Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una extensión .phar o .phtml en URI lzld/thumb?src= en Gila CMS. (CVE-2020-5514)
Gravedad:
AltaAlta
Publication date: 06/01/2020
Last modified:
09/01/2020
Descripción:
Gila CMS versión 1.11.8, permite una Carga Sin Restricciones de un Archivo con un Tipo Peligroso por medio de una extensión .phar o .phtml en URI lzld/thumb?src=.
Vulnerabilidad en /admin/sql?query= en Gila CMS. (CVE-2020-5515)
Gravedad:
MediaMedia
Publication date: 06/01/2020
Last modified:
18/06/2020
Descripción:
Gila CMS versión 1.11.8, permite una Inyección SQL de /admin/sql?query=.
Vulnerabilidad en el archivo search-results.php en el parámetro searchtext en PHP (CVE-2019-20336)
Gravedad:
MediaMedia
Publication date: 05/01/2020
Last modified:
09/01/2020
Descripción:
En PHP Scripts Mall advanced-real-estate-script versión 4.0.9, el parámetro searchtext del archivo search-results.php es vulnerable a un ataque de tipo XSS.
Vulnerabilidad en el archivo news_edit.php en el parámetro news_id en PHP Scripts Mall advanced-real-estate-script. (CVE-2019-20337)
Gravedad:
MediaMedia
Publication date: 05/01/2020
Last modified:
09/01/2020
Descripción:
En PHP Scripts Mall advanced-real-estate-script versión 4.0.9, el parámetro news_id del archivo news_edit.php es vulnerable a una inyección SQL.
Vulnerabilidad en Echo Request en algunos productos de Huawei (CVE-2019-5304)
Gravedad:
AltaAlta
Publication date: 03/01/2020
Last modified:
09/01/2020
Descripción:
Algunos productos de Huawei tienen una vulnerabilidad de error de búfer. Un atacante remoto no identificado podría enviar mensajes MPLS Echo Request específicos hacia los productos de destino. Debido a una insuficiente comprobación de entrada de algunos parámetros en los mensajes, una explotación con éxito puede causar que el dispositivo se reinicie.
Vulnerabilidad en mensajes DNS SRV en slapd en openldap (CVE-2014-8182)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
09/01/2020
Descripción:
Se descubrió un error por un paso conllevando a un bloqueo en openldap versión 2.4, cuando se procesan mensajes DNS SRV. Si slapd fue configurado para utilizar el backend dnssrv, un atacante podría bloquear el servicio con respuestas DNS especialmente diseñadas.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la deserialización de datos no confiables de Java en Pivotal Spring Framework (CVE-2016-1000027)
Gravedad:
AltaAlta
Publication date: 02/01/2020
Last modified:
19/05/2022
Descripción:
Pivotal Spring Framework hasta la versión 5.3.16 sufre un potencial problema de ejecución remota de código (RCE) si se utiliza para la deserialización en Java de datos no confiables. Dependiendo de cómo se implemente la librería dentro de un producto, este problema puede ocurrir o no, y puede ser necesaria la autenticación. NOTA: la posición del proveedor es que los datos no confiables no son un caso de uso previsto. El comportamiento del producto no se modificará porque algunos usuarios dependen de la deserialización de datos de confianza