabilidad en Gestor de Bases de Datos MySQL (CVE-2010-3839)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
MySQL v5.1 antes de v5.1.51 y v5.5 antes de v5.5.6 permite a usuarios remotos autenticados causar una denegación de servicio (por un bucle infinito) a través de varias invocaciones de (1) un procedimiento preparado o (2) un procedimiento almacenado que crea una consulta con JOINs anidados .
Vulnerabilidad en La función Gis_line_string::init_from_wkb (CVE-2010-3840)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
La función Gis_line_string::init_from_wkb en el archivo sql/spatial.cc en MySQL versiones 5.1 anteriores a 5.1.51, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del servidor) mediante el llamado a la función PolyFromWKB con datos Well-Known Binary (WKB) que contienen un número especialmente diseñado de (1) cadenas de línea o (2) puntos de línea.
Vulnerabilidad en Gestor de Bases de Datos MySQL (CVE-2010-3834)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
Vulnerabilidad no especificada en MySQL v5.0 antes de v5.0.92, v5.1 antes de v5.1.51, y v5.5 antes de v5.5.6 permite a usuarios remotos autenticados causar una denegación de servicio (por caída del servidor) a través de vectores relacionados con la materialización de una tabla derivada que requiere una tabla temporal para la agrupación y también relacionados con las asignaciones de variables de usuario.
Vulnerabilidad en Gestor de Bases de Datos MySQL (CVE-2010-3836)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
MySQL v5.0 antes de v5.0.92, v5.1 antes de v5.1.51, y v5.5 antes de v5.5.6 permite a usuarios remotos autenticados causar una denegación de servicio (por un error de aserción y consiguiente caída del servidor) a través de vectores relacionados con la preparación de una vista, pre-evaluación de predicados LIKE, y Optimizadores IN.
Vulnerabilidad en Gestor de Bases de Datos MySQL (CVE-2010-3837)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
MySQL v5.0 antes de v5.0.92, v5.1 antes de v5.1.51, y v5.5 antes de v5.5.6 permiten a usuarios remotos autenticados causar una denegación de servicio (por caída del servidor) a través de una declaración preparada que utiliza GROUP_CONCAT con el modificador WITH ROLLUP, probablemente provocando un error de uso después de liberación un objeto copiado es modificado, de tal manera que también afecta al objeto original.
Vulnerabilidad en Gestor de Bases de Datos MySQL (CVE-2010-3838)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
MySQL v5.0 antes de v5.0.92, v5.1 antes de v5.1.51, y v5.5 antes de v5.5.6 permite a usuarios remotos autenticados causar una denegación de servicio (por caída del servidor) a través de una consulta que utiliza el las funciones (1) GREATEST o (2) LEAST con una lista de argumentos numéricos y LONGBLOB, que no son correctamente manipulados cuando el resultado de la función es procesado utilizando una tabla temporal intermedia.
Vulnerabilidad en Gestor de Bases de Datos MySQL (CVE-2010-3833)
Gravedad:
MediaMedia
Publication date: 14/01/2011
Last modified:
17/12/2019
Descripción:
MySQL v5.0 antes de v5.0.92, v5.1 antes de v5.1.51, y v5.5 antes de v5.5.6 no propaga adecuadamente los errores de tipo, lo cual permite provocar a atacantes remotos una denegación de servicio (por caída del servidor) a través de argumentos especiales a las funciones de valores extremos, tales como (1) LEAST y (2) GREATEST, relacionados con KILL_BAD_DATA y un "CREATE TABLE ... SELECT ...."
Vulnerabilidad en MySQL de Oracle (CVE-2010-3676)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
El archivo storage/innobase/dict/dict0crea.c en mysqld en MySQL de Oracle versiones 5.1 anteriores a 5.1.49, permite a los usuarios autenticados remotos causar una denegación de servicio (fallo de aserción) mediante la modificación de la configuración de los parámetros (1) innodb_file_format o (2) innodb_file_per_table por el motor de almacenamiento InnoDB y, a continuación, ejecutar una declaración DDL.
Vulnerabilidad en MySQL de Oracle (CVE-2010-3677)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
MySQL de Oracle versiones 5.1 anteriores a 5.1.49 y versiones 5.0 anteriores a 5.0.92, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del demonio de mysqld) por medio de una consulta join que utiliza una tabla con una columna SET única.
