Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el Google Pixel/Pixel SL Qualcomm Avtimer Driver (CVE-2016-5346)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
12/01/2020
Descripción:
Existe una vulnerabilidad de divulgación de información en el Google Pixel/Pixel SL Qualcomm Avtimer Driver debido a una desreferencia del puntero NULL al procesar una llamada de sistema de aceptación para el proceso del usuario en los sockets AF_MSM_IPC, lo que podría permitir a un usuario malicioso local obtener información confidencial (ID de Bug de Android A -32551280).
Vulnerabilidad en el envío una cadena hacia la aplicación FTPGetter Professional (CVE-2020-5183)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
12/01/2020
Descripción:
FTPGetter Professional versión 5.97.0.223, es vulnerable a un bug de corrupción de memoria cuando un usuario envía una cadena especialmente diseñada hacia la aplicación. Este bug de corrupción de memoria posiblemente puede ser clasificado como una desreferencia del puntero NULL.
Vulnerabilidad en el binario uxdqmsrv como setuid root en CA Automic Dollar Universe. (CVE-2019-19544)
Gravedad:
AltaAlta
Publication date: 08/01/2020
Last modified:
12/01/2020
Descripción:
CA Automic Dollar Universe versión 5.3.3, contiene una vulnerabilidad, relacionada con el binario uxdqmsrv como setuid root, lo que permite a atacantes locales elevar privilegios. Esta vulnerabilidad se reportó en CA varios años después de que CA Automic Dollar Universe versión 5.3.3 alcanzó el estatus End of Life (EOL) el 1 de abril de 2015.
Vulnerabilidad en Microsoft Internet Explorer y Microsoft Edge (CVE-2019-18652)
Gravedad:
MediaMedia
Publication date: 07/01/2020
Last modified:
12/01/2020
Descripción:
Ha sido identificada una vulnerabilidad de tipo XSS basada en DOM en el WatchGuard XMT515 versiones hasta la versión 12.1.3, permitiendo a un atacante remoto ejecutar JavaScript en el navegador de la víctima al engañar a la víctima para que haga clic en un enlace especialmente diseñado. La carga útil fue probada en Microsoft Internet Explorer versión 11.418.18362.0 y Microsoft Edge versión 44.18362.387.0 (Microsoft EdgeHTML versión 18.18362).
Vulnerabilidad en una petición FTP en el gateway PR100088 Modbus (CVE-2019-6529)
Gravedad:
MediaMedia
Publication date: 07/01/2020
Last modified:
12/01/2020
Descripción:
Un atacante podría diseñar especialmente una petición FTP que podría bloquear las versiones del gateway PR100088 Modbus antes del lanzamiento R02 (o la Versión de Software 1.1.13166).
Vulnerabilidad en las cuentas de usuario y los grupos en los endpoints en la Universal API (UAPI) en Jamf Pro (CVE-2018-10465)
Gravedad:
MediaMedia
Publication date: 07/01/2020
Last modified:
24/08/2020
Descripción:
Jamf Pro versiones 10.x anteriores a la versión 10.3.0, tiene un Control de Acceso Incorrecto. Las cuentas de usuario y los grupos de Jamf Pro con acceso para iniciar sesión en Jamf Pro poseían acceso completo a los endpoints en la Universal API (UAPI), independientemente de los privilegios o los conjuntos de privilegios de la cuenta. Una cuenta de Jamf Pro autenticada sin los privilegios requeridos puede ser usada para realizar acciones CRUD (GET, POST, PUT, DELETE) en los endpoints UAPI, lo que podría resultar en una divulgación de información no autorizada, una integridad de datos comprometida y una pérdida de datos. Para un listado completo de los endpoints UAPI disponibles y las acciones CRUD asociadas, puede navegar en /uapi/doc en su instancia de Jamf Pro.
Vulnerabilidad en la línea 240 del archivo "index.js" en el comando run en git-diff-apply. (CVE-2019-10776)
Gravedad:
AltaAlta
Publication date: 07/01/2020
Last modified:
12/01/2020
Descripción:
En la línea 240 del archivo "index.js", el comando run ejecuta el comando git con una variable controlada por el usuario llamada remoteUrl. Esto afecta a git-diff-apply todas las versiones anteriores a la versión 0.22.2.
Vulnerabilidad en el archivo ftpcmd.c en la función handle_PORT en uftpd (CVE-2020-5204)
Gravedad:
MediaMedia
Publication date: 06/01/2020
Last modified:
18/01/2020
Descripción:
En uftpd versiones anteriores a la versión 2.11, hay una vulnerabilidad de desbordamiento de búfer en la función handle_PORT en el archivo ftpcmd.c que es causada por un búfer de 16 bytes de tamaño que está siendo llenado por medio de la función sprintf() con una entrada de usuario basada en la cadena del especificador de formato %d.%d.%d.%d. El tamaño de 16 bytes es correcto para direcciones IPv4 válidas (len('255.255.255.255') == 16), pero el especificador de formato %d permite más de 3 dígitos. Esto se ha solucionado en la versión 2.11

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: