Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro action en el archivo core/ajax/sharing.php en ownCloud. (CVE-2013-0202)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en ownCloud versiones 4.5.5, 4.0.10 y anteriores, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro action en el archivo core/ajax/sharing.php.
Vulnerabilidad en una URL en los ID de credenciales en Jenkins Team Concert Plugin (CVE-2019-16566)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una falta comprobación de permiso en Jenkins Team Concert Plugin versión 1.3.0 y anteriores, permite a atacantes con permiso General y de Lectura conectarse a una URL especificada por el atacante usando los ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en URL en los ID de credenciales en Jenkins Alauda DevOps Pipeline Plugin (CVE-2019-16573)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Alauda DevOps Pipeline Plugin versión 2.3.2 y anteriores, permite a atacantes conectarse a una URL especificada por el atacante usando los ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en archivo de configuración global en Jenkins Weibo Plugin (CVE-2019-16572)
Gravedad:
BajaBaja
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Jenkins Weibo Plugin versión 1.0.1 y anteriores, almacena las credenciales sin cifrar en su archivo de configuración global sobre el maestro Jenkins, donde pueden ser visualizadas por parte de los usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en un servidor web en Jenkins RapidDeploy Plugin (CVE-2019-16571)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una falta de comprobación de permiso en Jenkins RapidDeploy Plugin versión 4.1 y anteriores, permite a atacantes con permiso General y de Lectura conectarse a un servidor web especificado por parte del atacante.
Vulnerabilidad en un servidor web en Jenkins RapidDeploy Plugin (CVE-2019-16570)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins RapidDeploy Plugin versión 4.1 y anteriores, permite a atacantes conectarse a un servidor web especificado por parte del atacante.
Vulnerabilidad en las credenciales de servicio en la configuración global (CVE-2019-16568)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Jenkins SCTMExecutor Plugin versiones 2.2 y anteriores, transmiten las credenciales de servicio configuradas previamente en texto plano como parte de la configuración global, así como las configuraciones de trabajos individuales.
Vulnerabilidad en los ID de credenciales en métodos relacionados con formularios en Jenkins Team Concert Plugin. (CVE-2019-16567)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una falta comprobación de permiso en Jenkins Team Concert Plugin versión 1.3.0 y anteriores, en métodos relacionados con formularios permitió a usuarios con acceso general y de lectura enumerar los ID de credenciales de las credenciales almacenadas en Jenkins.
Vulnerabilidad en una URL en los ID de credenciales en Jenkins Team Concert Plugin. (CVE-2019-16565)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Team Concert Plugin versión 1.3.0 y anteriores, permite a atacantes conectarse a una URL especificada por el atacante usando los ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en el contenido de la vista en Jenkins Pipeline Aggregator View Plugin. (CVE-2019-16564)
Gravedad:
BajaBaja
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Jenkins Pipeline Aggregator View Plugin versión 1.8 y anteriores, no escapan a la información mostrada en su vista, resultando en una vulnerabilidad de tipo XSS almacenado explotable por parte de los atacantes capaces de afectar el contenido de la vista, tales como el nombre a desplegar del trabajo o los nombres de etapa de la tubería.
Vulnerabilidad en el contenido de la vista en Jenkins Mission Control Plugin (CVE-2019-16563)
Gravedad:
BajaBaja
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Jenkins Mission Control Plugin versión 0.9.16 y anteriores, no escapa a los nombres a desplegar del trabajo y los nombres de compilación mostrados en su vista, resultando en una vulnerabilidad de tipo XSS almacenado explotable por parte de atacantes capaces de cambiar estas propiedades.
Vulnerabilidad en Jenkins buildgraph-view Plugin. (CVE-2019-16562)
Gravedad:
BajaBaja
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Jenkins buildgraph-view Plugin versión 1.8 y anteriores, no escapa a la descripción de las compilaciones mostradas en su vista, resultando en una vulnerabilidad de tipo XSS almacenado explotable por parte de los usuarios capaces de cambiar las descripciones de compilación.
Vulnerabilidad en la comprobación del nombre de host en Jenkins WebSphere Deployer Plugin (CVE-2019-16561)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Jenkins WebSphere Deployer Plugin versión 1.6.1 y anteriores, permiten a usuarios con acceso general y de lectura deshabilitar el certificado SSL/TLS y la comprobación del nombre de host para toda la JVM maestra de Jenkins.
Vulnerabilidad en el archivo fs/f2fs/recovery.c en la función f2fs_recover_fsync_data en el kernel de Linux (CVE-2019-19815)
Gravedad:
AltaAlta
Publication date: 17/12/2019
Last modified:
03/01/2020
Descripción:
En el kernel de Linux versión 5.0.21, montar una imagen del sistema de archivos f2fs especialmente diseñada puede causar una desreferencia del puntero NULL en la función f2fs_recover_fsync_data en el archivo fs/f2fs/recovery.c. Esto está relacionado con la función F2FS_P_SB en el archivo fs/f2fs/f2fs.h.
Vulnerabilidad en el archivo kernel/lock/mutex.c en la función __mutex_lock en el kernel de Linux (CVE-2019-19813)
Gravedad:
AltaAlta
Publication date: 17/12/2019
Last modified:
29/07/2020
Descripción:
En el kernel de Linux versión 5.0.21, montar una imagen de sistema de archivos btrfs especialmente diseñada, realizar algunas operaciones y luego hacer una llamada al sistema syncfs puede conllevar a un uso de la memoria previamente liberada en la función __mutex_lock en el archivo kernel/lock/mutex.c. Esto está relacionado con la función mutex_can_spin_on_owner en el archivo kernel/lock/mutex.c, la función __btrfs_qgroup_free_meta en el archivo fs/btrfs/qgroup.c y la función btrfs_insert_delayed_items en el archivo fs/btrfs/delayed-inode.c.
Vulnerabilidad en btrfs_map_block en el kernel de Linux. (CVE-2019-19816)
Gravedad:
AltaAlta
Publication date: 17/12/2019
Last modified:
29/07/2020
Descripción:
En el kernel de Linux versión 5.0.21, montar una imagen del sistema de archivos btrfs especialmente diseñada y realizar algunas operaciones puede causar un acceso de escritura fuera de límites en la función __btrfs_map_block en el archivo fs/btrfs/volumes.c, porque un valor de 1 para el número de franjas de datos es mal manejado.
Vulnerabilidad en la función __remove_dirty_segment en el kernel de Linux (CVE-2019-19814)
Gravedad:
AltaAlta
Publication date: 17/12/2019
Last modified:
03/01/2020
Descripción:
En el kernel de Linux versión 5.0.21, montar una imagen del sistema de archivos f2fs especialmente diseñada puede causar un acceso de escritura fuera de límites en la función __remove_dirty_segment porque una matriz está limitada por parte del número de tipos sucios (8) pero el índice de la matriz puede exceder esto.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un servidor web en Jenkins Mantis Plugin. (CVE-2019-16569)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
31/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Mantis Plugin versión 0.26 y anteriores, permite a atacantes conectarse a un servidor web especificado por parte del atacante usando credenciales especificadas por el atacante.