Vulnerabilidad en MySQL de Oracle (CVE-2010-3678)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
MySQL de Oracle versiones 5.1 anteriores a 5.1.49, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo) por medio de operaciones (1) IN o (2) CASE con argumentos NULL que son especificados explícitamente o indirectamente proporcionados por el modificador WITH ROLLUP.
Vulnerabilidad en Oracle MySQL (CVE-2010-3679)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
Oracle MySQL 5.1 ersiones anteriores a la 5.1.49 permite a los usuarios autenticados remotos provocar una denegación de servicio (bloqueo del demonio mysqld) a través de ciertos argumentos al comando BINLOG, que desencadena un acceso a la memoria no inicializada, como lo demuestra valgrind.
Vulnerabilidad en MySQL de Oracle (CVE-2010-3680)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
MySQL de Oracle versiones 5.1 anteriores a 5.1.49, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del demonio mysqld) mediante la creación de tablas temporales con columnas que aceptan valores NULL mientras se utiliza InnoDB, que desencadena un fallo de aserción.
Vulnerabilidad en MySQL de Oracle (CVE-2010-3682)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
MySQL de Oracle versiones 5.1 anteriores a 5.1.49 y versiones 5.0 anteriores a 5.0.92, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del demonio mysqld) mediante el uso de EXPLAIN con declaraciones especialmente diseñadas "SELECT ... UNION ... ORDER BY (SELECT ... WHERE ...)", que desencadena una desreferencia de puntero NULL en la función Item_singlerow_subselect::store.
Vulnerabilidad en MySQL de Oracle (CVE-2010-3683)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
MySQL de Oracle versiones 5.1 anteriores a 5.1.49 y versiones 5.5 anteriores a 5.5.5, envía un paquete OK cuando una petición LOAD DATA INFILE genera errores SQL, lo que permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del demonio mysqld) por medio de una petición especialmente diseñada.
Vulnerabilidad en MySQL de Oracle (CVE-2010-3681)
Gravedad:
MediaMedia
Publication date: 11/01/2011
Last modified:
17/12/2019
Descripción:
MySQL de Oracle versiones 5.1 anteriores a 5.1.49 y versiones 5.5 anteriores a 5.5.5, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo del demonio mysqld) mediante la interfaz HANDLER y realizar "alternate reads from two indexes on a table", lo que desencadena un fallo de aserción.
Vulnerabilidad en MySQL (CVE-2010-2008)
Gravedad:
BajaBaja
Publication date: 13/07/2010
Last modified:
17/12/2019
Descripción:
MySQL anterior a v5.1.48 permite a usuarios autenticados remotamente con privilegios de modificación en la base de datos provocar una denegación de servicio (caída de servidor y pérdida de la base de datos) a través del comando "ALTER DATABASE" con una cadena #mysql50# seguida de un ..(punto punto), ../ (punto punto barra) o secuencia similar, y un comando "UPGRADE DATA DIRECTORY NAME", lo que provoca que MySQL mueva ciertos directorios al directorio del servidor de datos.
Vulnerabilidad en my_net_skip_rest en sqlnet_serv.cc en MySQL (CVE-2010-1849)
Gravedad:
MediaMedia
Publication date: 07/06/2010
Last modified:
17/12/2019
Descripción:
La función my_net_skip_rest en sql/net_serv.cc en MySQL v5.0 a v5.0.91 y v5.1 antes de v5.1.47 permite a atacantes remotos provocar una denegación de servicio (mediante excesivo consumo de CPU y ancho de banda) mediante el envío de una gran cantidad de paquetes que exceden la longitud máxima.
Vulnerabilidad en MySQL (CVE-2010-1848)
Gravedad:
MediaMedia
Publication date: 07/06/2010
Last modified:
17/12/2019
Descripción:
Vulnerabilidad de salto de directorio en MySQL v5.0 hasta v5.0.91 y v5.1 anteriores a v5.1.47 permite a usuarios autenticados remotamente saltarse tablas establecidas permitiendo leer definiciones de campos de tablas de su elección, y sobre v5.1 leer o eliminar contenido de tablas de su elección, a través de .. (punto punto) en un nombre de tabla.
