Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un enlace de SMS en diversos productos de Apple (CVE-2019-8553)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado con una comprobación mejorada. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, watchOS versión 5.2. El hacer clic en un enlace de SMS malicioso puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en un sitio web en el manejo de datos de movimiento y orientación en iOS de Apple (CVE-2019-8554)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Se presentó un problema de permisos en el manejo de datos de movimiento y orientación. Este problema fue abordado con restricciones mejoradas. Este problema es corregido en iOS versión 12.2. Un sitio web puede acceder a la información del sensor sin el consentimiento del usuario.
Vulnerabilidad en una aplicación en el búfer en macOS Mojave de Apple (CVE-2019-8555)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un desbordamiento del búfer fue abordado con una comprobación de tamaño mejorada. Este problema es corregido en macOS Mojave versión 10.14.4. Una aplicación maliciosa puede ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8556)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de uso de la memoria previamente liberada fue abordado con una gestión de memoria mejorada. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en una aplicación en macOS Mojave de Apple (CVE-2019-8561)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema lógico fue abordado con una comprobación mejorada. Este problema es corregido en macOS Mojave versión 10.14.4. Una aplicación maliciosa puede elevar los privilegios.
Vulnerabilidad en un proceso dentro del sandbox en diversos productos de Apple para Windows (CVE-2019-8562)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado con una comprobación mejorada. Este problema es corregido en iOS versión 12.2, tvOS 12.2, Safari 12.1, iTunes 12.9.4 para Windows. Un proceso dentro del sandbox puede evitar las restricciones del sandbox.
Vulnerabilidad en una aplicación en iOS y macOS Mojave de Apple (CVE-2019-8565)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Una condición de carrera se abordó con comprobación adicional. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4. Una aplicación maliciosa puede alcanzar privilegios root.
Vulnerabilidad en la dirección MAC WiFi en iOS de Apple (CVE-2019-8567)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de privacidad del usuario fue abordado eliminando la dirección MAC de transmisión. Este problema es corregido en iOS versión 12.2. Un dispositivo puede ser rastreado pasivamente por su dirección MAC WiFi.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8571)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8574)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, watchOS versión 5.2.1. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8586)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Gatekeeper en macOS Mojave de Apple (CVE-2019-8589)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Este problema fue abordado con comprobaciones mejoradas. Este problema es corregido en macOS Mojave versión 10.14.5. Una aplicación maliciosa puede pasar por alto las comprobaciones de Gatekeeper.
Vulnerabilidad en macOS Mojave de Apple. (CVE-2019-8590)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema lógico fue abordado con restricciones mejoradas. Este problema es corregido en macOS Mojave versión 10.14.5. Una aplicación puede ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en una aplicación en la memoria en diversos productos de Apple (CVE-2019-8593)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, tvOS versión 12.3, watchOS versión 5.2.1. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8594)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8595)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8596)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8597)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en una aplicación en la memoria en diversos productos de Apple para Windows (CVE-2019-8598)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de comprobación de entrada fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, watchOS versión 5.2.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. Una aplicación maliciosa puede leer la memoria restringida.
Vulnerabilidad en la dirección de correo electrónico utilizada para iTunes en dispositivo con iOS (CVE-2019-8599)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema lógico fue abordado con restricciones mejoradas. Este problema es corregido en iOS versión 12.3. Una persona con acceso físico a un dispositivo con iOS puede visualizar la dirección de correo electrónico utilizada para iTunes.
Vulnerabilidad en una consulta SQL en la memoria en diversos productos de Apple para Windows (CVE-2019-8600)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, watchOS versión 5.2.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. Una consulta SQL diseñada maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8601)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, watchOS versión 5.2.1, Safari 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en macOS Mojave de Apple (CVE-2019-8603)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de comprobación fue abordado mejorando el saneamiento de la entrada. Este problema es corregido en macOS Mojave versión 10.14.5. Una aplicación puede leer la memoria restringida.
