Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en id de sesión en Rack (rack RubyGem) (CVE-2019-16782)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
18/01/2020
Descripción:
Se presenta una posible vulnerabilidad de fuga de información y secuestro de sesión en Rack (rack RubyGem). Esta vulnerabilidad está parchada en las versiones 1.6.12 y 2.0.8. Los atacantes pueden ser capaces de encontrar y secuestrar sesiones utilizando ataques de sincronización dirigidos al id de sesión. Los id de sesión comúnmente son almacenados e indexados a una base de datos que utiliza algún tipo de esquema para acelerar las búsquedas de ese identificador de sesión. Al medir cuidadosamente la cantidad de tiempo que toma buscar una sesión, un atacante puede encontrar un id de sesión válida y secuestrar la sesión. El id de sesión en sí puede ser generado aleatoriamente, pero la forma en que es indexada la sesión por parte del almacén de respaldo no utiliza una comparación segura.
Vulnerabilidad en un archivo DLL en el directorio de la aplicación en Trend Micro HouseCall for Home Network (CVE-2019-19688)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
07/10/2020
Descripción:
Una vulnerabilidad de escalada de privilegios en Trend Micro HouseCall for Home Networks (versiones por debajo de 5.3.0.1063), podría ser explotada permitiendo a un atacante colocar un archivo DLL malicioso en el directorio de la aplicación y elevar los privilegios.
Vulnerabilidad en la funcionalidad App Password Protection en Trend Micro Mobile Security for Android (Consumer) en Android (CVE-2019-19690)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
28/12/2019
Descripción:
Trend Micro Mobile Security for Android (Consumer) versiones 10.3.1 y por debajo en Android versión 8.0+ presenta un problema donde un atacante podría omitir la funcionalidad App Password Protection del producto.
CVE-2019-18827
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
28/12/2019
Descripción:
En los dispositivos Barco ClickShare Button R9861500D01 (versiones de firmware anteriores a 1.9.0) el acceso JTAG se deshabilita después de una ejecución de código ROM. Esto significa que el acceso JTAG es posible cuando el sistema ejecuta código desde ROM antes de transferir el control al firmware incorporado.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Dash Core y Private Instant Verified Transactions (PIVX). (CVE-2019-16752)
Gravedad:
MediaMedia
Publication date: 04/12/2019
Last modified:
15/01/2020
Descripción:
Se descubrió un problema en Decentralized Anonymous Payment System (DAPS) hasta el 26/08/2019. Es posible forzar a las billeteras a enviar peticiones HTTP hacia ubicaciones arbitrarias, tanto en la red local como en Internet. Esta es una seria amenaza para la privacidad del usuario, ya que posiblemente puede filtrar su dirección IP y el hecho de que están usando el producto. Esto también afecta a Dash Core versiones hasta 0.14.0.3 y a Private Instant Verified Transactions (PIVX) versiones hasta la versión 3.4.0.