Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el plugin Email Subscribers & Newsletters de WordPress (CVE-2019-19985)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
27/07/2020
Descripción:
El plugin de WordPress, Email Subscribers & Newsletters, versiones anteriores a 4.2.3, presentó un fallo que permitía la descarga de archivos no autenticados con una divulgación de información del usuario.
Vulnerabilidad en el plugin Email Subscribers & Newsletters de WordPress (CVE-2019-19984)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
24/08/2020
Descripción:
El plugin de WordPress, Email Subscribers & Newsletters, versiones anteriores a 4.2.3, presentó un fallo que permitía a usuarios con capacidades edit_post administrar la configuración del plugin y las campañas de correo electrónico.
Vulnerabilidad en una petición /wp-admin/admin-post.php?es_skip=1&option_name= en el plugin Email Subscribers & Newsletters de WordPress (CVE-2019-19982)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
30/12/2019
Descripción:
El plugin de WordPress, Email Subscribers & Newsletters, versiones anteriores a 4.2.3, presentó un fallo que permitía la creación de opciones no autenticadas. A fin de explotar esta vulnerabilidad, un atacante debería enviar una petición /wp-admin/admin-post.php?es_skip=1&option_name=.
Vulnerabilidad en el plugin Email Subscribers & Newsletters de WordPress (CVE-2019-19981)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
24/08/2020
Descripción:
El plugin de WordPress, Email Subscribers & Newsletters, versiones anteriores a 4.2.3, presentó un fallo que permitía que una vulnerabilidad de tipo CSRF sea explotada en todas las configuraciones del plugin.
Vulnerabilidad en una función wp_ajax en el panel administrativo en el plugin Email Subscribers & Newsletters de WordPress (CVE-2019-19980)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
24/08/2020
Descripción:
El plugin de WordPress, Email Subscribers & Newsletters, versiones anteriores a 4.2.3, presentó un fallo de omisión de privilegios que permitía a usuarios autenticados (Suscriptor o acceso superior) enviar correos electrónicos de prueba desde el panel administrativo en nombre de un administrador. Esto se presenta porque el plugin registra una función wp_ajax en send_test_email.
Vulnerabilidad en Equinox Control Expert (CVE-2019-18234)
Gravedad:
AltaAlta
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
Equinox Control Expert, todas las versiones, es vulnerable a un ataque de inyección SQL, lo que puede permitir a un atacante ejecutar código arbitrario remotamente.
Vulnerabilidad en iRules en BIG-IP (CVE-2019-6685)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
En BIG-IP versiones 15.0.0 hasta 15.0.1.1, 14.1.0 hasta 14.1.2.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5.1, los usuarios con acceso para editar iRules son capaces de crear iRules lo que puede conllevar a una elevación de privilegios, modificación de la configuración y una ejecución arbitraria de comandos del sistema.
Vulnerabilidad en el registro del ID de sesión del cliente en el sistema BIG-IP APM (CVE-2019-19150)
Gravedad:
BajaBaja
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
En las versiones 15.0.0 hasta 15.0.1.1, 14.1.0 hasta 14.1.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5.1, el sistema BIG-IP APM registra el ID de sesión del cliente cuando una política por sesión es adjuntada al servidor virtual con el registro de depuración habilitado.
Vulnerabilidad en el procesamiento del tráfico mediante un servidor virtual estándar en BIG-IP (CVE-2019-6680)
Gravedad:
AltaAlta
Publication date: 23/12/2019
Last modified:
24/08/2020
Descripción:
En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.2, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5, mientras procesa el tráfico mediante un servidor virtual estándar que apunta a un servidor virtual de FastL4 (VIP sobre VIP), los dispositivos de hardware pueden dejar de responder.
Vulnerabilidad en un perfil FastL4 en los servidores virtuales BIG-IP con Loose Initiation (CVE-2019-6683)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
En las versiones 15.0.0 hasta 15.0.1.1, 14.1.0 hasta 14.1.2.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.2, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5.1 , los servidores virtuales BIG-IP con Loose Initiation habilitado sobre un perfil FastL4 pueden estar sujetos a un uso de flujo excesivo bajo condiciones no reveladas.
Vulnerabilidad en los paquetes de difusión en un BIG-IP Virtual Clustered Multiprocessing (vCMP) multi-blade (CVE-2019-6684)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
24/08/2020
Descripción:
En las versiones 15.0.0 hasta 15.0.1.1, 14.0.0 hasta 14.1.2.2, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5.1, bajo determinadas condiciones, un BIG-IP Virtual Clustered Multiprocessing (vCMP) multi-blade puede descartar los paquetes de difusión cuando son retransmitidos a los blades secundarios invitados de vCMP. Un atacante puede aprovechar los paquetes IP de difusión fragmentados para realizar cualquier tipo de ataque basado en fragmentación.
Vulnerabilidad en una consulta SNMP en un archivo de copia de seguridad de BIG-IP UCS en BIG-IP y BIG-IQ (CVE-2019-6688)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
24/08/2020
Descripción:
En BIG-IP versiones 15.0.0 hasta 15.0.1.1, 14.1.0 hasta 14.1.2.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5 y BIG-IQ versiones 6.0.0 hasta 6.1.0 y 5.2.0 hasta 5.4.0, un usuario puede obtener el secreto que se estaba utilizando para cifrar un archivo de copia de seguridad de BIG-IP UCS mientras se envía una consulta SNMP a el sistema BIG-IP o BIG-IQ, sin embargo, el usuario no puede acceder a los archivos de UCS.
Vulnerabilidad en el procesamiento de respuestas HTTP en el servidor web de origen en el sistema BIG-IP ASM (CVE-2019-6682)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
En las versiones 15.0.0 hasta 15.0.1.1, 14.0.0 hasta 14.1.2.2, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5.1, el sistema BIG-IP ASM puede consumir recursos excesivos cuando procesa determinados tipos de respuestas HTTP desde el servidor web de origen. Esta vulnerabilidad es solo conocida por afectar a los sistemas con recursos limitados en los que la política de seguridad está configurada con funcionalidades del lado de la respuesta, tales como Data Guard o el aprendizaje del lado de la respuesta.
Vulnerabilidad en un perfil TCP en TMM en BIG-IP (CVE-2019-6677)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
24/08/2020
Descripción:
En BIG-IP versiones 15.0.0-15.0.1, 14.1.0-14.1.2, 14.0.0-14.0.1, 13.1.0-13.1.3.1 y 12.1.0-12.1.5, bajo determinadas condiciones cuando usando configuraciones de control de congestión TCP personalizadas en un perfil TCP, TMM deja de procesar el tráfico cuando es procesado mediante una iRule.
Vulnerabilidad en TMM en BIG-IP Virtual Edition (VE) (CVE-2019-6676)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
24/08/2020
Descripción:
En las versiones 15.0.0 hasta15.0.1, 14.0.0 hasta 14.1.2.2 y 13.1.0 hasta 13.1.3.1, TMM puede reiniciarse en BIG-IP Virtual Edition (VE) cuando se usan descriptores directos de virtio y paquetes de 2 KB o mas grandes.