Vulnerabilidad en Servidor de Base de Datos MySQL (CVE-2010-1850)
Gravedad:
MediaMedia
Publication date: 07/06/2010
Last modified:
17/12/2019
Descripción:
Un desbordamiento de búfer en MySQL v5.0 a v5.0.91 y v5.1 antes de v5.1.47 permite ejecutar código de su elección a usuarios remotos autenticados mediante un comando COM_FIELD_LIST con un nombre de tabla larga.
Vulnerabilidad en MySQL (CVE-2010-1626)
Gravedad:
BajaBaja
Publication date: 21/05/2010
Last modified:
17/12/2019
Descripción:
MySQL en versiones anteriores a la v5.1.46 permite a los usuarios locales borrar los datos e índices de ficheros de tablas MyISAM de otros usuarios a través de un ataque de enlace simbólico junto con un comando DROP TABLE, una vulnerabilidad diferente a la CVE-2008-4098 y CVE-2008-7247.
Vulnerabilidad en TaoCrypt en yaSSL usado en mysqld de MySQL (CVE-2009-4484)
Gravedad:
AltaAlta
Publication date: 30/12/2009
Last modified:
17/12/2019
Descripción:
Múltiples desbordamientos de búfer en la región stack de la memoria en la función CertDecoder::GetName en el archivo src/asn.cpp en TaoCrypt en yaSSL anterior a versión 1.9.9, tal como es usado en mysqld en MySQL versiones 5.0.x anteriores a 5.0.90, MySQL versiones 5.1.x anteriores a 5.1.43, MySQL versiones 5.5.x hasta 5.5.0-m2, y otros productos, permiten a los atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (corrupción de memoria y bloqueo de demonio) mediante el establecimiento de una conexión SSL y enviando un certificado de cliente X.509 con un campo de nombre especialmente diseñado, como es demostrado por mysql_overflow1.py y el módulo vd_mysql5 en VulnDisco Pack Professional versión 8.11. NOTA: esto se informó originalmente para MySQL versión 5.0.51a.
Vulnerabilidad en MySQL (CVE-2009-4028)
Gravedad:
MediaMedia
Publication date: 30/11/2009
Last modified:
17/12/2019
Descripción:
La función vio_verify_callback en vio_verify_callback de MySQL v5.0.x anteriores a v5.0.88 y v5.1.x anteriores a v5.1.41, cuando utiliza OpenSSL, acepta un valor cero para la profundidad de los certificados X.509, permitiendo a atacantes de hombre en medio (man-in-the-middle) suplantar servidores MySQL de su elección basados en SSL mediante un certificado creado específicamente, como se ha demostrado por un certificado presentado por un servidor vinculado con la biblioteca yaSSL.
Vulnerabilidad en MySQL (CVE-2009-4030)
Gravedad:
MediaMedia
Publication date: 30/11/2009
Last modified:
17/12/2019
Descripción:
MySQL v5.1.x anteriores a v5.1.41 permite a usuarios locales evitar ciertas comprobaciones de privilegios invocando CREATE TABLE en una tabla MyISAM con los argumentos (1) DATA DIRECTORY o (2) INDEX DIRECTORY modificados que estan originariamente asociados con pathnames (rutas) sin symlinks, y que pueden apuntar a tables creadas en un futuro en el cual un pathname (ruta) es modificado para contener un symlink a un subdirectorio del directorio home de datos de MySQL. Vulnerabilidad relacionada con una cálculo incorrecto del valor mysql_unpacked_real_data_home value. NOTA: esta vulnerabilidad existe debido a una solución incompleta al CVE-2008-4098 y CVE-2008-2079.
Vulnerabilidad en MySQL (CVE-2008-7247)
Gravedad:
MediaMedia
Publication date: 30/11/2009
Last modified:
17/12/2019
Descripción:
sql/sql_table.cc en MySQL v5.0.x hasta la v5.0.88, v5.1.x hasta la v5.1.41, y v6.0 anteriores a v6.0.9-alpha, cuando el directorio de datos "home" contiene un enlace simbólico a un sistema de ficheros diferente, permite a usuarios autenticados remotamente saltar las restricciones de acceso implementadas al invocar CREATE TABLE con un argumento (1) DATA DIRECTORY o (2) INDEX DIRECTORY referido a un subdirectorio que requiera el seguimiento de este enlace simbólico.
