Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la función "Customapp" en Cybozu Office (CVE-2019-6022)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
30/12/2019
Descripción:
Una vulnerabilidad de salto de directorio en Cybozu Office versiones 10.0.0 hasta 10.8.3, permite a atacantes autenticados remotos alterar archivos arbitrarios por medio de la función "Customapp".
Vulnerabilidad en el campo Good For en la página new listing submit en el tema ListingPro para WordPress (CVE-2019-19542)
Gravedad:
BajaBaja
Publication date: 26/12/2019
Last modified:
30/12/2019
Descripción:
El tema ListingPro versiones anteriores a v2.0.14.2 para WordPress, presenta una vulnerabilidad de tipo XSS persistente por medio del campo Good For en la página new listing submit.
Vulnerabilidad en el campo What en la página de inicio en el tema ListingPro para WordPress (CVE-2019-19540)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
30/12/2019
Descripción:
El tema ListingPro versiones anteriores a v2.0.14.2 para WordPress, presenta una vulnerabilidad de tipo XSS reflejado por medio del campo What en la página de inicio.
Vulnerabilidad en el producto ZTE ZXCLOUD GoldenData VAP (CVE-2019-3431)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
Todas las versiones hasta V4.01.01.02 del producto ZTE ZXCLOUD GoldenData VAP, presentan una vulnerabilidad de problemas de cifrado. Los atacantes podían rastrear la cuenta y la contraseña sin cifrar a través de la red para acceder al sistema del front-end.
Vulnerabilidad en el producto ZTE ZXCLOUD GoldenData VAP (CVE-2019-3430)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
Todas las versiones hasta V4.01.01.02 del producto ZTE ZXCLOUD GoldenData VAP, presentan una vulnerabilidad de divulgación de información. Los atacantes podrían usar esta vulnerabilidad para recopilar información de datos y dañar el sistema.
Vulnerabilidad en el archivo de registro en el producto ZTE ZXCLOUD GoldenData VAP (CVE-2019-3429)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
Todas las versiones hasta V4.01.01.02 del producto ZTE ZXCLOUD GoldenData VAP, presentan una vulnerabilidad de lectura de archivos. Los atacantes podrían obtener información del archivo de registro sin autorización, provocando una divulgación de información confidencial.
Vulnerabilidad en el archivo mms/asn1/ber_decode.c en la función BerDecoder_decodeUint32 en los parámetros intLen y bufPos en libIEC61850 (CVE-2019-19944)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
En libIEC61850 versión 1.4.0, la función BerDecoder_decodeUint32 en el archivo mms/asn1/ber_decode.c presenta una lectura fuera de límites, relacionada con intLen y bufPos.
Vulnerabilidad en el proceso TMM en la funcionalidad packet filter en BIG-IP (CVE-2019-6678)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
24/08/2020
Descripción:
En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2.2, 14.0.0 hasta 14.0.1 y 13.1.0 hasta 13.1.3.1, el proceso TMM puede reiniciarse cuando la funcionalidad packet filter está habilitada .
Vulnerabilidad en el archivo mms/iso_mms/server/mms_access_result.c en la función MmsValue_decodeMmsData en libIEC61850 (CVE-2019-19931)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
En libIEC61850 versión 1.4.0, la función MmsValue_decodeMmsData en el archivo mms/iso_mms/server/mms_access_result.c presenta un desbordamiento de búfer en la región heap de la memoria.
Vulnerabilidad en el archivo mms/iso_mms/common/mms_value.c en la función MmsValue_newOctetString en libIEC61850 (CVE-2019-19930)
Gravedad:
MediaMedia
Publication date: 23/12/2019
Last modified:
30/12/2019
Descripción:
En libIEC61850 versión 1.4.0, la función MmsValue_newOctetString en el archivo mms/iso_mms/common/mms_value.c presenta un error en la propiedad signedness de enteros que puede conllevar a un intento de asignación de memoria excesiva.
Vulnerabilidad en archivos de configuración .nethackrc en suid/sgid en NetHack (CVE-2019-16787)
Gravedad:
Sin asignarSin asignar
Publication date: 20/12/2019
Last modified:
11/03/2020
Descripción:
En NetHack versiones entre 3.6.0 y 3.6.3, existe un problema de desbordamiento de búfer cuando lee líneas muy largas desde un archivo de configuración de NetHack (generalmente denominado .nethackrc). Esta vulnerabilidad afecta a los sistemas que presentan NetHack instalado en suid/sgid y sistemas compartidos que permiten a los usuarios cargar sus propios archivos de configuración. Se insta a todos los usuarios a actualizar a NetHack versión 3.6.4 lo antes posible.