Vulnerabilidad en el archivo vrend_renderer.c en virglrenderer (CVE-2019-18388)
Gravedad:
BajaBaja
Publication date: 23/12/2019
Last modified:
15/01/2020
Descripción:
Una desreferencia del puntero NULL en el archivo vrend_renderer.c en virglrenderer versiones hasta 0.8.0, permite a usuarios invitados del sistema operativo causar una denegación de servicio por medio de comandos malformados.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16464)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de uso de la memoria previamente liberada. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16465)
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16455)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de desreferencia de puntero no confiable. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16445)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de uso de la memoria previamente liberada. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16446)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de desreferencia de puntero no confiable. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16448)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de uso de la memoria previamente liberada. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
CVE-2019-16449
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
24/08/2020
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16450)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de escritura fuera de límites. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16451)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
03/02/2020
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de desbordamiento de pila. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16452)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de uso de la memoria previamente liberada. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16453)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de omisión de seguridad. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16454)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de escritura fuera de límites. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16456)
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16457)
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16458)
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16459)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de uso de la memoria previamente liberada. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16460)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de desreferencia de puntero no confiable. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16461)
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16462)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
24/08/2020
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de error de búfer. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16463)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
30/12/2019
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de desreferencia de puntero no confiable. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Acrobat and Reader (CVE-2019-16444)
Gravedad:
AltaAlta
Publication date: 19/12/2019
Last modified:
24/08/2020
Descripción:
Adobe Acrobat and Reader, versiones 2019.021.20056 y anteriores, 2017.011.30152 y anteriores, 2017.011.30155 y anteriores, 2017.011.30152 y anteriores, y 2015.006.30505 y anteriores, presenta una vulnerabilidad de plantación binaria (escalada de privilegios de carpeta predeterminada). Una explotación con éxito podría conllevar a una escalada de privilegios.
Vulnerabilidad en la integración de inicio de sesión de Salesforce en GitLab CE/EE (CVE-2019-5486)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Se presenta una vulnerabilidad de omisión de autenticación en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6 y versiones anteriores a v12.1.10, en la integración de inicio de sesión de Salesforce lo que podría ser utilizado por un atacante para crear una cuenta que omitiera las restricciones de dominio y los requisitos de comprobación de correo electrónico.
Vulnerabilidad en el agente Java JMX en los productos RSA Identity Governance and Lifecycle y RSA Via Lifecycle and Governance (CVE-2019-18572)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
31/08/2020
Descripción:
Los productos RSA Identity Governance and Lifecycle y RSA Via Lifecycle and Governance versiones anteriores a 7.1.1 P03, contienen una vulnerabilidad de Autenticación Inapropiada. Un agente Java JMX que se ejecuta en el host remoto está configurado con autenticación de contraseña de texto plano. Un atacante remoto no autenticado puede conectarse al agente JMX y monitorear y administrar la aplicación Java.
Vulnerabilidad en una URL en el módulo My Access Live [MAL] en los productos RSA Identity Governance and Lifecycle y RSA Via Lifecycle and Governance (CVE-2019-18571)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
31/08/2020
Descripción:
Los productos RSA Identity Governance and Lifecycle y RSA Via Lifecycle and Governance versiones anteriores a 7.1.1 P03, contienen una vulnerabilidad de tipo cross-site scripting reflejado en el módulo My Access Live [MAL]. Un usuario local malicioso autenticado podría explotar potencialmente esta vulnerabilidad mediante el envío de una URL diseñada con scripts. Cuando los usuarios víctimas acceden al módulo por medio de sus navegadores, el código malicioso es insertado y ejecutado mediante el navegador web en el contexto de la aplicación web vulnerable.
Vulnerabilidad en una funcionalidad de analizador estándar o SAX usando la variable de entorno XERCES_DISABLE_DTD en el escaneo de los DTD externos en el analizador XML de Apache Xerces (CVE-2018-1311)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
11/03/2020
Descripción:
El analizador XML de Apache Xerces - versiones C 3.0.0 hasta 3.2.2, contiene un error de uso de la memoria previamente liberada desencadenado durante el escaneo de los DTD externos. Este error no se ha abordado en la versión mantenida de la biblioteca y no tiene una mitigación actual que no sea deshabilitar el procesamiento de DTD. Esto se puede lograr por medio de DOM usando una funcionalidad de analizador estándar, o por medio de SAX usando la variable de entorno XERCES_DISABLE_DTD.
