Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la función ezxml_char_content() en realloc en ezXML. (CVE-2019-20202)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
06/01/2020
Descripción:
Se descubrió un problema en ezXML versiones 0.8.3 hasta la versión 0.8.6. La función ezxml_char_content() intenta utilizar realloc en un bloque que no fue asignado, conllevando a una liberación no válida y a un fallo de segmentación.
Vulnerabilidad en las funciones ezxml_parse_* en ezXML. (CVE-2019-20201)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
06/01/2020
Descripción:
Se descubrió un problema en ezXML versiones 0.8.3 hasta la versión 0.8.6. Las funciones ezxml_parse_* manejan inapropiadamente las entidades XML, conllevando a un bucle infinito en el que ocurren asignaciones de memoria.
Vulnerabilidad en la función ezxml_decode en la funcionalidad "normalize line endings" en ezXML (CVE-2019-20200)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
06/01/2020
Descripción:
Se descubrió un problema en ezXML versiones 0.8.3 hasta la versión 0.8.6. La función ezxml_decode, mientras analiza un archivo XML, realiza un manejo de memoria incorrecto, conllevando a una lectura excesiva de búfer en la región heap de la memoria en la funcionalidad "normalize line endings".
Vulnerabilidad en un archivo XML en la función ezxml_decode en ezXML. (CVE-2019-20199)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
24/08/2020
Descripción:
Se descubrió un problema en ezXML versiones 0.8.3 hasta la versión 0.8.6. La función ezxml_decode, mientras analiza un archivo XML especialmente diseñado, realiza un manejo incorrecto de la memoria, conllevando a la desreferencia del puntero NULL mientras se ejecuta strlen() en un puntero NULL.
Vulnerabilidad en un archivo XML en la función ezxml_ent_ok() en ezXML. (CVE-2019-20198)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
24/08/2020
Descripción:
Se descubrió un problema en ezXML versiones 0.8.3 hasta la verisón 0.8.6. La función ezxml_ent_ok() maneja inapropiadamente la recursión, conllevando al consumo de pila para un archivo XML especialmente diseñado.
Vulnerabilidad en administradores remotos en Zenphoto. (CVE-2015-5591)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de inyección SQL en Zenphoto versiones anteriores a la versión 1.4.9, permite a los administradores remotos ejecutar comandos SQL arbitrarios.
Vulnerabilidad en el navegador en los switches D-Link DGS-1510-series. (CVE-2018-7859)
Gravedad:
MediaMedia
Publication date: 30/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de seguridad en los switches de la serie D-Link DGS-1510 con las versiones de firmware 1.20.011, 1.30.007, 1.31.B003 y anteriores, que puede permitir a un atacante remoto inyectar scripts maliciosos en el dispositivo y ejecutar comandos por medio del navegador que está configurando la unidad.
Vulnerabilidad en el archivo log_file_viewer.php en el parámetro lFile en MFScripts YetiShare (CVE-2019-19738)
Gravedad:
MediaMedia
Publication date: 30/12/2019
Last modified:
06/01/2020
Descripción:
El archivo log_file_viewer.php en MFScripts YetiShare versiones 3.5.2 hasta la versión 4.5.3, no sanea ni codifica la salida del parámetro lFile en la página, lo que permitiría a un atacante ingresar HTML o ejecutar scripts sobre el sitio, también se conoce como un XSS.
Vulnerabilidad en Swipe Checkout para plugin WP e-Commerce para WordPress (CVE-2014-4559)
Gravedad:
MediaMedia
Publication date: 27/12/2019
Last modified:
06/01/2020
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el archivo test-plugin.php en Swipe Checkout para plugin WP e-Commerce versión 3.1.0 y anteriores para WordPress, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro (1) api_key, ( 2) payment_page_url, (3) merchant_id, (4) api_url o (5) currency.
Vulnerabilidad en los vectores no especificados en la autenticación de administradores en WP Spell Check (CVE-2019-6027)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en WP Spell Check versión 7.1.9 y anteriores, permite a atacantes remotos secuestrar la autenticación de administradores por medio de vectores no especificados.
Vulnerabilidad en vectores no especificados en a-blog cms (CVE-2019-6033)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting en a-blog cms versiones anteriores a Ver.2.10.23 (versiones Ver.2.10.x), Ver.2.9.26 (versiones Ver.2.9.x) y Ver.2.8.64 (versiones Ver.2.8. x), permite a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Vulnerabilidad en un lector RSS en KINZA para Windows y para Mac (CVE-2019-6031)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting en KINZA para Windows versión 5.9.2 y anteriores y para Mac versión 5.0.0 y anteriores, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de un lector RSS.
Vulnerabilidad en una URL en Library Information Management System LIMEDIO (CVE-2019-6021)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de redireccionamiento abierto en Library Information Management System LIMEDIO todas las versiones, permite a atacantes remotos redireccionar a usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing por medio de una URL especialmente diseñada.