Vulnerabilidad en MySQL (CVE-2009-4019)
Gravedad:
MediaMedia
Publication date: 30/11/2009
Last modified:
17/12/2019
Descripción:
mysqld en MySQL v5.0.x anteriores a v5.0.88 y v5.1.x anteriores a v5.1.41 no (1) maneja apropiadamente los errores durante la ejecución de determinadas peticiones SELECT con subpeticiones, y no (2) preserva determinadas "flags" (opciones) null_value durante la ejecución de peticiones que usan la función GeomFromWKB; lo que permite a usuarios autenticados remotos provocar una denegación de servicio (caída del demonio) a través de una petición modificada.
Vulnerabilidad en libmysqldsql_parse.cc en mysqld de MySQL (CVE-2009-2446)
Gravedad:
AltaAlta
Publication date: 13/07/2009
Last modified:
17/12/2019
Descripción:
Múltiples vulnerabilidades de formato de cadena en la función dispatch_command en libmysqld/sql_parse.cc en mysqld de MySQL v4.0.0 hasta v5.0.83 permiten a usuarios remotos autenticados causar una denegación de servicio (mediante caída del demonio) y, posiblemente otros efectos no especificados, a través de especificadores de formato de cadena en el nombre de base de datos en una petición (1) COM_CREATE_DB o (2) COM_DROP_DB. NOTA: Algunos de estos detalles se obtienen a partir de información de terceros.
Vulnerabilidad en MySQL (CVE-2009-0819)
Gravedad:
MediaMedia
Publication date: 04/03/2009
Last modified:
17/12/2019
Descripción:
El archivo sql/item_xmlfunc.cc en MySQL versiones 5.1 anteriores a 5.1.32 y versiones 6.0 anteriores a 6.0.10, permite a los usuarios autenticados remotos causar una denegación de servicio (bloqueo) por medio de "an XPath expression employing a scalar expression as a FilterExpr with ExtractValue() or UpdateXML()," que desencadena un fallo de aserción.
Vulnerabilidad en cliente command-line en MySQL v5.0.26 a la v5.0.45 (CVE-2008-4456)
Gravedad:
BajaBaja
Publication date: 06/10/2008
Last modified:
17/12/2019
Descripción:
Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en el cliente command-line en MySQL v5.0.26 a la v5.0.45, cuando la opción --html está activa, permite a los atacantes inyectar web script o HTML de su elección colocándolo en una celda de la base de datos, a la que puede acceder el cliente al comoponer un documento HTML.
Vulnerabilidad en Sistema de Gestión de Bases de Datos MySQL (CVE-2008-4098)
Gravedad:
MediaMedia
Publication date: 18/09/2008
Last modified:
17/12/2019
Descripción:
MySQL anterior a 5.0.67, permite a usuarios locales evitar determinadas comprobaciones de privilegios haciendo una llamada CREATE TABLE en una tabla MyISAM que modifica los argumentos (1) DATA DIRECTORY o (2) INDEX DIRECTORY que están asociados originalmente con los nombres de ruta (pathname) sin enlaces simbólicos, y que pueden apuntar a tablas creadas después de que un nombre de ruta sea modificado para tener un enlace simbólico a un subdirectorio del directorio de datos inicial de MySQL. NOTA: esta vulnerabilidad es debida a que no se solucionó completamente la vulnerabilidad CVE-2008-4097.
Vulnerabilidad en MySQL (CVE-2008-3963)
Gravedad:
MediaMedia
Publication date: 10/09/2008
Last modified:
17/12/2019
Descripción:
MySQL versiones 5.0 anteriores a 5.0.66, versiones 5.1 anteriores a 5.1.26 y versiones 6.0 anteriores a 6.0.6, no maneja apropiadamente un token b'' (b comilla simple comilla simple), también se conoce como literal de cadena de bits vacía, que permite a los atacantes remotos causar una denegación de servicio (bloqueo del demonio) mediante el uso de este token en una sentencia SQL.