Vulnerabilidad en la memoria en macOS Mojave de Apple (CVE-2019-8604)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Mojave versión 10.14.5. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8605)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de uso de la memoria previamente liberada fue abordado con una gestión de memoria mejorada. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, watchOS versión 5.2.1. Una aplicación maliciosa puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8608)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8609)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8610)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8611)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8613)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de uso de la memoria previamente liberada fue abordado con una gestión de memoria mejorada. Este problema es corregido en iOS versión 12.3, tvOS versión 12.3, watchOS versión 5.2.1. Un atacante remoto puede causar una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8615)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, Safari versión 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en macOS Mojave (CVE-2019-8616)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Mojave versión 10.14.5. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en un proceso dentro del sandbox en iOS de Apple (CVE-2019-8617)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de acceso fue abordado con restricciones de sandbox adicionales. Este problema es corregido en iOS versión 12.3. Un proceso dentro del sandbox puede evitar las restricciones del sandbox.
Vulnerabilidad en la dirección MAC WiFi en diversos productos de Apple (CVE-2019-8620)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de privacidad del usuario fue abordado eliminando la dirección MAC de transmisión. Este problema es corregido en iOS versión 12.3, tvOS versión 12.3, watchOS versión 5.2.1. Un dispositivo puede ser rastreado pasivamente por su dirección MAC WiFi.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8622)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.3, macOS Mojave versión 10.14.5, tvOS versión 12.3, watchOS versión 5.2.1, Safari 12.1.1, iTunes para Windows versión 12.9.5, iCloud para Windows versión 7.12. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en watchOS de Apple (CVE-2019-8624)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Una lectura fuera de límites fue abordada con una comprobación de entrada mejorada. Este problema es corregido en watchOS versión 5.3. Un atacante remoto puede ser capaz de filtrar la memoria.
Vulnerabilidad en el procesamiento de un mensaje en iOS y watchOS de Apple (CVE-2019-8626)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de comprobación de entrada fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.3, watchOS versión 5.2.1. El procesamiento de un mensaje diseñado maliciosamente puede conllevar a una denegación de servicio.
Vulnerabilidad en inicialización de memoria en macOS Mojave de Apple (CVE-2019-8629)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de inicialización de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Mojave versión 10.14.5. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en la memoria en macOS Mojave de Apple (CVE-2019-8635)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Mojave versión 10.14.5. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una aplicación en diversos productos de Apple (CVE-2019-8637)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de comprobación de entrada fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.3, tvOS versión 12.3, watchOS versión 5.2.1. Una aplicación maliciosa puede alcanzar privilegios root.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8646)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Una lectura fuera de límites fue abordada con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3. Un atacante remoto puede ser capaz de filtrar la memoria.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8647)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de uso de la memoria previamente liberada fue abordado con una gestión de memoria mejorada. Este problema es corregido en iOS versión 12.4, tvOS versión 12.4, watchOS 5.3. Un atacante remoto puede causar una ejecución de código arbitrario.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8648)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3. Un atacante remoto puede causar una ejecución de código arbitrario.
Vulnerabilidad en un sitio web en la interfaz de usuario en Safari de Apple (CVE-2019-8654)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de interfaz de usuario inconsistente fue abordado con una gestión de estado mejorada. Este problema es corregido en Safari versión 13.0.1. Visitar un sitio web malicioso puede conllevar a una suplantación de la interfaz de usuario.
Vulnerabilidad en el análisis de un documento de Office en diversos productos de Apple (CVE-2019-8657)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Una lectura fuera de límites fue abordada con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3. Analizar un documento de Office diseñado maliciosamente puede conllevar a una finalización inesperada de la aplicación o una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8658)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema lógico fue abordado mejorando la gestión del estado. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a un ataque de tipo cross site scripting universal.
Vulnerabilidad en los usuarios eliminados de una conversación de iMessage en watchOS de Apple (CVE-2019-8659)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Este problema fue abordado con comprobaciones mejoradas. Este problema es corregido en watchOS versión 5.3. Los usuarios eliminados de una conversación de iMessage aún pueden ser capaces de alterar el estado.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8660)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3. Un atacante remoto puede ser capaz de causar una finalización inesperada de la aplicación o una ejecución de código arbitrario.
Vulnerabilidad en la memoria en macOS Mojave de Apple (CVE-2019-8661)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de uso de la memoria previamente liberada fue abordado con una gestión de memoria mejorada. Este problema es corregido en macOS Mojave versión 10.14.6. Un atacante remoto puede causar una ejecución de código arbitrario.
Vulnerabilidad en una aplicación en NSDictionary en diversos productos de Apple (CVE-2019-8662)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Este problema fue abordado con comprobaciones mejoradas. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, watchOS versión 5.3. Un atacante puede desencadenar un uso de la memoria previamente liberada en una aplicación que deserializa un NSDictionary no confiable.