Vulnerabilidad en una URL en PowerCMS (CVE-2019-6020)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de redireccionamiento abierto en PowerCMS versión 5.12 y anteriores (PowerCMS versiones 5.x), versión 4.42 y anteriores (PowerCMS versiones 4.x) y versión 3.293 y anteriores (PowerCMS versiones 3.x), permite a atacantes remotos redireccionar a usuarios a sitios web arbitrarios y llevar a cabo ataques de phishing por medio de una URL especialmente diseñada.
Vulnerabilidad en los vectores no especificados en REMISE Payment Module (CVE-2019-6017)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
24/08/2020
Descripción:
REMISE Payment Module (versiones 2.11, 2.12 y 2.13) versión 3.0.12 y anteriores, permite a atacantes remotos [Disclosed_Information_type] por medio de vectores no especificados.
Vulnerabilidad en los vectores no especificados en REMISE Payment Module (CVE-2019-6016)
Gravedad:
MediaMedia
Publication date: 26/12/2019
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting en REMISE Payment Module (versiones 2.11, 2.12 y 2.13) versión 3.0.12 y anteriores, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Vulnerabilidad en GameStream en NVIDIA GeForce Experience (CVE-2019-5702)
Gravedad:
MediaMedia
Publication date: 24/12/2019
Last modified:
24/08/2020
Descripción:
NVIDIA GeForce Experience, todas las versiones anteriores a 3.20.2, contiene una vulnerabilidad cuando GameStream está habilitado en la que un atacante con acceso al sistema local puede corromper un archivo del sistema, lo que puede conllevar a una denegación de servicio o una escalada de privilegios.
Vulnerabilidad en las acciones /admin-ajax.php?action=eps_redirect_save y /admin-ajax.php?action=eps_redirect_delete en el plugin "301 Redirects - Easy Redirect Manager" para WordPress (CVE-2019-19915)
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
24/08/2020
Descripción:
El plugin "301 Redirects - Easy Redirect Manager" versiones anteriores a 2.45 para WordPress, permite a usuarios (con acceso de suscriptor o superior) modificar, eliminar o inyectar reglas de redireccionamiento, y explotar una vulnerabilidad de tipo XSS, con las acciones /admin-ajax.php?action=eps_redirect_save y /admin-ajax.php?action=eps_redirect_delete. Esto podría resultar en una pérdida de disponibilidad del sitio, redireccionamientos maliciosos e infecciones de usuario. Esto también podría ser explotado por medio de un ataque de tipo CSRF.
Vulnerabilidad en el generador de informes de OJS en Public Knowledge Project (PKP) pkp-lib, usado en Open Journal Systems (OJS) (CVE-2019-19909)
Gravedad:
MediaMedia
Publication date: 19/12/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en Public Knowledge Project (PKP) pkp-lib versiones anteriores a 3.1.2-2, como es usado en Open Journal Systems (OJS) versiones anteriores a 3.1.2-2. Una inyección de código puede presentarse en el generador de informes de OJS si un usuario autenticado de Journal Manager visita una URL diseñada, porque una deserialización es usada.
Vulnerabilidad en el servicio Health Monitor en PronestorHealthMonitor.exe en el add-in de Outlook en Pronestor Planner (CVE-2019-17390)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
24/08/2020
Descripción:
Se detectó un problema en el add-in de Outlook en Pronestor Planner versiones anteriores a 8.1.77. Se presenta una escalada de privilegios locales en el servicio Health Monitor porque el control de acceso de PronestorHealthMonitor.exe se maneja inapropiadamente, también se conoce como PNB-2359.
Vulnerabilidad en un enlace en Zoho ManageEngine ADSelfService Plus (CVE-2019-18781)
Gravedad:
MediaMedia
Publication date: 18/12/2019
Last modified:
06/01/2020
Descripción:
Se detectó una vulnerabilidad de redireccionamiento abierto en Zoho ManageEngine ADSelfService Plus versiones 5.x anteriores a 5809, lo que permite a atacantes obligar a usuarios que hacen clic en un enlace diseñado a ser enviados a un sitio externo específico.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Xfig fig2dev (CVE-2019-14275)
Gravedad:
MediaMedia
Publication date: 26/07/2019
Last modified:
24/08/2020
Descripción:
Xfig fig2dev versión 3.2.7a presenta un Desbordamiento de Búfer en la Región Stack de la Memoria en la función calc_arrow function en archivo bound.c.
Vulnerabilidad en Editor.md (CVE-2019-9737)
Gravedad:
MediaMedia
Publication date: 12/03/2019
Last modified:
06/01/2020
Descripción:
Editor.md 1.5.0 tiene Cross-Site Scripting (XSS) basado en DOM mediante vectores que implican la subcadena "