Vulnerabilidad en un token de restablecimiento de contraseña hacia una dirección de correo electrónico en Django (CVE-2019-19844)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
08/01/2020
Descripción:
Django versiones anteriores a 1.11.27, versiones 2.x anteriores a 2.2.9 y versiones 3.x anteriores a 3.0.1, permite tomar el control de la cuenta. Una dirección de correo electrónico diseñada adecuadamente (que es igual a la dirección de correo electrónico de un usuario existente después de la transformación de mayúsculas y minúsculas de los caracteres Unicode) permitiría a un atacante enviarle un token de restablecimiento de contraseña para la cuenta de usuario coincidente. (Una mitigación en las nuevas versiones es enviar tokens de restablecimiento de contraseña solo a la dirección de correo electrónico del usuario registrado).
Vulnerabilidad en la memoria en diversos productos de Apple (CVE-2019-8545)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la administración del estado. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2. Un usuario local puede ser capaz de causar la terminación inesperada del sistema o leer la memoria del kernel.
Vulnerabilidad en el búfer en diversos productos de Apple para Windows (CVE-2019-8542)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un desbordamiento del búfer fue abordado mejorando la comprobación de límites. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. Una aplicación maliciosa puede ser capaz de elevar privilegios.
Vulnerabilidad en el acceso en diversos productos de Apple (CVE-2019-8546)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de acceso fue abordado con restricciones de sandbox adicionales. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, watchOS versión 5.2. Un usuario local puede ser capaz de visualizar información confidencial del usuario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8551)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema lógico fue abordado con una comprobación mejorada. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a un ataque de tipo cross site scripting universal.
Vulnerabilidad en la inicialización de memoria en diversos productos de Apple (CVE-2019-8552)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de inicialización de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2. Una aplicación maliciosa puede ser capaz de elevar privilegios.
Vulnerabilidad en Face ID en iOS de Apple (CVE-2019-8760)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Este problema fue corregido mejorando los modelos de aprendizaje automático de Face ID. Este problema fue corregido en iOS versión 13. Un modelo 3D construido para parecerse al usuario inscrito puede autenticarse mediante Face ID.
Vulnerabilidad en el procesamiento de un archivo en Xcode de Apple (CVE-2019-8800)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado con una comprobación mejorada. Este problema es corregido en Xcode versión 11.2. El procesamiento de un archivo diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8808)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
15/03/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 13.2 y iPadOS versión 13.2, tvOS versión 13.2, watchOS versión 6.1, Safari versión 13.0.3, iTunes para Windows versión 12.10.2. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en macOS Catalina (CVE-2019-8817)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de comprobación fue abordado mejorando el saneamiento de la entrada. Este problema es corregido en macOS Catalina versión 10.15.1. Una aplicación puede ser capaz de leer la memoria restringida.
Vulnerabilidad en una aplicación en iOS (CVE-2019-7287)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.1.4. Una aplicación puede ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en el búfer en diversos productos Apple (CVE-2019-8527)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un desbordamiento del búfer fue abordado con una comprobación de tamaño mejorada. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2. Un atacante remoto puede causar la terminación inesperada del sistema o dañar la memoria del kernel.
Vulnerabilidad en el procesamiento de un archivo en Xcode de Apple (CVE-2019-8806)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado con una comprobación mejorada. Este problema es corregido en Xcode 11.2. El procesamiento de un archivo diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8535)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la administración del estado. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en una DLL en el archivo QAAdminAgent.exe en las bibliotecas nvapi.dll, atiadlxx.dll o atiadlxy.dll en el Quick Access Service (CVE-2019-18670)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
30/12/2019
Descripción:
En el Quick Access Service (QAAdminAgent.exe) en Acer Quick Access versiones V2.01.3000 hasta 2.01.3027 y versión V3.00.3000 hasta V3.00.3008, un usuario REGULAR puede cargar una DLL arbitraria sin firmar en el proceso del servicio firmado, que es ejecutado como NT AUTHORITY\SYSTEM. Esta es una vulnerabilidad de secuestro de DLL (incluido el secuestro de orden de búsqueda, que busca la DLL que falta en la variable de entorno PATH), que es causada por un elemento de ruta de búsqueda no controlada para las bibliotecas nvapi.dll, atiadlxx.dll o atiadlxy.dll.
Vulnerabilidad en los comandos pull o push en la caché de imágenes en Docker Engine y CS Docker Engine (CVE-2014-8178)
Gravedad:
BajaBaja
Publication date: 17/12/2019
Last modified:
30/12/2019
Descripción:
Docker Engine versiones anteriores a la versión 1.8.3 y CS Docker Engine versiones anteriores a la versión 1.6.2-CS7, no utilizan un identificador único de forma global para almacenar capas de imágenes, lo que facilita a atacantes envenenar la caché de imágenes por medio de una imagen especialmente diseñada en los comandos pull o push.
Vulnerabilidad en ListEntityLinksServlet en Application Links (CVE-2019-15011)
Gravedad:
MediaMedia
Publication date: 17/12/2019
Last modified:
30/12/2019
Descripción:
El recurso ListEntityLinksServlet en Application Links en versiones anteriores a la 5.0.12, de la versión 5.1.0 en versiones anteriores a la 5.2.11, de la versión 5.3.0 en versiones anteriores a la 5.3.7, de la versión 5.4.0 en versiones anteriores a la 5.4.13 y de la versión 6.0.0 en versiones anteriores a la 6.0.5 divulgó la información del enlace de la aplicación a usuarios no administradores a mediante una verificación de permisos faltantes.
Vulnerabilidad en la configuración del BIOS en el arranque de la plataforma en el Dell XPS 13 2-in-1 (7390) BIOS (CVE-2019-18579)
Gravedad:
AltaAlta
Publication date: 16/12/2019
Last modified:
30/12/2019
Descripción:
La configuración de las versiones anteriores a 1.1.3 del Dell XPS 13 2-in-1 (7390) BIOS, contiene una vulnerabilidad de configuración. La configuración del BIOS para la configuración "Enable Thunderbolt (and PCIe behind TBT) pre-boot modules" está habilitada por defecto. Un atacante local no autenticado con acceso físico al sistema de un usuario puede obtener acceso de lectura o escritura a la memoria principal por medio de un ataque de tipo DMA durante el arranque de la plataforma.
Vulnerabilidad en conexiones persistentes en RubyGem excon (CVE-2019-16779)
Gravedad:
MediaMedia
Publication date: 16/12/2019
Last modified:
13/01/2020
Descripción:
En RubyGem excon versiones anteriores a 0.71.0, se presentó una condición de carrera alrededor de conexiones persistentes, donde una conexión que es interrumpida (tal y como, mediante un tiempo de espera) dejaría datos en el socket. Las peticiones posteriores entonces leerían estos datos y devolverían el contenido de la respuesta anterior. La ventana de condición de carrera parece ser corta, y sería difícil explotar esto a propósito.
Vulnerabilidad en el dispositivo Huawei E5572-855 (CVE-2019-5253)
Gravedad:
AltaAlta
Publication date: 13/12/2019
Last modified:
30/12/2019
Descripción:
El dispositivo Huawei E5572-855 con versiones anteriores a la versión 8.0.1.3 (H335SP1C233), tiene una vulnerabilidad de autenticación inapropiada. El dispositivo no lleva a cabo una autenticación suficiente cuando realiza ciertas operaciones, una explotación con éxito podría permitir a un atacante hacer que el dispositivo se reinicie después de iniciar un ataque de tipo man in the middle.