Vulnerabilidad en la memoria en iOS y macOS Mojave (CVE-2019-8663)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Este problema fue abordado con comprobaciones mejoradas. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6. Un atacante remoto puede ser capaz de filtrar la memoria.
Vulnerabilidad en iOS y watchOS de Apple (CVE-2019-8665)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de denegación de servicio fue abordado con una comprobación mejorada. Este problema es corregido en iOS versión 12.4, watchOS versión 5.3. Un atacante remoto puede causar una finalización inesperada de la aplicación.
Vulnerabilidad en una copia de seguridad de Time Machine en la interfaz de usuario en macOS Mojave (CVE-2019-8667)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de interfaz de usuario inconsistente fue abordado con una gestión de estado mejorada. Este problema es corregido en macOS Mojave versión 10.14.6. El estado de cifrado de una copia de seguridad de Time Machine puede ser incorrecto.
Vulnerabilidad en un sitio web malicioso en la interfaz de usuario en macOS Mojave y Safari de Apple (CVE-2019-8670)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de interfaz de usuario inconsistente fue abordado con una gestión de estado mejorada. Este problema es corregido en macOS Mojave versión 10.14.6, Safari versión 12.1.2. Visitar un sitio web malicioso puede conllevar a una suplantación de la barra de direcciones.
Vulnerabilidad en el procesamiento de contenido web en iOS y Safari de Apple (CVE-2019-8674)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Un problema lógico fue abordado mejorando la gestión del estado. Este problema es corregido en iOS versión 13, Safari versión 13. El procesamiento de contenido web diseñado maliciosamente puede conllevar a un ataque de tipo cross site scripting universal.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8677)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8678)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8679)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8680)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8681)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.4, macOS Mojave versión 10.14.6, tvOS versión 12.4, Safari versión 12.1.2, iTunes para Windows versión 12.9.6, iCloud para Windows versión 7.13, iCloud para Windows versión 10.6. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en una aplicación en la memoria en macOS Mojave (CVE-2019-8691)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de comprobación fue abordado mejorando el saneamiento de la entrada. Este problema es corregido en macOS Mojave versión 10.14.6. Una aplicación puede leer la memoria restringida.
Vulnerabilidad en una aplicación en la memoria en macOS Mojave (CVE-2019-8692)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de comprobación fue abordado mejorando el saneamiento de la entrada. Este problema es corregido en macOS Mojave versión 10.14.6. Una aplicación puede leer la memoria restringida.
Vulnerabilidad en una aplicación en la memoria en macOS Mojave (CVE-2019-8693)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de comprobación fue abordado mejorando el saneamiento de la entrada. Este problema es corregido en macOS Mojave versión 10.14.6. Una aplicación puede leer la memoria restringida.
Vulnerabilidad en una aplicación en la memoria en macOS Mojave (CVE-2019-8694)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Mojave versión 10.14.6. Una aplicación puede ejecutar código arbitrario con privilegios de kernel.
CVE-2019-8695
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Mojave versión 10.14.6. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una aplicación en la memoria en macOS Mojave (CVE-2019-8697)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Mojave versión 10.14.6. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en autenticación en tvOS de Apple (CVE-2019-8704)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un problema de autenticación fue abordado mejorando la gestión del estado. Este problema es corregido en tvOS versión 13. Un usuario local puede ser capaz de filtrar información confidencial del usuario.
Vulnerabilidad en el despliegue de las vistas previas de notificaciones en iOS de Apple (CVE-2019-8711)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Se presentó un problema lógico con el despliegue de las vistas previas de notificaciones. Este problema fue abordado con una comprobación mejorada. Este problema fue corregido en iOS versión 13. Las vistas previas de notificaciones mostrarse en los accesorios Bluetooth inclusive cuando las vistas previas son desactivadas.
Vulnerabilidad en service worker en Safari de Apple (CVE-2019-8725)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema fue abordado con un manejo mejorado de la vida útil de service worker. Este problema es corregido en Safari versión 13.0.1. Los trabajadores del servicio pueden filtrar el historial de navegación privado.