Vulnerabilidad en MySQL, evitación de comprobaciones de privilegios (CVE-2008-2079)
Gravedad:
MediaMedia
Publication date: 05/05/2008
Last modified:
17/12/2019
Descripción:
MySQL 4.1.x anterior a 4.1.24, 5.0.x antes de 5.0.60, 5.1.x anterior a 5.1.24 y 6.0.x antes de 6.0.5 permite a usuarios locales evitar ciertas comprobaciones de privilegios llamando a CREATE TABLE en una tabla MyISAM con argumentos (1) DATA DIRECTORY or (2) INDEX DIRECTORY modificados que están dentro del directorio MySQL home data, que puede apuntar a tablas que se crearán en el futuro.
Vulnerabilidad en Desbordamientos de búfer en yaSSL (CVE-2008-0226)
Gravedad:
AltaAlta
Publication date: 10/01/2008
Last modified:
17/12/2019
Descripción:
Múltiples desbordamientos de búfer en yaSSL 1.7.5 y anteriores, como el utilizado en MySQL y posiblemente otros productos, permite a atacantes remotos ejecutar código de su elección mediante (1) la función ProcessOldClientHello en handshake.cpp o (2) "input_buffer& operator>>" en yassl_imp.cpp.
Vulnerabilidad en sentencias CREATE SQL SECURITY DEFINER VIEW (CVE-2007-6303)
Gravedad:
BajaBaja
Publication date: 10/12/2007
Last modified:
17/12/2019
Descripción:
MySQL versiones 5.0.x anteriores a 5.0.51a, versiones 5.1.x anteriores a 5.1.23 y versiones 6.0.x anteriores a 6.0.4, no actualizan el valor DEFINER de una vista cuando se modifica la vista, lo que permite a usuarios remotos autenticados alcanzar privilegios por medio de una secuencia de sentencias, incluyendo una sentencia CREATE SQL SECURITY DEFINER VIEW y una sentencia ALTER VIEW.
Vulnerabilidad en consulta SHOW TABLE STATUS en el motor federated en MySQL (CVE-2007-6304)
Gravedad:
MediaMedia
Publication date: 10/12/2007
Last modified:
17/12/2019
Descripción:
El motor federated en MySQL versiones 5.0.x anteriores a 5.0.51a, versiones 5.1.x anteriores a 5.1.23 y versiones 6.0.x anteriores a 6.0.4, al realizar una determinada consulta SHOW TABLE STATUS, permite a los servidores MySQL remotos causar una denegación de servicio (bloqueo del manejador de federated y bloqueo del demonio) por medio de una respuesta que carece del número mínimo necesario de columnas.
Vulnerabilidad en Obtención de privilegios en MySQL 5.1.x (CVE-2007-5970)
Gravedad:
MediaMedia
Publication date: 10/12/2007
Last modified:
17/12/2019
Descripción:
MySQL 5.1.x versiones anteriores a 5.1.23, y 6.0.x versiones anteriores a 6.0.4, permite a usuarios remotos autenticados obtener privilegios en tablas de su elección mediante vectores no especificados involucrando el uso a nivel de tabla de opciones DATA DIRECTORY e INDEX DIRECTORY cuando se crea una tabla particionada con el mismo nombre que una tabla en la que el usuario no tiene privilegios.
CVE-2007-5646
Gravedad:
MediaMedia
Publication date: 23/10/2007
Last modified:
17/12/2019
Descripción:
Vulnerabilidad de inyección SQL en Sources/Search.php en Simple Machines Forum (SMF) 1.1.3, cuando MySQL 5 se está utilizando, permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro userspec en un una acción search2 en index.php.
CVE-2007-2692
Gravedad:
MediaMedia
Publication date: 15/05/2007
Last modified:
17/12/2019
Descripción:
La función mysql_change_db en MySQL 5.0.x anterior a 5.0.40 y 5.1.x anterior a 5.1.18 no restaura los privilegios THD::db_access cuando regresa de rutinas almacenadas SQL SECURITY INVOKER, lo cual permite a usuarios autenticados remotamente obtener privilegios.
CVE-2007-2693
Gravedad:
BajaBaja
Publication date: 15/05/2007
Last modified:
17/12/2019
Descripción:
MySQL anterior a 5.1.18 permite a usuarios autenticados remotamente sin privilegios SELECT obtener información sensible desde tablas particionadas mediante una sentencia ALTER TABLE.