Vulnerabilidad en el controlador HTTP de RadChart de un archivo web.config en RadChart en la interfaz de usuario de Telerik para ASP.NET AJAX (CVE-2019-19790)
Gravedad:
AltaAlta
Publication date: 13/12/2019
Last modified:
30/12/2019
Descripción:
El salto de ruta en RadChart en la interfaz de usuario de Telerik para ASP.NET AJAX permite a un atacante remoto leer y eliminar una imagen con extensión .BMP, .EXIF, .GIF, .ICON, .JPEG, .PNG, .TIFF o .WMF en el servidor por medio de una petición especialmente diseñada. NOTA: RadChart fue descontinuada en 2014 a favor de RadHtmlChart. Todas las versiones de RadChart se vieron afectadas. Para impedir esta vulnerabilidad, debe eliminar el controlador HTTP de RadChart de un archivo web.config (su tipo es Telerik.Web.UI.ChartHttpHandler).
Vulnerabilidad en "select hostdetails from hostdetails" en el endpoint /event/runquery.do en Zoho ManageEngine EventLog Analyzer (CVE-2019-19774)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en Zoho ManageEngine EventLog Analyzer versión 10.0 SP1 versiones anteriores a Build 12110. Al ejecutar "select hostdetails from hostdetails" en el endpoint /event/runquery.do, es posible omitir las restricciones de seguridad que impiden que incluso los usuarios administrativos visualicen datos de credenciales almacenados en la base de datos y recupera los hash MD5 de las cuentas usadas para autenticar la plataforma ManageEngine en las máquinas administradas sobre la red (con frecuencia cuentas administrativas). Específicamente, esto omite estas restricciones: una consulta no puede mencionar la contraseña y el resultado de una consulta no puede tener una columna de contraseña.
Vulnerabilidad en el archivo /system/ws/v11/ss/email en los campos fromName y message en EGain Web Email API 11+ (CVE-2019-17123)
Gravedad:
MediaMedia
Publication date: 13/12/2019
Last modified:
30/12/2019
Descripción:
EGain Web Email API 11+ permite mensajes falsos porque los campos fromName y message (en el archivo /system/ws/v11/ss/email) se manejan inapropiadamente, como es demostrado por una inyección de encabezado fromName con un carácter %0a o %0d. (Además, el parámetro message puede tener caracteres de comentario HTML iniciales).
Vulnerabilidad en una clave SSH en minerstat msOS (CVE-2019-19750)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
30/12/2019
Descripción:
minerstat msOS antes del 23-10-2019, no presenta una clave SSH única para cada instancia del producto.
Vulnerabilidad en un mensaje HTTP en el servidor web del dispositivo en los controladores de automatización Desigo PX (CVE-2019-13927)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
30/12/2019
Descripción:
Se ha identificado una vulnerabilidad en los controladores de automatización Desigo PX PXC00-ED, PXC50-ED, PXC100-ED, PXC200-ED con los módulos web Desigo PX PXA40-W0, PXA40-W1, PXA40-W2 (Todas las versiones de firmware anteriores a V6.00.320) , controladores de automatización Desigo PX PXC00-U, PXC64-U, PXC128-U con módulos web Desigo PX PXA30-W0, PXA30-W1, PXA30-W2 (todas las versiones de firmware anteriores a V6.00.320), controladores de automatización Desigo PX PXC22.1-ED, PXC36-ED, PXC36.1-ED con servidor web activado (Todas las versiones de firmware anteriores a V6.00.320). El dispositivo contiene una vulnerabilidad que podría permitir a un atacante causar una condición de denegación de servicio en el servidor web del dispositivo mediante el envío de un mensaje HTTP especialmente diseñado hacia el puerto del servidor web (tcp/80). La vulnerabilidad de seguridad podría ser explotada por un atacante con acceso de red en un dispositivo afectado. Una explotación con éxito no requiere privilegios del sistema ni interacción del usuario. Un atacante podría usar la vulnerabilidad para comprometer la disponibilidad del servicio web del dispositivo. Mientras el dispositivo se mantiene operativo, el servidor web responde con el código de estado HTTP 404 (No encontrado) a cualquier nueva petición. Un reinicio es requerido para recuperar la interfaz web. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en una petición HTTP en el parámetro mount en el servicio usb_remove en los dispositivos Fastweb Askey (CVE-2019-12489)
Gravedad:
AltaAlta
Publication date: 26/11/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en los dispositivos Fastweb Askey versión RTV1907VW 0.00.81_FW_200_Askey 02-10-2018 18:08:18. Al usar el servicio usb_remove mediante una petición HTTP, es posible inyectar y ejecutar un comando entre dos caracteres en el parámetro mount.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en contienen un defecto de secuencias de comandos de sitios cruzados (CVE-2019-7621)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
10/02/2020
Descripción:
Las versiones de Kibana anteriores a 6.8.6 y 7.5.1 contienen un defecto de secuencias de comandos de sitios cruzados (XSS) en las visualizaciones de mapas de coordenadas y regiones. Un atacante con la capacidad de crear visualizaciones de mapas de coordenadas podría crear una visualización maliciosa. Si otro usuario de Kibana ve esa visualización o un tablero que contiene la visualización, podría ejecutar JavaScript en el navegador de la víctima.