Vulnerabilidad en la memoria en una aplicación en watchOS de Apple (CVE-2019-8747)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Una vulnerabilidad de corrupción de memoria fue abordada con un bloqueo mejorado. Este problema es corregido en watchOS versión 6.1. Una aplicación puede ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en memcpy en la cadena de caracteres NULL en diversos productos Snapdragon (CVE-2019-10607)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
podría ocurrir Una memcpy fuera de límites al proporcionar la cadena de caracteres NULL insertada y una longitud mayor que la longitud real de la cadena en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking en las versiones APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, APQ8098, IPQ4019, IPQ8064, IPQ8074, MDM9206, MDM9207C, MDM9607, MDM9615, MDM9640, MDM9650, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8996, MSM8996AU, QCA4531, QCA8081, QCA9531, QCA9558, QCA9886, QCA9980, QCN7605, QCS605, SDA660, SDX20, SDX24, SDX55, SM8150, SXR1130.
Vulnerabilidad en los datos accedidos contra el tamaño recibido del paquete en diversos productos Snapdragon. (CVE-2019-10614)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un acceso fuera del límite es posible ya que no existe comprobación de los datos accedidos contra el tamaño recibido del paquete en caso de un firmware malicioso en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8017, APQ8053, APQ8096AU, APQ8098, MDM9206, MDM9207C, MDM9607, MDM9640, MDM9650, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8940, MSM8953, MSM8996AU, MSM8998, Nicobar, QCN7605, QCS405, QCS605, QM215, SA6155P, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDX20, SDX24, SDX55, SM6150, SM7150, SM8150, SM8250, SXR1130, SXR2130.
Vulnerabilidad en la memoria del dispositivo en diversos productos Snapdragon (CVE-2019-2242)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
La memoria del dispositivo puede corromperse debido al desbordamiento y subdesbordamiento del búfer. En los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8016, APQ8017, APQ8053, APQ8096, APQ8096AU, APQ8098, MDM9150, MDM9607, MDM9615, MDM9625, MDM9635M, MDM9640, MDM9645, MDM9650, MDM9655, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996AU, MSM8998, Nicobar, QCM2150, QCS605, QM215, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, SDX20, SM6150, SM7150, SXR1130.
Vulnerabilidad en un acceso de escritura RPU desde un procesador seguro en diversos productos Snapdragon (CVE-2019-2274)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un Control de Acceso Inapropiado para un acceso de escritura RPU desde un procesador seguro en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en las versiones APQ8017, APQ8053, APQ8098, IPQ8074, MDM9150, MDM9650, MDM9655, MSM8917, MSM8920, MSM8937, MSM8940, MSM8953, MSM8998, Nicobar, QCA8081, QCN7605, QCS605, QM215, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, SDX20, SDX55, SM6150, SM7150, SM8150, SXR1130.
Vulnerabilidad en los argumentos de evento recibidos del firmware en diversos productos Snapdragon (CVE-2019-2304)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
Un desbordamiento de enteros en un desbordamiento del búfer debido a una falta de comprobación de los argumentos de evento recibidos del firmware. En los productos Snapdragon Auto, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en las versiones IPQ4019, IPQ8064, IPQ8074, MDM9607, MSM8917, MSM8920, MSM8937, MSM8940, QCN7605, QCS405, QCS605, SDA845, SDM660, SDM845, SDX24, SDX55, SM6150, SM7150, SM8150, SXR1130.
Vulnerabilidad en el método removeStatus de la clase WorkflowResource en Jira. (CVE-2019-15013)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
El método removeStatus de la clase WorkflowResource en Jira versiones anteriores a la versión 7.13.12, desde la versión 8.0.0 anteriores a la versión 8.4.3 y desde la versión 8.5.0 anteriores a la versión 8.5.2, permite a atacantes remotos autenticados que no tienen acceso de administración del proyecto eliminar un estado del problema configurado desde el proyecto por medio de una falta de comprobación de autorización.
Vulnerabilidad en los archivos del framework en Joomla! (CVE-2019-19845)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
19/12/2019
Descripción:
En Joomla! versiones anteriores a la versión 3.9.14, una falta de comprobación de acceso en los archivos del framework podría conllevar a una divulgación de la ruta.
Vulnerabilidad en los parámetros de configuración utilizados en las consultas SQL en Joomla! (CVE-2019-19846)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
18/12/2019
Descripción:
En Joomla! versiones anteriores a la versión 3.9.14, la falta de comprobación de los parámetros de configuración utilizados en las consultas SQL causó varios vectores de inyección SQL.
