Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la consola del administrador de procesos de flujo de trabajo de ITMS en Symantec IT Management Suite. (CVE-2016-6588)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
10/01/2020
Descripción:
Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la consola del administrador de procesos de flujo de trabajo de ITMS en Symantec IT Management Suite versión 8.0.
Vulnerabilidad en un archivo XML con contraseñas ofuscadas en MobileIron VSP y Sentry (CVE-2014-1409)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
10/01/2020
Descripción:
MobileIron VSP versiones anteriores a la versión 5.9.1 y Sentry versiones anteriores a la versión 5.0, tienen una vulnerabilidad de omisión de autenticación debido a un archivo XML con contraseñas ofuscadas.
Vulnerabilidad en el panel de mensajes de Pearson eSIS (CVE-2014-1454)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
10/01/2020
Descripción:
El panel de mensajes de Pearson eSIS (Enterprise Student Information System), tiene una vulnerabilidad de tipo XSS almacenado debido a una comprobación inapropiada de la entrada del usuario.
Vulnerabilidad en el control ActiveX de centurystar (CVE-2014-1598)
Gravedad:
AltaAlta
Publication date: 08/01/2020
Last modified:
10/01/2020
Descripción:
El control ActiveX de centurystar versión 7.12, tiene un desbordamiento de búfer de pila.
Vulnerabilidad en el archivo export.php en Simple Online Planning (SOPlanning). (CVE-2014-8674)
Gravedad:
BajaBaja
Publication date: 06/01/2020
Last modified:
10/01/2020
Descripción:
Existen múltiples vulnerabilidades de tipo Cross-Site Scripting (XSS) en Simple Online Planning (SOPlanning) versiones anteriores a la versión 1.33 por medio de document.cookie en nb_mois y mb_ligness y el parámetro GET de depuración en el archivo export.php, que permite a usuarios maliciosos ejecutar código arbitrario.
Vulnerabilidad en la Página Analysis Object en el análisis de acceso CGI An-Analyzer (CVE-2019-5989)
Gravedad:
MediaMedia
Publication date: 06/01/2020
Last modified:
10/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting basada en DOM en el análisis de acceso CGI An-Analyzer emitido el 24 de junio de 2019 y anteriores permite a atacantes remotos inyectar script web o HTML arbitrario por medio de la Página Analysis Object.
Vulnerabilidad en PHPGurukul Hospital Management System en PHP (CVE-2020-5191)
Gravedad:
MediaMedia
Publication date: 05/01/2020
Last modified:
10/01/2020
Descripción:
PHPGurukul Hospital Management System en PHP versión v4.0, sufre de múltiples vulnerabilidades de tipo XSS persistentes.
Vulnerabilidad en almacenamiento de varios tokens en GitLab EE. (CVE-2019-19314)
Gravedad:
MediaMedia
Publication date: 05/01/2020
Last modified:
10/01/2020
Descripción:
GitLab EE versiones 8.4 hasta 12.5, 12.4.3 y 12.3.6, almacenaron varios tokens en texto plano.
Vulnerabilidad en saneamiento de parámetro en el registro del paquete Maven en GitLab EE (CVE-2019-19628)
Gravedad:
AltaAlta
Publication date: 05/01/2020
Last modified:
10/01/2020
Descripción:
En GitLab EE versiones 11.3 hasta 12.5.3, 12.4.5 y 12.3.8, un saneamiento de parámetro insuficiente para el registro del paquete Maven podría derivar a una escalada de privilegios y vulnerabilidades de ejecución de código remota bajo determinadas condiciones.
Vulnerabilidad en la API Group Search en la integración de Elasticsearch en GitLab EE. (CVE-2019-19629)
Gravedad:
MediaMedia
Publication date: 05/01/2020
Last modified:
10/01/2020
Descripción:
En GitLab EE versiones 10.5 hasta 12.5.3, 12.4.5 y 12.3.8, cuando se transfiere un proyecto público a un grupo privado, el código privado sería divulgado por medio de la API Group Search proporcionada por la integración de Elasticsearch.
Vulnerabilidad en HTML en el nombre systems en Katello incluido con Red Hat Subscription Asset Manager (CVE-2014-0183)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
10/01/2020
Descripción:
Las versiones de Katello que se incluyen con Red Hat Subscription Asset Manager versión 1.4, son vulnerables a un ataque de tipo XSS por medio de HTML en el nombre systems durante el registro.
Vulnerabilidad en el nombre de host del endpoint remoto en certificado x.509 en una sesión TLS/SSL (CVE-2014-0161)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
10/01/2020
Descripción:
ovirt-engine-sdk-python versiones anteriores a la versión 3.4.0.7 y 3.5.0.4, no comprueba que el nombre de host del endpoint remoto coincida con el Common Name (CN) o subjectAltName según lo especificado por su certificado x.509 en una sesión TLS/SSL. Esto podría permitir a atacantes de tipo man-in-the-middle falsificar endpoints remotos por medio de un certificado válido arbitrario.
Vulnerabilidad en certificados SSL en el script fence_cisco_ucs.py en fence-agents. (CVE-2014-0104)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
10/01/2020
Descripción:
En fence-agents versiones anteriores a la versión 4.0.17, no se comprueban los certificados SSL remotos en el script fence_cisco_ucs.py, lo que puede permitir potencialmente que los atacantes de tipo man-in-the-middle puedan falsificar servidores SSL por medio de certificados SSL arbitrarios.
Vulnerabilidad en la protección de fijación de sesión en la integración de Spring Session en Infinispan (CVE-2019-10158)
Gravedad:
AltaAlta
Publication date: 02/01/2020
Last modified:
10/01/2020
Descripción:
Se encontró un fallo en Infinispan versiones hasta la versión 9.4.14.Final. Una implementación inapropiada de la protección de fijación de sesión en la integración de Spring Session puede resultar en un manejo de sesión incorrecto.
Vulnerabilidad en la aplicación web en knockout (CVE-2019-14862)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
14/07/2020
Descripción:
Hay una vulnerabilidad en knockout versiones anteriores a la versión 3.5.0-beta, donde después de escapar del contexto de la aplicación web, la aplicación web entrega datos a sus usuarios junto con otro contenido dinámico seguro, sin comprobarlo.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: