Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en link_goto.php?link_url= en Chamilo LMS. (CVE-2015-9540)
Gravedad:
MediaMedia
Publication date: 04/01/2020
Last modified:
06/01/2020
Descripción:
Chamilo LMS versiones hasta la versión 1.9.10.2, permite un redireccionamiento abierto de link_goto.php?link_url=, un problema relacionado con CVE-2015-5503.
Vulnerabilidad en la implementación de referencia de OpenID Connect para MITREid Connect. (CVE-2020-5497)
Gravedad:
MediaMedia
Publication date: 04/01/2020
Last modified:
20/02/2020
Descripción:
La implementación de referencia de OpenID Connect para MITREid Connect versiones hasta la versión 1.3.3, permite un ataque de tipo XSS debido a que userInfoJson es incluido en la página no saneada. Esto está relacionado con el archivo header.tag. El problema puede ser explotado para ejecutar un JavaScript arbitrario.
Vulnerabilidad en una página HTML en SwiftShader en Google Chrome (CVE-2019-5846)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
10/01/2020
Descripción:
Un acceso fuera de límites en SwiftShader en Google Chrome versiones anteriores a la versión 73.0.3683.75, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML especialmente diseñada.
Vulnerabilidad en una página HTML en SwiftShader en Google Chrome. (CVE-2019-5845)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
10/01/2020
Descripción:
Un acceso fuera de límites en SwiftShader en Google Chrome versiones anteriores a la versión 73.0.3683.75, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML especialmente diseñada.
Vulnerabilidad en una página HTML en SwiftShader en Google Chrome (CVE-2019-5844)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
10/01/2020
Descripción:
Un acceso fuera de límites en SwiftShader en Google Chrome versiones anteriores a la versión 73.0.3683.75, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML especialmente diseñada.
Vulnerabilidad en una página HTML en accessibility en Google Chrome. (CVE-2019-13766)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
Un uso de la memoria previamente liberada en accessibility en Google Chrome versiones anteriores a la versión 77.0.3865.75, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML especialmente diseñada.
Vulnerabilidad en una página HTML en content delivery manager en Google Chrome. (CVE-2019-13765)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
Un uso de la memoria previamente liberada en content delivery manager en Google Chrome versiones anteriores a la versión 78.0.3904.70, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML especialmente diseñada.
Vulnerabilidad en una sesión de AMHS en el archivo prefs.asp de Telos Automated Message Handling System (CVE-2019-9540)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de Páginas Web ("Cross-site Scripting") en el archivo prefs.asp de Telos Automated Message Handling System, permite a un atacante remoto inyectar script arbitrario en una sesión de AMHS. Este problema afecta: Telos Automated Message Handling System versiones anteriores a la versión 4.1.5.5.
Vulnerabilidad en una sesión de AMHS en el archivo uploaditem.asp de Telos Automated Message Handling System (CVE-2019-9537)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de Páginas Web ("Cross-site Scripting") en el archivo uploaditem.asp de Telos Automated Message Handling System, permite a un atacante remoto inyectar script arbitrario en una sesión de AMHS. Este problema afecta: Telos Automated Message Handling System versiones anteriores a la versión 4.1.5.5.
Vulnerabilidad en Telos Automated Message Handling System (CVE-2019-9538)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de Páginas Web ("Cross-site Scripting") en el parámetro LDAP cbURL de Telos Automated Message Handling System, permite a un atacante remoto inyectar un script arbitrario en una sesión AMHS. Este problema afecta: Telos Automated Message Handling System versiones anteriores a la versión 4.1.5.5.
Vulnerabilidad en Telos Automated Message Handling System (CVE-2019-9539)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de Páginas Web ("Cross-site Scripting") en el archivo ModalWindowPopup.asp de Telos Automated Message Handling System, permite a un atacante remoto inyectar script arbitrario en una sesión de AMHS. Este problema afecta: Telos Automated Message Handling System versiones anteriores a la versión 4.1.5.5.
Vulnerabilidad en una sesión de AMHS en itemlookup.asp de Telos Automated Message Handling System (CVE-2019-9541)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
La vulnerabilidad a la exposición de información en itemlookup.asp de Telos Automated Message Handling System, permite a un atacante remoto inyectar un script arbitrario en una sesión de AMHS. Este problema afecta: Telos Automated Message Handling System versiones anteriores a la versión 4.1.5.5.
Vulnerabilidad en Telos Automated Message Handling System (CVE-2019-9542)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
Una vulnerabilidad de Neutralización Inapropiada de la Entrada Durante la Generación de Páginas Web ("Cross-site Scripting") en el archivo itemlookup.asp de Telos Automated Message Handling System, permite a un atacante remoto inyectar script arbitrario en una sesión de AMHS. Este problema afecta: Telos Automated Message Handling System versiones anteriores a la versión 4.1.5.5.
Vulnerabilidad en Control de Acceso en GitLab Enterprise Edition (CVE-2019-19258)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
GitLab Enterprise Edition (EE) versiones 10.8 y posteriores hasta la versión 12.5, tiene un Control de Acceso Incorrecto.