Vulnerabilidad en el controlador del proceso de imágenes miniaturas en el servidor Zulip (CVE-2019-19775)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
18/12/2019
Descripción:
El controlador del proceso de imágenes miniaturas en el servidor Zulip versiones 1.9.0 anteriores a la versión 2.0.8, permitió un redireccionamiento abierto que era visible para usuarios registrados.
Vulnerabilidad en SonicWall SMA100 (CVE-2019-7481)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
19/12/2019
Descripción:
Una vulnerabilidad en SonicWall SMA100, permite a usuarios no autenticados conseguir acceso de solo lectura a recursos no autorizados. Esta vulnerabilidad impacta a SMA100 versión 9.0.0.3 y anteriores.
Vulnerabilidad en Micro Focus ArcSight Logger (CVE-2019-11657)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Vulnerabilidad de tipo Cross-Site Request Forgery en todo Micro Focus ArcSight Logger afectando a todas las versiones del producto por debajo de la versión 7.0. La vulnerabilidad podría ser explotada para lleva a cabo un ataque de tipo CSRF.
Vulnerabilidad en una petición HTTP GET en el archivo de configuración en ELOG (CVE-2019-3992)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
24/01/2020
Descripción:
ELOG versión 3.1.4-57bea22 y anterior, está afectado por una vulnerabilidad de divulgación de información. Un atacante remoto no autenticado puede acceder al archivo de configuración del servidor mediante el envío de una petición HTTP GET. Entre los datos de configuración, el atacante puede conseguir acceso a los nombres de usuario de administrador válidos y, en versiones anteriores de ELOG, a las contraseñas.
Vulnerabilidad en una petición HTTP POST en el hash de contraseña en ELOG (CVE-2019-3993)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
24/01/2020
Descripción:
ELOG versión 3.1.4-57bea22 y anterior, está afectado por una vulnerabilidad de divulgación de información. Un atacante remoto no autenticado puede recuperar el hash de contraseña de un usuario mediante el envío de una petición HTTP POST especialmente diseñada.
Vulnerabilidad en peticiones HTTP POST en la función retrieve_url() en el servidor de ELOG. (CVE-2019-3994)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
24/01/2020
Descripción:
ELOG versión 3.1.4-57bea22 y anterior, está afectado por una vulnerabilidad de denegación de servicio debido a un uso de la memoria previamente liberada. Un atacante remoto no autenticado puede bloquear el servidor de ELOG mediante el envío de múltiples peticiones HTTP POST, lo que causa que la función de ELOG retrieve_url() use una variable liberada.
Vulnerabilidad en una petición HTTP GET en el servidor de ELOG. (CVE-2019-3995)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
24/01/2020
Descripción:
ELOG versión 3.1.4-57bea22 y anterior, está afectado por una vulnerabilidad de denegación de servicio debido a una desreferencia del puntero NULL. Un atacante remoto no autenticado puede bloquear el servidor de ELOG mediante el envío de una petición HTTP GET especialmente diseñada.
Vulnerabilidad en peticiones HTTP en ELOG. (CVE-2019-3996)
Gravedad:
AltaAlta
Publication date: 17/12/2019
Last modified:
24/01/2020
Descripción:
ELOG versión 3.1.4-57bea22 y anterior , puede ser usado como un proxy de petición HTTP GET cuando los atacantes remotos no autenticados envían peticiones HTTP POST especialmente diseñadas.
Vulnerabilidad en Transaction Management en SAP Treasury and Risk Management. (CVE-2019-0383)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
20/12/2019
Descripción:
Transaction Management en SAP Treasury and Risk Management (corregida en S4CORE versiones 1.01, 1.02, 1.03, 1.04 y EA-FINSERV versiones 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18, 8.0), no realiza las comprobaciones de autorización necesarias para un usuario autenticado, resultando en una escalada de privilegios.