Vulnerabilidad en Al utilizar la tarea cd4pe :: root_configuration (CVE-2019-10695)
Gravedad:
MediaMedia
Publication date: 11/12/2019
Last modified:
10/02/2020
Descripción:
Al utilizar la tarea cd4pe :: root_configuration para configurar una Entrega continua para la instalación de PE, el nombre de usuario y la contraseña del usuario raíz se expusieron en el panel Detalles del trabajo del trabajo en la consola de PE. Estos problemas se han resuelto en la versión 1.2.1 del módulo puppetlabs / cd4pe.
Vulnerabilidad en la función sqlite3ExprCodeTarget en SQLite. (CVE-2019-19242)
Gravedad:
MediaMedia
Publication date: 27/11/2019
Last modified:
15/04/2020
Descripción:
SQLite versión 3.30.1, maneja inapropiadamente pExpr-)y.pTab, como es demostrado por el caso TK_COLUMN en la función sqlite3ExprCodeTarget en el archivo expr.c.
Vulnerabilidad en phpCAS (CVE-2012-5583)
Gravedad:
MediaMedia
Publication date: 06/06/2014
Last modified:
30/12/2019
Descripción:
phpCAS anterior a 1.3.2 no verifica que el nombre del servidor coincide con un nombre de dominio en el campo del asunto Common Name (CN) o subjectAltName del certificado X.509, lo que permite a atacantes man-in-the-middle falsificar servidores SSL a través de un certificado válido arbitrario.
Vulnerabilidad en phpCAS (CVE-2010-3690)
Gravedad:
MediaMedia
Publication date: 07/10/2010
Last modified:
30/12/2019
Descripción:
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en phpCAS anterior a v1.1.3, cuando el modo proxy está habilitado, permite a atacantes remotos inyectar secuencias de comandos web o HTML (1) a través del parámetro modificado Proxy Granting Ticket IOU (PGTiou) para la función callback en client.php y vectores que implican funciones que realizan llamadas getCallbackURL, o (3) vectores que implican funciones que realizan llamadas getURL
Vulnerabilidad en phpCAS (CVE-2010-3692)
Gravedad:
MediaMedia
Publication date: 07/10/2010
Last modified:
30/12/2019
Descripción:
Vulnerabilidad de salto de directorio en la función callback en client.php en phpCAS anterior a v1.1.3, cuando el modo proxy está habilitado, permite a atacantes crear o sobreescribir ficheros arbitrarios mediante secuencias de salto de directorio en el parámetro Proxy Granting Ticket IOU (PGTiou).
Vulnerabilidad en phpCAS (CVE-2010-3691)
Gravedad:
BajaBaja
Publication date: 07/10/2010
Last modified:
30/12/2019
Descripción:
PGTStorage/pgt-file.php en phpCAS anterior a v1.1.3, cuando el modo proxy está habilitado, permite a usuarios locales sobreescribir ficheros arbitrarios mediante un ataque de enlace simbólico sobre un fichero sin especificar.