Vulnerabilidad en el archivo item_cmpfunc.cc en la función in_decimal::set en mySQL (CVE-2007-2583)
Gravedad:
MediaMedia
Publication date: 09/05/2007
Last modified:
17/12/2019
Descripción:
La función in_decimal::set en el archivo item_cmpfunc.cc en mySQL versiones anteriores a 5.0.40, y versiones 5.1 anteriores a 5.1.18-beta, permite a atacantes dependiendo del contexto causar una denegación de servicio (bloqueo) por medio de una cláusula IF especialmente diseñada que resulta en un error de división por cero y una desreferencia del puntero NULL.
Vulnerabilidad en la tabla information_schema en MySQL (CVE-2007-1420)
Gravedad:
BajaBaja
Publication date: 12/03/2007
Last modified:
17/12/2019
Descripción:
MySQL versión 5.x anterior a 5.0.36, permite a los usuarios locales causar una denegación de servicio (bloqueo de base de datos) al realizar subselecciones de la tabla information_schema y utilizar ORDER BY para ordenar un resultado de una sola fila, lo que impide que determinados elementos de la estructura se inicialicen y desencadene una desreferencia de NULL en la función filesort.
CVE-2006-4227
Gravedad:
MediaMedia
Publication date: 18/08/2006
Last modified:
17/12/2019
Descripción:
MySQL anterior a 5.0.25 y 5.1 anterior a 5.1.12 evalúa los argumentos de rutinas suid en el contexto de seguridad del creador de la rutina en lugar del de aquel que llama a la rutina, lo que permite a usuarios autenticados remotamente escalar privilegios a través de una rutina que ha sido puesta a su disposición utilizando GRANT EXECUTE.
CVE-2006-4226
Gravedad:
BajaBaja
Publication date: 18/08/2006
Last modified:
17/12/2019
Descripción:
MySQL anteriores a 4.1.21, 5.0 anterior a 5.0.25, y 5.1 anteriores a 5.1.12, cuando se ejecutan en sistemas de fichero sensibles al uso de mayúsculas o minúscular, permite a usuarios autenticados remotamente crear o acceder a una base de datos cuando el nombre de la base de datos difiere sólo en el uso de mayúsculas y minúsculas de una base de datos para la cual tienen permisos.
CVE-2006-4031
Gravedad:
BajaBaja
Publication date: 09/08/2006
Last modified:
17/12/2019
Descripción:
MySQL 4.1 anterior a 4.1.21 y 5.0 anterior a 5.0.24 permite a usuarios locales acceder a una tabla a través de una tabla MERGE previamente creada, incluso después de que los privilegios del usuario han sido revocados para la tabla original, lo cual podría violar la política de seguridad pretendida.
CVE-2006-3469
Gravedad:
MediaMedia
Publication date: 21/07/2006
Last modified:
17/12/2019
Descripción:
Vulnerabilidad de cadena de formato en time.cc de MySQL Server 4.1 anterior a 4.1.21 y 5.0 anterior al 1 de abril de 2006 permite a usuarios autenticados remotamente provocar una denegación de servicio (caída) mediante una cadena de formato en lugar de una fecha como el primer parámetro para la función date_format, la cual es posteriormente utilizada en una llamada de escritura formateada para mostrar el mensaje de error.
Vulnerabilidad en ** IMPUGNADA ** Instance Manager de MySQL antes de 5.0.23 y 5.1 antes de 5.1.12 , desbordamiento de búfer (CVE-2006-3486)
Gravedad:
BajaBaja
Publication date: 10/07/2006
Last modified:
17/12/2019
Descripción:
** IMPUGNADA ** Desbordamiento de búfer por superación del límite en la función Instance_options::complete_initialization de instance_options.cc en el Instance Manager de MySQL antes de 5.0.23 y 5.1 antes de 5.1.12 podría permitir a usuarios locales provocar una denegación de servicio (caída de aplicación) mediante vectores sin especificar, lo que dispara el desbordamiento cuando se llama a la función convert_dirname. NOTA: el fabricante ha impugnado este problema por email a CVE, diciendo que solamente es explotable cuando el usuario tiene acceso al archivo de configuración o al demonio Instance Manager. Debido a su funcionalidad prevista, este nivel de acceso ya permitiría al usuario interrumpir la operación del programa, por lo cual esto no transpasa los límites de seguridad y no es una vulnerabilidad.