Vulnerabilidad en los archivos fs/io-wq.c, fs/io_uring.c, y net/socket.c en la característica io_uring en el kernel de Linux (CVE-2019-19241)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
24/08/2020
Descripción:
En el kernel de Linux versiones anteriores a la versión 5.4.2, la característica io_uring genera peticiones que inadvertidamente tienen UID 0 y capacidades completas, también se conoce como CID-181e448d8709. Esto está relacionado con los archivos fs/io-wq.c, fs/io_uring.c, y net/socket.c. Por ejemplo, un atacante puede eludir las restricciones previstas para agregar una dirección IPv4 a la interfaz de bucle invertido. Esto ocurre porque las operaciones IORING_OP_SENDMSG, aunque se solicitan en el contexto de un usuario sin privilegios, a veces las realiza un subproceso de trabajo del kernel sin tener en cuenta ese contexto.
Vulnerabilidad en los directorios /tmp y /usr/local/cwpsrv/logs/access_log en CentOS Web Panel de CentOS-WebPanel.com (CVE-2019-14782)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
24/08/2020
Descripción:
CentOS-WebPanel.com (también se conoce como CWP) CentOS Web Panel versiones 0.9.8.856 hasta 0.9.8.864, permite a un atacante obtener el nombre del archivo de sesión de la víctima desde el directorio /tmp, y el valor del token de la víctima desde el directorio /usr/local/cwpsrv/logs/access_log, luego los utiliza para hacer una petición para extraer la contraseña de la víctima (para el sistema operativo y phpMyAdmin) por medio de una cuenta del atacante.
Vulnerabilidad en los directorios /home/[USERNAME]/tmp/session/sess_xxxxxx y /usr/local/cwpsrv/logs/access_log en CentOS Web Panel de CentOS-WebPanel.com (CVE-2019-15235)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
24/08/2020
Descripción:
CentOS-WebPanel.com (también se conoce como CWP) CentOS Web Panel versión 0.9.8.864, permite a un atacante obtener el nombre del archivo de sesión de la víctima desde el directorio /home/[USERNAME]/tmp/session/sess_xxxxxx, y el valor del token de la víctima desde el directorio /usr/local/cwpsrv/logs/access_log, luego los utiliza para conseguir acceso a la contraseña de la víctima (para el sistema operativo y phpMyAdmin) por medio de una cuenta del atacante. Esto es diferente del CVE-2019-14782.
Vulnerabilidad en una URL en los ID de credenciales en Jenkins Alauda DevOps Pipeline Plugin (CVE-2019-16574)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una falta comprobación de permiso en Jenkins Alauda DevOps Pipeline Plugin versión 2.3.2 y anteriores, permite a atacantes con permiso General y de Lectura conectarse a una URL especificada por el atacante usando los ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en una URL en los ID de credenciales en la cuenta de servicio de Kubernetes en Jenkins Alauda Kubernetes Suport Plugin (CVE-2019-16575)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Alauda Kubernetes Suport Plugin versión 2.3.0 y anteriores, permite a atacantes conectarse a una URL especificada por el atacante usando los ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando el token o las credenciales de la cuenta de servicio de Kubernetes almacenadas en Jenkins.
Vulnerabilidad en una URL en los ID de credenciales en la cuenta de servicio de Kubernetes en Jenkins Alauda Kubernetes Suport Plugin (CVE-2019-16576)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Una falta de comprobación de permiso en Jenkins Alauda Kubernetes Suport Plugin versión 2.3.0 y anteriores, permite a atacantes con permiso General y de Lectura conectarse a una URL especificada por el atacante usando los ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando el token o las credenciales de la cuenta de servicio de Kubernetes almacenadas en Jenkins.
Vulnerabilidad en el módulo de inicio de sesión en Contao (CVE-2019-19714)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Contao versiones 4.8.4 y 4.8.5, presenta una Codificación o Escape de Salida Inapropiada. Es posible inyectar etiquetas de inserción hacia el módulo de inicio de sesión que serán reemplazadas cuando la página sea renderizada.
Vulnerabilidad en el back-end en el generador de formularios en Contao (CVE-2019-19745)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
18/12/2019
Descripción:
Contao versiones 4.0 hasta 4.8.5, permite una inclusión de archivos locales PHP. Un usuario del back-end con acceso al generador de formularios puede cargar archivos arbitrarios y ejecutarlos sobre el servidor.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Una lectura fuera de límites (CVE-2019-8641)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
28/02/2020
Descripción:
Una lectura fuera de límites se abordó con una validación de entrada mejorada.