Vulnerabilidad en una aplicación en diversos productos Apple (CVE-2019-8530)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Este problema fue abordado con comprobaciones mejoradas. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2. Una aplicación maliciosa puede sobrescribir archivos arbitrarios.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8536)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, watchOS versión 5.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la memoria en iOS y macOS Mojave (CVE-2019-8529)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la comprobación de entrada. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4. Una aplicación puede ejecutar código arbitrario con privilegios de kernel.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8523)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Múltiples problemas de corrupción de memoria fueron abordados mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de una cadena diseñada en diversos productos de Apple (CVE-2019-8516)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Se solucionó un problema de comprobación con una lógica mejorada. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2. El procesamiento de una cadena diseñada maliciosamente puede conllevar a una denegación de servicio.
Vulnerabilidad en una aplicación en diversos productos de Apple (CVE-2019-8514)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema lógico fue abordado mejorando la gestión del estado. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2. Una aplicación puede obtener privilegios elevados.
Vulnerabilidad en la configuración de iTunes en macOS Catalina y iTunes para Windows de Apple (CVE-2019-8801)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de carga dinámica de la biblioteca existía en la configuración de iTunes. Esto fue abordado con una mejor búsqueda de ruta. Este problema es corregido en macOS Catalina versión 10.15.1, iTunes para Windows versión 12.10.2. Ejecutar el instalador de iTunes en un directorio no confiable puede resultar en una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de un archivo en Xcode de Apple (CVE-2019-8739)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la gestión del estado. Este problema es corregido en Xcode versión 11.0. El procesamiento de un archivo diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de un archivo en Xcode de Apple (CVE-2019-8738)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de corrupción de memoria fue abordado mejorando la gestión del estado. Este problema es corregido en Xcode versión 11.0. El procesamiento de un archivo diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el código generado por MIG en diversos productos de Apple. (CVE-2019-8549)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Existían múltiples problemas de comprobación de entrada en el código generado por MIG. Estos problemas son corregidos con una comprobación mejorada. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2. Una aplicación maliciosa puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en los códigos de acceso introducidos parcialmente en watchOS de Apple (CVE-2019-8548)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Se presentó un problema donde los códigos de acceso introducidos parcialmente pueden no borrarse cuando el dispositivo duerme. Este problema fue abordado borrando el código de acceso cuando un dispositivo bloqueado duerme. Este problema es corregido en watchOS versión 5.2. Un código de acceso ingresado parcialmente puede no borrarse cuando el dispositivo se va a dormir.
Vulnerabilidad en el procesamiento de contenido web en diversos productos de Apple para Windows (CVE-2019-8544)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Un problema de corrupción de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, tvOS versión 12.2, watchOS versión 5.2, Safari versión 12.1, iTunes versión 12.9.4 para Windows, iCloud para Windows versión 7.11. El procesamiento de contenido web diseñado maliciosamente puede conllevar a una ejecución de código arbitrario.
Vulnerabilidad en la calibración del sensor de movimiento en iOS y watchOS (CVE-2019-8541)
Gravedad:
BajaBaja
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Se presentó un problema de privacidad en la calibración del sensor de movimiento. Este problema fue abordado mejorando el procesamiento del sensor de movimiento. Este problema es corregido en iOS versión 12.2, watchOS versión 5.2. Una aplicación maliciosa puede rastrear a usuarios entre instalaciones.
Vulnerabilidad en inicialización de memoria en diversos productos de Apple (CVE-2019-8540)
Gravedad:
AltaAlta
Publication date: 18/12/2019
Last modified:
30/12/2019
Descripción:
Un problema de inicialización de memoria fue abordado mejorando el manejo de la memoria. Este problema es corregido en iOS versión 12.2, macOS Mojave versión 10.14.4, tvOS versión 12.2, watchOS versión 5.2. Una aplicación maliciosa puede ser capaz de determinar el diseño de la memoria del kernel.
CVE-2019-19882
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
25/08/2020
Descripción:
shadow versión 4.8, en determinadas circunstancias que afectan al menos a Gentoo, Arch Linux y Void Linux, permite a usuarios locales conseguir acceso root porque los programas setuid están configurados inapropiadamente. Específicamente, esto afecta a shadow versión 4.8 cuando se compila usando --with-libpam pero sin pasar explícitamente --disable-account-tools-setuid, y sin una configuración PAM adecuada para utilizar con herramientas de administración de cuentas setuid. Esta combinación conlleva a herramientas de administración de cuentas (groupadd, groupdel, groupmod, useradd, userdel, usermod) que pueden ser usadas fácilmente por usuarios locales sin privilegios para escalar privilegios a root de múltiples maneras. Este problema se volvió mucho más relevante aproximadamente en Diciembre de 2019 cuando fue corregido un error no relacionado (es decir, las llamadas de chmod a suidusbins fueron corregidas antes del Makefile que ahora se incluye en la versión 4.8 publicada).

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo z02.c en la función srcnext() en Lout (CVE-2019-19918)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
30/12/2019
Descripción:
Lout versión 3.40, presenta un desbordamiento de búfer en la región heap de la memoria en la función srcnext() en el archivo z02.c.