Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo _core_/plugins/medias en SPIP (CVE-2019-19830)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
19/12/2019
Descripción:
El archivo _core_/plugins/medias en SPIP versiones 3.2.x anteriores a la versión 3.2.7, permite a autores autenticados remotos inyectar contenido de la base de datos.
Vulnerabilidad en una consulta compleja en la base de datos en Apache Incubator Superset (CVE-2019-12413)
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
24/08/2020
Descripción:
En Apache Incubator Superset versiones anteriores a 0.31, el usuario podía consultar la información de metadatos de la base de datos desde una base de datos a la que no tenía acceso, mediante una consulta compleja especialmente diseñada.
Vulnerabilidad en la Interfaz de Usuario web de SolarWinds Serv-U FTP Server (CVE-2019-13181)
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de inyección CSV en la Interfaz de Usuario web de SolarWinds Serv-U FTP Server versión v15.1.7.
Vulnerabilidad en la función CAPPDAnnotHandlerUtils::PDAnnotHandlerDestroyData2+0xa08a en la biblioteca JBIG2Decode en npdf.dll en Nitro Free PDF Reader (CVE-2019-19818)
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
19/12/2019
Descripción:
La biblioteca JBIG2Decode en npdf.dll en Nitro Free PDF Reader versión 12.0.0.112, presenta una Lectura Fuera de Límites de la función CAPPDAnnotHandlerUtils::PDAnnotHandlerDestroyData2+0xa08a por medio de un contenido Unicode diseñado.
Vulnerabilidad en un acceso local en Control Center-I (CVE-2019-14599)
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
24/08/2020
Descripción:
Una ruta de servicio sin comillas en Control Center-I versión 2.1.0.0 y anteriores, puede permitir a un usuario autenticado habilitar potencialmente una escalada de privilegios por medio de un acceso local.
Vulnerabilidad en el archivo top_output.log en CFME. (CVE-2014-3536)
Gravedad:
BajaBaja
Publication date: 15/12/2019
Last modified:
19/12/2019
Descripción:
CFME (CloudForms Management Engine) versión 5: la información de la cuenta RHN es registrada en el archivo top_output.log durante el registro.
Vulnerabilidad en entidades de parámetros no desactivadas en el analizador SAX de jersey (CVE-2014-3643)
Gravedad:
MediaMedia
Publication date: 15/12/2019
Last modified:
19/12/2019
Descripción:
jersey: una vulnerabilidad de XXE por medio de entidades de parámetros no desactivadas mediante el analizador jersey SAX.
Vulnerabilidad en la URL de redireccionamiento en JBoss KeyCloak. (CVE-2014-3652)
Gravedad:
MediaMedia
Publication date: 15/12/2019
Last modified:
19/12/2019
Descripción:
JBoss KeyCloak: una vulnerabilidad de redireccionamiento abierto por falta de comprobación de la URL de redireccionamiento.
Vulnerabilidad en la deserialización cPickle en eDeploy (CVE-2014-3699)
Gravedad:
AltaAlta
Publication date: 15/12/2019
Last modified:
19/12/2019
Descripción:
eDeploy tiene una RCE por medio de la deserialización cPickle de datos no seguros.
Vulnerabilidad en un bucle infinito en imagemagickCVE-2014-8561 (CVE-2014-8561)
Gravedad:
MediaMedia
Publication date: 15/12/2019
Last modified:
19/12/2019
Descripción:
imagemagick versión 6.8.9.6, tiene una vulnerabilidad de DOS remota por medio de un bucle infinito.
Vulnerabilidad en las políticas de ACL en la opción acl-file en qpid-cpp (CVE-2014-0212)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
19/12/2019
Descripción:
qpid-cpp: las políticas de ACL solo se cargan si la opción acl-file especificada habilita una DoS al consumir todos los descriptores de archivo disponibles.
Vulnerabilidad en la interfaz web en XHQ (CVE-2019-13930)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
19/12/2019
Descripción:
Se ha identificado una vulnerabilidad en XHQ (Todas las versiones anteriores a V6.0.0.2). La interfaz web podría permitir un ataque de tipo Cross-Site Request Forgery (CSRF) si un usuario desprevenido es engañado para que acceda a un enlace malicioso. Una explotación con éxito requiere la interacción del usuario por parte de un usuario legítimo, que debe estar autenticado en la interfaz web. Un ataque con éxito podría permitir a un atacante desencadenar acciones por medio de la interfaz web que el usuario legítimo puede realizar. Esto podría permitir al atacante leer o modificar el contenido de la aplicación web. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo read.c en la función read_colordef en Xfig fig2dev (CVE-2019-19797)
Gravedad:
MediaMedia
Publication date: 15/12/2019
Last modified:
24/04/2020
Descripción:
La función read_colordef en el archivo read.c en Xfig fig2dev versión 3.2.7b, tiene una escritura fuera de límites.