Vulnerabilidad en el servicio de transferencia de archivos sobre el puerto TCP en Advantech DiagAnywhere Server (CVE-2019-18257)
Gravedad:
AltaAlta
Publication date: 17/12/2019
Last modified:
11/02/2020
Descripción:
En Advantech DiagAnywhere Server, versiones 3.07.11 y anteriores, existen múltiples vulnerabilidades de desbordamiento de búfer en la región stack de la memoria en el servicio de transferencia de archivos que escucha sobre el puerto TCP. Una explotación con éxito podría permitir a un atacante no autenticado ejecutar código arbitrario con los privilegios del usuario que ejecuta DiagAnywhere Server.
Vulnerabilidad en SecureWorks Red Cloak Windows Agent (CVE-2019-19620)
Gravedad:
BajaBaja
Publication date: 06/12/2019
Last modified:
17/12/2019
Descripción:
En SecureWorks Red Cloak Windows Agent anterior a la versión 2.0.7.9, un usuario local puede omitir la generación de alertas de telemetría eliminando los permisos NT AUTHORITY \ SYSTEM de un archivo. Esto se limita en el ámbito a la recopilación de telemetría de ejecución de procesos, para las ejecuciones en archivos específicos donde se denegó el acceso al archivo de origen al usuario SYSTEM.
Vulnerabilidad en petición directa de prweb/sso/random_token/!STANDARD?pyActivity=GetWebInfo&target=popup&pzHarnessID=random_harness_id en PEGA Platform (CVE-2019-16386)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
19/12/2019
Descripción:
** EN DISPUTA ** PEGA Platform versiones 7.x y 8.x, es vulnerable a una divulgación de información por medio de una petición directa de prweb/sso/random_token/!STANDARD?pyActivity=GetWebInfo&target=popup&pzHarnessID=random_harness_id para obtener información del esquema de la base de datos mientras utiliza una cuenta de bajo privilegio. NOTA: El proveedor afirma que esta vulnerabilidad se descubrió mediante una cuenta de administrador y que son funciones de administrador normales. Por lo tanto, la afirmación de que el CVE se hizo con una cuenta de privilegios bajos es incorrecta.
Vulnerabilidad en petición directa de prweb/sso/random_token/!STANDARD?pyActivity=Data-Admin-DB-Name.DBSchema_ListDatabases en PEGA Platform (CVE-2019-16387)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
19/12/2019
Descripción:
** EN DISPUTA ** PEGA Platform versión 8.3.0, es vulnerable a una petición directa de prweb/sso/random_token/!STANDARD?pyActivity=Data-Admin-DB-Name.DBSchema_ListDatabases mientras utiliza una cuenta de bajo privilegio. (Esto puede realizar acciones y recuperar datos a los que solo un administrador debería tener acceso). NOTA: El proveedor afirma que esta vulnerabilidad se descubrió mediante una cuenta de administrador y que son funciones de administrador normales. Por lo tanto, la afirmación de que el CVE se hizo con una cuenta de privilegios bajos es incorrecta.
Vulnerabilidad en petición directa de prweb/sso/random_token/!STANDARD?pyStream=MyAlerts en PEGA Platform (CVE-2019-16388)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
19/12/2019
Descripción:
** EN DISPUTA ** PEGA Platform versión 8.3.0, es vulnerable a una divulgación de información por medio de una petición directa de prweb/sso/random_token/!STANDARD?pyStream=MyAlerts para obtener información del Registro de Auditoría mientras utiliza una cuenta de bajo privilegio. NOTA: El proveedor afirma que esta vulnerabilidad se descubrió mediante una cuenta de administrador y que son funciones de administrador normales. Por lo tanto, la afirmación de que el CVE se hizo con una cuenta de privilegios bajos es incorrecta.
Vulnerabilidad en Centreon Web anterior (CVE-2019-16405)
Gravedad:
AltaAlta
Publication date: 21/11/2019
Last modified:
31/12/2019
Descripción:
Centreon Web anterior a la versión 2.8.30, 18.10.x anterior a la versión 18.10.8, 19.04.x anterior a la versión 19.04.5 y 19.10.x anterior a la versión 19.10.2 permite la ejecución remota de código por parte de un administrador que puede modificar la configuración de ubicación de Macro Expression. CVE-2019-16405 y CVE-2019-17501 son similares entre sí y pueden ser iguales.
