Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las plantillas en las propiedades __proto__ y __defineGetter__ de un Objeto en handlebars (CVE-2019-19919)
Gravedad:
AltaAlta
Publication date: 20/12/2019
Last modified:
23/12/2019
Descripción:
Las versiones anteriores a 4.3.0 de handlebars, son vulnerables a la Contaminación de Prototipos conllevando a una ejecución de código remota. Las plantillas pueden alterar las propiedades __proto__ y __defineGetter__ de un Objeto, lo que puede permitir a un atacante ejecutar código arbitrario por medio de cargas útiles diseñadas.
Vulnerabilidad en la Interfaz de Usuario Web en IBM Financial Transaction Manager (CVE-2019-4744)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
22/12/2019
Descripción:
IBM Financial Transaction Manager versión 3.0, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 172882.
Vulnerabilidad en un enlace http:// en los tokens de autorización o cookies de sesión en IBM Financial Transaction Manager (CVE-2019-4743)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
22/12/2019
Descripción:
IBM Financial Transaction Manager versión 3.0, no establece el atributo seguro en los tokens de autorización o cookies de sesión. Los atacantes pueden ser capaces de obtener los valores de las cookies mediante el envío de un enlace http:// a un usuario o plantando este enlace en un sitio al que va el usuario. La cookie será enviada al enlace no seguro y el atacante puede obtener el valor de la cookie espiando el tráfico. ID de IBM X-Force: 172880.
Vulnerabilidad en un sitio web en la acción de clic en IBM Financial Transaction Manager (CVE-2019-4742)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
23/12/2019
Descripción:
IBM Financial Transaction Manager versión 3.0, podría permitir a un atacante remoto secuestrar la acción de clic de la víctima. Al persuadir a una víctima para que visite un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de clic de la víctima y posiblemente activar nuevos ataques contra la víctima. ID de IBM X-Force: 172877.
Vulnerabilidad en un usuario confiable en IBM Financial Transaction Manager (CVE-2019-4736)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
23/12/2019
Descripción:
IBM Financial Transaction Manager versión 3.0, es vulnerable a un ataque de tipo cross-site request forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía. ID de IBM X-Force: 172706.
Vulnerabilidad en un usuario confiable en IBM Cognos Analytics (CVE-2019-4231)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
03/01/2020
Descripción:
IBM Cognos Analytics versiones 11.0 y 11.1, es vulnerable a un ataque de tipo cross-site request forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario en el que el sitio web confía. ID de IBM X-Force: 159356.
Vulnerabilidad en http_server (CVE-2019-15600)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Se presenta un Salto de Ruta en http_server que permite a un atacante leer archivos arbitrarios del sistema.
Vulnerabilidad en el archivo bitstr.c en la función bitstr_tell en ffjpeg (CVE-2019-19887)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
La función bitstr_tell en el archivo bitstr.c en ffjpeg hasta 21-08-2019, presenta una desreferencia del puntero NULL relacionada con jfif_encode.
Vulnerabilidad en un endpoint que usa transporte XML en Restlet (CVE-2012-2656)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Se presenta un problema de XML eXternal Entity (XXE) en Restlet versión 1.1.10 en un endpoint que utiliza transporte XML, lo que permite a un atacante remoto obtener información confidencial.
Vulnerabilidad en el archivo jfif.c en la función jfif_decode en ffjpeg (CVE-2019-19888)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
La función jfif_decode en el archivo jfif.c en ffjpeg hasta 21-08-2019, presenta un error de división por cero.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8811)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, watchOS versión 6.1, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el instalador de iTunes para Windows (CVE-2019-6232)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
21/12/2019
Descripción:
Se presentó una condición de carrera durante la instalación de iTunes para Windows. Esto se abordó con un mejor manejo del estado. Este problema es corregido en iCloud para Windows versión 7.11. Ejecutar el instalador de iTunes en un directorio no confiable puede resultar en la ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8823)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8822)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8821)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8820)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, watchOS versión 6.1, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8819)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8816)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, watchOS versión 6.1, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8815)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8814)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8813)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Un problema lógico fue abordado mejorando la gestión del estado. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, Safari versión 13.0.3, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0. El procesamiento de contenido web diseñado maliciosamente puede conllevar a un ataque de tipo cross site scripting universal.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8812)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, watchOS versión 6.1, Safari versión 13.0.3, iTunes para Windows versión 12.10.2. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en macOS Catalina de Apple (CVE-2019-8807)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
21/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en macOS Catalina versión 10.15.1. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en el procesamiento de contenido web en diversos productos Apple para Windows (CVE-2019-8763)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.1 y iPadOS versión 13.1, tvOS versión 13, Safari versión 13.0.1, iTunes para Windows versión 12.10.1, iCloud para Windows versión 10.7, iCloud para Windows versión 7.14. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en watchOS (CVE-2019-8764)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Un problema lógico fue abordado mejorando la gestión del estado. Este problema es corregido en watchOS versión 6.1. El procesamiento de contenido web diseñado maliciosamente puede conllevar a un ataque de tipo cross site scripting universal.
Vulnerabilidad en el procesamiento de contenido web en watchOS (CVE-2019-8765)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en watchOS versión 6.1. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en watchOS y iCloud de Apple para Windows (CVE-2019-8766)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en watchOS versión 6.1, iCloud para Windows versión 11.0. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en "Clear History and Website Data" en macOS Catalina de Apple (CVE-2019-8768)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
"Clear History and Website Data" no borró el historial. El problema fue abordado con una eliminación de datos mejorada. Este problema es corregido en macOS Catalina versión 10.15. Puede ser que un usuario no sea capaz de eliminar elementos del historial de navegación.
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2019-8770)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
El problema fue abordado con una lógica de permisos mejorada. Este problema es corregido en macOS Catalina versión 10.15. Una aplicación maliciosa puede acceder a documentos recientes.
Vulnerabilidad en el manejo de enlaces en archivos PDF encriptados en macOS Catalina (CVE-2019-8772)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
11/02/2020
Descripción:
Se presentó un problema en el manejo de enlaces en archivos PDF encriptados. Este problema fue corregido agregando un mensaje de confirmación. Este problema es corregido en macOS Catalina versión 10.15. Un atacante puede exfiltrar el contenido de un PDF encriptado.
Vulnerabilidad en la pantalla de bloqueo en iOS y iPadOS de Apple (CVE-2019-8775)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
El problema fue abordado restringiendo las opciones ofrecidas en un dispositivo bloqueado. Este problema es corregido en iOS versión 13.1 y iPadOS versión 13.1. Una persona con acceso físico a un dispositivo con iOS puede acceder a los contactos desde la pantalla de bloqueo.
Vulnerabilidad en una aplicación en la memoria en macOS Catalina de Apple (CVE-2019-8781)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
20/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la gestión del estado. Este problema es corregido en macOS Catalina versión 10.15. Una aplicación puede ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en una aplicación en la memoria en diversos productos de Apple para Windows (CVE-2019-8784)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, macOS Catalina versión 10.15.1, iTunes para Windows versión 12.10.2, iCloud para Windows versión 11.0, iCloud para Windows versión 7.15. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8787)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
22/12/2019
Descripción:
Una lectura fuera de límites fue abordada con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, macOS Catalina versión 10.15.1, tvOS versión 13.2, watchOS versión 6.1. Un atacante remoto puede ser capaz de filtrar la memoria.
Vulnerabilidad en análisis de un archivo iBooks en el manejo de enlaces simbólicos en diversos productos de Apple (CVE-2019-8789)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Se presentó un problema de comprobación en el manejo de enlaces simbólicos. Este problema fue abordado con una comprobación mejorada de los enlaces simbólicos. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, macOS Catalina versión 10.15.1. Analizar un archivo iBooks diseñado maliciosamente puede conllevar a una divulgación de información del usuario.
Vulnerabilidad en el procesamiento de una URL en Shazam Android App y Shazam iOS App (CVE-2019-8792)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Un problema de inyección fue abordado con una comprobación mejorada. Este problema fue corregido en Shazam Android App versión 9.25.0 y Shazam iOS App versión 12.11.0. El procesamiento de una URL diseñada maliciosamente puede conllevar a una ejecución arbitraria de código JavaScript.
Vulnerabilidad en el indicador de grabación de pantalla en iOS y iPadOS de Apple (CVE-2019-8793)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Se presentó un problema de coherencia al decidir cuándo mostrar el indicador de grabación de pantalla. El problema fue resuelto con una mejor gestión del estado. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2. Un usuario local puede ser capaz de grabar la pantalla sin un indicador de grabación de pantalla visible.
