Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la descarga de la CRL en Puppet Agent (CVE-2018-11751)
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
07/04/2020
Descripción:
Las versiones anteriores de Puppet Agent no comprobaban el peer en la conexión SSL antes de descargar la CRL. Este problema es resuelto en Puppet Agent versión 6.4.0.
Vulnerabilidad en la tarjeta en ciertos productos de Huawei. (CVE-2019-5254)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
19/12/2019
Descripción:
Ciertos productos de Huawei (AP2000;IPS Module;NGFW Module;NIP6300;NIP6600;NIP6800;S5700;SVN5600;SVN5800;SVN5800-C;SeMG9811;Secospace AntiDDoS8000;Secospace USG6300;Secospace USG6500;Secospace USG6600;USG6000V;eSpace U1981), tienen una vulnerabilidad de lectura fuera de límites. Un atacante que inicie sesión en la tarjeta puede enviar mensajes especialmente diseñados desde el puerto de red interno o manipular los paquetes de mensajes entre procesos para explotar esta vulnerabilidad. Debido a una comprobación insuficiente del mensaje, una explotación con éxito puede causar que la tarjeta afectada sea anormal.
Vulnerabilidad en el archivo packages/cms/page_templates/page_remote_content/page_remote_content.inc en el parámetro POST en un objeto PHP en Squiz Matrix CMS (CVE-2019-19373)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
19/12/2019
Descripción:
Se detectó un problema en Squiz Matrix CMS versiones 5.5.0 anteriores a 5.5.0.3, versiones 5.5.1 anteriores a 5.5.1.8, versiones 5.5.2 anteriores a 5.5.2.4 y versiones 5.5.3 anteriores a 5.5.3.3, donde un usuario puede activar una deserialización arbitrariamente de un objeto PHP desde un parámetro POST del archivo packages/cms/page_templates/page_remote_content/page_remote_content.inc durante el procesamiento de un tipo de página Remote Content. Esta deserialización puede ser usada para activar la inclusión de archivos arbitrarios sobre el sistema de archivos (inclusión de archivos locales) y resultando una ejecución de código remota.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

CVE-2019-0201
Gravedad:
MediaMedia
Publication date: 23/05/2019
Last modified:
24/08/2020
Descripción:
Hay un problema presente en Apache ZooKeeper 1.0.0 a 3.4.13 y 3.5.0-alpha a 3.5.4-beta. El comando getACL () de ZooKeeper no verifica ningún permiso cuando recupera las ACL del nodo solicitado y devuelve toda la información contenida en el campo Id. De ACL como cadena de texto sin formato. DigestAuthenticationProvider sobrecarga el campo Id con el valor hash que se utiliza para la autenticación del usuario. Como consecuencia, si la autenticación implícita está en uso, el valor hash sin sal será revelado por la solicitud getACL () para usuarios no autenticados o no privilegiados.