CVE-2019-19309
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
07/01/2020
Descripción:
GitLab Enterprise Edition (EE) versiones 8.90 y posteriores hasta la versión 12.5, tiene un Control de Acceso Incorrecto.
Vulnerabilidad en Permisos en GitLab Enterprise Edition (EE). (CVE-2019-19263)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
GitLab Enterprise Edition (EE) versiones 8.2 y posteriores hasta la versíon 12.5, tiene Permisos No Seguros.
Vulnerabilidad en Permisos en GitLab Enterprise Edition (EE) (CVE-2019-19262)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
GitLab Enterprise Edition (EE) versiones 11.9 y posteriores hasta la versión 12.5, tiene Permisos No Seguros.
Vulnerabilidad en Control de Acceso en GitLab Community Edition (CE) and Enterprise Edition (EE). (CVE-2019-19260)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
GitLab Community Edition (CE) and Enterprise Edition (EE) versiones hasta la versión 12.5, tiene un Control de Acceso Incorrecto (problema 2 de 2).
Vulnerabilidad en GitLab Enterprise Edition (CVE-2019-19259)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
GitLab Enterprise Edition (EE) versiones 11.3 y posteriores hasta la versión 12.5, permite una Referencia de Objeto Directo No Seguro (IDOR).
Vulnerabilidad en Control de Acceso en GitLab Community Edition (CE) and Enterprise Edition (EE) (CVE-2019-19257)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
GitLab Community Edition (CE) and Enterprise Edition (EE) versiones hasta la versión 12.5, tienen un Control de Acceso Incorrecto
Vulnerabilidad en Control de Acceso en GitLab Enterprise Edition (CVE-2019-19256)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
GitLab Enterprise Edition (EE) versiones 12.2 y posteriores hasta la versión 12.5, tienen un Control de Acceso Incorrecto.
Vulnerabilidad en Control de Acceso en GitLab Enterprise Edition (CVE-2019-19255)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
GitLab Enterprise Edition (EE) versiones 12.3 y posteriores hasta la versión 12.5, tiene un Control de Acceso Incorrecto.
Vulnerabilidad en Control de Acceso en GitLab Community Edition (CE) and Enterprise Edition (EE) (CVE-2019-19254)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
GitLab Community Edition (CE) and Enterprise Edition (EE). Versiones 9.6 y posteriores hasta la versión 12.5, tiene un Control de Acceso Incorrecto.
Vulnerabilidad en Gitlab Enterprise Edition (EE). (CVE-2019-19088)
Gravedad:
AltaAlta
Publication date: 03/01/2020
Last modified:
06/01/2020
Descripción:
Gitlab Enterprise Edition (EE) versiones 11.3 hasta la versión 12.4.2, permite un Salto de Directorio.
Vulnerabilidad en Permisos en Gitlab Enterprise Edition (EE) (CVE-2019-19087)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
Gitlab Enterprise Edition (EE) versiones anteriores a la versión 12.5.1, tiene Permisos No Seguros
Vulnerabilidad en Permisos en Gitlab Enterprise Edition (CVE-2019-19086)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
24/08/2020
Descripción:
Gitlab Enterprise Edition (EE) versiones anteriores a la versíon 12.5.1, tiene Permisos No Seguros (problema 1 de 2).
Vulnerabilidad en la administración de credenciales en USG9500 de Huawei (CVE-2020-1871)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
07/01/2020
Descripción:
USG9500 con software de versiones V500R001C30SPC100; V500R001C30SPC200; V500R001C30SPC600; V500R001C60SPC500; V500R005C00SPC100; V500R005C00SPC200, tiene una vulnerabilidad de administración de credenciales inapropiada. El software no administra apropiadamente determinadas credenciales. Una explotación con éxito podría causar una divulgación de información o daño, e impactar la confidencialidad o integridad.
Vulnerabilidad en los teléfonos inteligentes Mate 10 Pro; Honor V10; Honor 10; Nova 4 de Huawei (CVE-2020-1785)
Gravedad:
AltaAlta
Publication date: 03/01/2020
Last modified:
07/01/2020
Descripción:
Los teléfonos inteligentes Mate 10 Pro; Honor V10; Honor 10; Nova 4, tiene una vulnerabilidad de denegación de servicio. El sistema no comprueba apropiadamente el estado de cierto módulo durante determinadas operaciones, un atacante debe engañar al usuario para que instale una aplicación maliciosa, una explotación con éxito podría causar el reinicio del teléfono inteligente.
Vulnerabilidad en un comando específico en la red LAN en los teléfonos inteligentes HUAWEI P30 (CVE-2019-19441)
Gravedad:
BajaBaja
Publication date: 03/01/2020
Last modified:
07/01/2020
Descripción:
Los teléfonos inteligentes HUAWEI P30 con versiones anteriores a la versión 10.0.0.166 (C00E66R1P11), tienen una vulnerabilidad de filtrado de información. Un atacante podría enviar un comando específico en la red de área local (LAN) para explotar esta vulnerabilidad. Una explotación con éxito puede causar un filtrado de información.