Vulnerabilidad en una aplicación en la memoria en diversos productos de Apple (CVE-2019-8795)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una aplicación en la memoria en diversos productos de Apple (CVE-2019-8797)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, macOS Catalina versión 10.15.1, tvOS versión 13.2, watchOS versión 6.1. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una aplicación en la memoria en diversos productos de Apple (CVE-2019-8798)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, macOS Catalina versión 10.15.1, tvOS versión 13.2, watchOS versión 6.1. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2019-8802)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
21/12/2019
Descripción:
Un problema de comprobación fue abordado con una lógica mejorada. Este problema es corregido en macOS Catalina versión 10.15.1. Una aplicación maliciosa puede alcanzar privilegios root.
Vulnerabilidad en la verificación de los derechos del proceso en macOS Catalina de Apple (CVE-2019-8805)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Se presentó un problema de comprobación en la verificación de derechos. Este problema fue abordado con una comprobación mejorada de los derechos del proceso. Este problema es corregido en macOS Catalina versión 10.15.1. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en HPE OneView para VMware vCenter (CVE-2019-11992)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
23/12/2019
Descripción:
Una vulnerabilidad de seguridad en HPE OneView para VMware vCenter versión 9.5, podría ser explotada remotamente para permitir un ataque de tipo Cross-Site Scripting.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo z02.c en la función srcnext() en Lout (CVE-2019-19918)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
02/11/2020
Descripción:
Lout versión 3.40, presenta un desbordamiento de búfer en la región heap de la memoria en la función srcnext() en el archivo z02.c.
Vulnerabilidad en el archivo z39.c en la función StringQuotedWord() en Lout (CVE-2019-19917)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
05/11/2020
Descripción:
Lout versión 3.40, presenta un desbordamiento de búfer en la función StringQuotedWord() en el archivo z39.c.
Vulnerabilidad en la Interfaz de Usuario Web en IBM Cognos Analytics (CVE-2019-4555)
Gravedad:
BajaBaja
Publication date: 20/12/2019
Last modified:
17/03/2020
Descripción:
IBM Cognos Analytics versiones 11.0 y 11.0, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 166204.
Vulnerabilidad en el backend GnuTLS en systemd (CVE-2018-21029)
Gravedad:
AltaAlta
Publication date: 30/10/2019
Last modified:
02/09/2020
Descripción:
** EN DISPUTA ** systemd versiones 239 hasta la versión 245, acepta cualquier certificado firmado por parte de una autoridad de certificación de confianza para DNS Over TLS. La indicación de nombre de servidor (SNI) no se envía y no existe comprobación de nombre de host con el backend GnuTLS. NOTA: Esto ha sido discutido por el desarrollador como una vulnerabilidad, ya que la validación del hostname no tiene nada que ver con este problema (es decir, no hay ningún nombre de host que se envíe)
Vulnerabilidad en OpenWrt libuci (CVE-2019-15513)
Gravedad:
AltaAlta
Publication date: 23/08/2019
Last modified:
24/08/2020
Descripción:
Se detecto un problema un problema en OpenWrt libuci (también conocida como Biblioteca para la Interfaz de Configuración Unificada) en versiones anteriores a la 15.05.1 como se utiliza en los dispositivos Motorola CX2L MWR04L 1.01 y C1 MWR03 1.01. /tmp/.uci/network locking se maneja incorrectamente después de la recepción de un comando SetWanSettings largo, lo que lleva a un bloqueo del dispositivo.
Vulnerabilidad en OpenWrt (CVE-2018-11116)
Gravedad:
MediaMedia
Publication date: 19/06/2018
Last modified:
20/12/2019
Descripción:
** EN DISPUTA ** OpenWrt gestiona de manera incorrecta el control de acceso en los archivos /etc/config/rpcd y /usr/share/rpcd/acl.d, lo que permite a los usuarios autenticados remotos llamar a métodos arbitrarios (es decir, lograr el acceso ubus a través de HTTP) que solo se suponía que fueran accesibles para un usuario específico, como lo demuestran los espacios de nombres de archivo, registro y servicio, lo que podría conducir a la divulgación remota de información o a la ejecución de código. NOTA: El desarrollador lo niega como una vulnerabilidad, lo que indica que rpcd funciona correctamente.