Vulnerabilidad en mysqld (CVE-2006-3081)
Gravedad:
MediaMedia
Publication date: 19/06/2006
Last modified:
17/12/2019
Descripción:
mysqld en MySQL v4.1.x antes de v4.1.18, v5.0.x antes de v5.0.19, y v5.1.x antes de v5.1.6 permite causar una denegación de servicio (caída del demonio) a usuarios remotos autorizados a través de un segundo argumento nulo para la función STR_TO_DATE.
CVE-2005-0004
Gravedad:
MediaMedia
Publication date: 14/04/2005
Last modified:
17/12/2019
Descripción:
El script mysqlaccess de MySQL 4.0.23 y anteriores, 4.1.x anteriores a 4.1.10, 5.0.x anteriores a 5.0.3, y otras versiones incluyendo 3.x permite a usuarios locales sobreescribir ficheros arbitrariamente o leer ficheros temporales mediante un enlace de enlaces simbólicos (symlink) en ficheros temporales.
CVE-2004-0956
Gravedad:
MediaMedia
Publication date: 10/01/2005
Last modified:
17/12/2019
Descripción:
MySQL anteriores a 4.0.20 permite a atacantes remotos causar una denegación de servicio (caída de aplicación) mediante una consulta MATCH AGAINST con comillas dobles iniciales pero sin comillas dobles de cierre.
CVE-2004-0627
Gravedad:
AltaAlta
Publication date: 06/12/2004
Last modified:
17/12/2019
Descripción:
La función check_scramble_323 de MySQL 4.1x anteriores a 4.1.4, y 5.0, permite a atacantes remotos saltarse la autenticación mediente una cadena revuelta de longitud cero.
CVE-2004-0628
Gravedad:
AltaAlta
Publication date: 06/12/2004
Last modified:
17/12/2019
Descripción:
Desbordamiento basado en la pila en MySQL 4.1.x anteriores a 4.1.3, y 5.0 permite a atacantes remotos causar una denegación de servicio (caída) y posiblemente ejecutar código de su elección mediante una cadena de permutación (scramble).
Vulnerabilidad en función mysql_real_connect en MySQL (CVE-2004-0836)
Gravedad:
AltaAlta
Publication date: 03/11/2004
Last modified:
17/12/2019
Descripción:
Desbordamiento de búfer en la función mysql_real_connect de MySQL 4.x anteriores a 3.0.21 y 3.x anteriores a 3.23.49 permite a servidores DNS remotos causar una denegación de servicio y posiblemente ejecutar código arbitrario mediante una respuesta DNS con un un tamaño de dirección largo (h_length).
CVE-2004-0837
Gravedad:
BajaBaja
Publication date: 03/11/2004
Last modified:
17/12/2019
Descripción:
MySQL 4 anteriores a 4.0.21 y 3.x anteriores a 3.23.49 permiten a atacantes causar una denegación de servicio (caída o cuelgue) mediante múltiples hilos de ejecución que alterán simultaneamente UNIONes de tablas MERGE.
CVE-2004-0457
Gravedad:
MediaMedia
Publication date: 28/09/2004
Last modified:
17/12/2019
Descripción:
El script mysqlhotcopy de mysql 4.0.20 y anteriores, cuando se usa el método scp del paquete mysql-server, permite a usuarios locales sobreescribir ficheros de su elección mediante un ataque de enlaces simbólicos en ficheros temporales.
CVE-2004-0381
Gravedad:
BajaBaja
Publication date: 04/05/2004
Last modified:
17/12/2019
Descripción:
mysqlbug de MySQL pemite a usuarios locales sobreescribir ficheros elgidos arbitrariamente mediante un ataque de enlaces simbólicos sobre el fichero temporal failed-mysql-bugreport
CVE-2003-0780
Gravedad:
AltaAlta
Publication date: 22/09/2003
Last modified:
17/12/2019
Descripción:
Desbordamiento de búfer en get_salt_from_password de sql_acl.cc de MySQL 4.0.14 y anteriores, y 3.23.x, permite a atacantes ejecutar código arbitrario mediante un campo de contraseña largo.