Vulnerabilidad en el archivo libImaging/TiffDecode.c en realloc en Pillow (CVE-2020-5310)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
31/01/2020
Descripción:
El archivo libImaging/TiffDecode.c en Pillow versiones anteriores a la versión 6.2.2, tiene un desbordamiento de enteros de la decodificación TIFF, relacionado con realloc.
Vulnerabilidad en el archivo xnview.exe en el campo biBitCount en un archivo BMP en XnView. (CVE-2013-3937)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
07/01/2020
Descripción:
Un desbordamiento de búfer en la región heap de la memoria en el archivo xnview.exe en XnView versiones anteriores a 2.13, permite a atacantes remotos ejecutar código arbitrario por medio del campo biBitCount en un archivo BMP.
Vulnerabilidad en una capa comprimida de RLE en un archivo XCF en el archivo xnview.exe en XnView. (CVE-2013-3247)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
03/01/2020
Descripción:
Un desbordamiento de búfer en la región heap de la memoria en el archivo xnview.exe en XnView versiones anteriores a la versión 2.03, permite a atacantes remotos ejecutar código arbitrario por medio de una capa comprimida de RLE diseñada en un archivo XCF.
Vulnerabilidad en la autenticación de administradores en Opsview y Opsview Core. (CVE-2013-3935)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
07/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Opsview versiones anteriores a la versión 4.4.1 y Opsview Core versiones anteriores a la versión 20130522, permite a atacantes remotos secuestrar la autenticación de administradores para peticiones que cambian la contraseña de administrador por medio de vectores no especificados.
Vulnerabilidad en el archivo frame.c en la función sixel_frame_resize en libsixel. (CVE-2019-20205)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
06/01/2020
Descripción:
libsixel versión 1.8.4, tiene un desbordamiento de enteros en la función sixel_frame_resize en el archivo frame.c.
Vulnerabilidad en el archivo select.c en la función selectExpander en SQLite (CVE-2019-20218)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
22/08/2020
Descripción:
La función selectExpander en el archivo select.c en SQLite versión 3.30.1, continúa con el despliegue de la pila WITH incluso después de un error de análisis.
Vulnerabilidad en la página search_incidents_advanced.php en el parámetro search_id en Support Incident Tracker (SiT!) (CVE-2019-20220)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
03/01/2020
Descripción:
En Support Incident Tracker (SiT!) versión 3.67, el parámetro search_id en la página search_incidents_advanced.php está afectado por una vulnerabilidad de tipo XSS.
Vulnerabilidad en la página config.php en la entrada Load Plugins en Support Incident Tracker (SiT!). (CVE-2019-20221)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
03/01/2020
Descripción:
En Support Incident Tracker (SiT!) versión 3.67, la entrada Load Plugins en la página config.php esta afectada por una vulnerabilidad de tipo XSS. La carga útil de XSS es ejecutada, por ejemplo, en la página about.php
Vulnerabilidad en la página config.php en las entradas Short Application Name y Application Name en Support Incident Tracker (SiT!) (CVE-2019-20222)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
03/01/2020
Descripción:
En Support Incident Tracker (SiT!) versión 3.67, las entradas Short Application Name y Application Name en la página config.php están afectadas por una vulnerabilidad de tipo XSS.
Vulnerabilidad en el parámetro id en Support Incident Tracker (SiT!). (CVE-2019-20223)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
03/01/2020
Descripción:
En Support Incident Tracker (SiT!) versión 3.67, el parámetro id está afectado por una vulnerabilidad de tipo XSS en todos los endpoints que utilizan este parámetro, un problema relacionado con CVE-2012-2235
Vulnerabilidad en carga útil en jaVasCript:/* y un elemento SVG en el plugin Postie para WordPress (CVE-2019-20204)
Gravedad:
BajaBaja
Publication date: 02/01/2020
Last modified:
16/01/2020
Descripción:
El plugin Postie versión 1.9.40 para WordPress, permite un ataque de tipo XSS, como es demostrado por una determinada carga útil con jaVasCript:/* al principio y un elemento SVG especialmente diseñado.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo libImaging/FliDecode.c en Pillow (CVE-2020-5313)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
18/02/2020
Descripción:
El archivo libImaging/FliDecode.c en Pillow versiones anteriores a la versión 6.2.2, tiene un desbordamiento de búfer de FLI.
Vulnerabilidad en el archivo libImaging/PcxDecode.c en Pillow. (CVE-2020-5312)
Gravedad:
AltaAlta
Publication date: 02/01/2020
Last modified:
10/07/2020
Descripción:
El archivo libImaging/PcxDecode.c en Pillow versiones anteriores a la versión 6.2.2, tiene un desbordamiento de búfer en modo PCX P.
Vulnerabilidad en el archivo libImaging/SgiRleDecode.c en Pillow (CVE-2020-5311)
Gravedad:
AltaAlta
Publication date: 02/01/2020
Last modified:
10/07/2020
Descripción:
El archivo libImaging/SgiRleDecode.c en Pillow versiones anteriores a la versión 6.2.2, tiene un desbordamiento de búfer de SGI.