Vulnerabilidad en generación de contraseñas SSHA en la gema net-ldap de Ruby (CVE-2014-0083)
Gravedad:
BajaBaja
Publication date: 21/11/2019
Last modified:
19/12/2019
Descripción:
La gema net-ldap de Ruby versiones anteriores a 0.11 usa una sal débil cuando genera contraseñas SSHA.
Vulnerabilidad en los sistemas HPE Nimble Storage en configuraciones de grupos de múltiples matrices (CVE-2019-11996)
Gravedad:
AltaAlta
Publication date: 07/11/2019
Last modified:
24/08/2020
Descripción:
Han sido identificadas posibles vulnerabilidades de seguridad con los sistemas HPE Nimble Storage en configuraciones de grupos de múltiples matrices. Las vulnerabilidades podrían ser explotadas por un atacante para obtener privilegios elevados en la matriz. Las siguientes versiones de NimbleOS, y todas las versiones posteriores, contienen una corrección de software para esta vulnerabilidad: 3.9.2.0, 4.5.5.0, 5.0.8.0 y 5.1.3.0.
Vulnerabilidad en el campo Command Line en Centreon (CVE-2019-17501)
Gravedad:
AltaAlta
Publication date: 14/10/2019
Last modified:
18/12/2019
Descripción:
Centreon versión 19.04, permite a atacantes ejecutar comandos arbitrarios del sistema operativo por medio del campo Command Line de main.php?p=60807&type=4 [también se conoce como la pantalla Configuration ) Commands ) Discovery]. CVE-2019-17501 y CVE-2019-16405 son similares entre sí y pueden ser los mismos.
Vulnerabilidad en en SIMATIC CP 1626 (CVE-2019-10929)
Gravedad:
MediaMedia
Publication date: 13/08/2019
Last modified:
10/03/2020
Descripción:
Se ha identificado una vulnerabilidad en SIMATIC CP 1626 (Todas las versiones), SIMATIC ET 200SP Open Controller CPU 1515SP PC (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incluidas las variantes SIPLUS) (Todas las versiones anterirores o igual a la versión 20.8), SIMATIC ET200SP (incluidas las variantes SIPLUS) Open Controller CPU 1515SP PC (todas las versiones), SIMATIC ET200SP (incluidas las variantes SIPLUS) Open Controller CPU 1515SP PC2 (todas las versiones), SIMATIC HMI Panel (incluidas las variantes SIPLUS) (Todas las versiones), Software para PC SIMATIC NET (Todas las versiones), SIMATIC S7 PLCSIM Advanced (Todas las versiones <= V3.0), Familia de CPU SIMATIC S7-1200 (incluidas las variantes SIPLUS) (Todas las versiones anteriores o igual a la versión V4.4), Familia de CPU SIMATIC S7-1500 (incluidas las CPU ET200 relacionadas y las variantes SIPLUS), excluyendo la CPU 1518 MFP (y la variante SIPLUS relacionada) (Todas las versiones anteriores o igual a la versión V2.8.1), la familia de CPU SIMATIC S7-1500 (incluidas las CPU ET200 relacionadas y Variantes SIPLUS), excluyendo CPU 1518-4 PN / DP y CPU 1518 MFP (y variante SIPLUS relacionada) (Todas las versiones anteriores o igual a la versión V2.8.1), SIMATIC S7-1500 Software Controlador re (Todas las versiones anteriores o igual a la versión V20.8), SIMATIC STEP 7 (TIA Portal) (Todas las versiones anteriores a la versión V16), SIMATIC WinCC (TIA Portal) (Todas las versiones anteriores a la versión V16), SIMATIC WinCC OA (Todas las versiones anteriores a la versión 3.15), SIMATIC WinCC Runtime Advanced (todas las versiones), SIMATIC WinCC Runtime Professional (todas las versiones), TIM 1531 IRC (incl. Variante SIPLUS) (todas las versiones). Un atacante en una posición Man-in-the-Middle podría modificar potencialmente el tráfico de red intercambiado en el puerto 102 / tcp a los PLC de las familias de CPU SIMATIC S7-1200, SIMATIC S7-1500 y SIMATIC SoftwareController, debido a ciertas propiedades en el cálculo utilizado para la protección de la integridad. Para explotar la vulnerabilidad, un atacante debe poder realizar un ataque Man-in-the-Middle. La vulnerabilidad podría afectar la integridad de la comunicación. No se conocía la explotación pública de la vulnerabilidad en el momento de la publicación de asesoramiento.