Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Samsung Kies (CVE-2012-3807)
Gravedad:
AltaAlta
Publication date: 09/01/2020
Last modified:
13/01/2020
Descripción:
Samsung Kies versiones anteriores a 2.5.0.12094_27_11, presenta una ejecución de archivo arbitraria.
Vulnerabilidad en el Filtro xss_clean() en EllisLab CodeIgniter (CVE-2012-1915)
Gravedad:
MediaMedia
Publication date: 09/01/2020
Last modified:
13/01/2020
Descripción:
EllisLab CodeIgniter versión 2.1.2, permite a atacantes remotos omitir el Filtro xss_clean() y llevar a cabo ataques de tipo XSS.
Vulnerabilidad en Publify (CVE-2014-3211)
Gravedad:
MediaMedia
Publication date: 09/01/2020
Last modified:
13/01/2020
Descripción:
Publify versiones anteriores a 8.0.1, es vulnerable a un ataque de Denegación de Servicio.
Vulnerabilidad en una imagen cargada incorrectamente en Firefox. (CVE-2019-17014)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Si una imagen no ha sido cargada correctamente (tal y como cuando en realidad no es una imagen), podría ser arrastrada y soltada entre dominios, resultando en un filtrado de información de origen cruzado. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 71.
Vulnerabilidad en una etiqueta de objeto en el documento protegido de una Política de Seguridad de Contenido en Firefox (CVE-2019-17001)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Una Política de Seguridad de Contenido que bloquea los scripts en línea podría ser omitida utilizando una etiqueta de objeto para ejecutar JavaScript en el documento protegido (cross-site scripting). Esta es una omisión separada de CVE-2019-17000. *Nota: Este fallo solo afectó a Firefox versión 69 y no estuvo presente en versiones anteriores.*. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70.
Vulnerabilidad en la Política de Seguridad de Contenido y un enlace arrastrado y soltado desde esa página en FireFox (CVE-2019-17002)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Si se especificaron peticiones de actualización no seguras en la Política de Seguridad de Contenido y un enlace fue arrastrado y soltado desde esa página, el enlace no se actualizó a https. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70.
Vulnerabilidad en el serializador de texto plano en Thunderbird, Firefox ESR y Firefox. (CVE-2019-17005)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
16/01/2020
Descripción:
El serializador de texto plano utilizó una matriz de tamaño fijo para el número de elementos (ol) que podía procesar; sin embargo, fue posible desbordar la matriz de tamaño estático conllevando a un corrupción de la memoria y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Vulnerabilidad en trabajadores anidados en Thunderbird, Firefox ESR y Firefox. (CVE-2019-17008)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
16/01/2020
Descripción:
Cuando se usan trabajadores anidados, puede ocurrir un uso de la memoria previamente liberada durante la destrucción del trabajador. Esto resultó en un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Vulnerabilidad en el servicio updater en Thunderbird, Firefox ESR y Firefox en Windows (CVE-2019-17009)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
24/08/2020
Descripción:
Cuando se ejecuta, el servicio updater escribió el estado y los archivos de registro en una ubicación sin restricciones; permitiendo potencialmente a un proceso sin privilegios localizar y explotar una vulnerabilidad en el manejo de archivos en el servicio updater. *Nota: Este ataque requiere acceso al sistema local y solo afecta a Windows. Otros sistemas operativos no están afectados. *. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Vulnerabilidad en la preferencia Resist Fingerprinting en Thunderbird, Firefox ESR y Firefox. (CVE-2019-17010)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
16/01/2020
Descripción:
Bajo determinadas condiciones, cuando se comprueba la preferencia Resist Fingerprinting durante las verificaciones de orientación del dispositivo, una condición de carrera podría haber causado un uso de la memoria previamente liberada y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Vulnerabilidad en DocShell en el código antitracking en Thunderbird, Firefox ESR y Firefox. (CVE-2019-17011)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
16/01/2020
Descripción:
Bajo determinadas condiciones, al recuperar un documento desde un DocShell en el código antitracking, una condición de carrera podría causar un condición de uso de la memoria previamente liberada y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Vulnerabilidad en bugs de seguridad de memoria presentes en Thunderbird, Firefox y Firefox ESR. (CVE-2019-17012)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
16/01/2020
Descripción:
Los desarrolladores de Mozilla reportaron bugs de seguridad de memoria presentes en Firefox versión 70 y Firefox ESR versión 68.2. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con un esfuerzo suficiente algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Vulnerabilidad en bugs de seguridad de memoria presentes en Firefox. (CVE-2019-17013)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Los desarrolladores de Mozilla reportaron bugs de seguridad de memoria presentes en Firefox versión 70. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con un esfuerzo suficiente algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 71.
Vulnerabilidad en un desplazamiento del puntero en un nuevo proceso de contenido en Firefox ESR y Firefox. (CVE-2019-17015)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Durante la inicialización de un nuevo proceso de contenido, un desplazamiento del puntero puede ser manipulado lo que conlleva a una corrupción de memoria y un bloqueo explotable potencialmente en el proceso principal. * Nota: este problema solo ocurre en Windows. Otros sistemas operativos no están afectados. *. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a la versión 68.4 y Firefox versiones anteriores a la versión 72.
Vulnerabilidad en tipos de objetos del manejo de casos en Firefox ESR y Firefox (CVE-2019-17017)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Debido a una falta de tipos de objetos del manejo de casos, podría ocurrir una vulnerabilidad de confusión de tipos, resultando en un bloqueo. Suponemos que con el esfuerzo suficiente podría ser explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a la versión 68.4 y Firefox versiones anteriores a la versión 72.
Vulnerabilidad en un proceso de contenido comprometido dentro del sandbox en accounts.firefox.com en Firefox ESR y Firefox (CVE-2019-9812)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Dado un proceso de contenido comprometido dentro del sandbox debido a una vulnerabilidad separada, es posible escapar de ese sandbox cargando accounts.firefox.com en ese proceso y forzando un inicio de sesión en una cuenta de Firefox Sync maliciosa. La configuración de preferencias que deshabilita el sandbox es sincronizada con la máquina local y el navegador comprometido se reiniciará sin el sandbox si es activado un bloqueo. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 60.9, Firefox ESR versiones anteriores a la versión 68.1 y Firefox versiones anteriores a la versión 69.
Vulnerabilidad en bugs de seguridad de memoria presentes en Firefox. (CVE-2019-17025)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
24/08/2020
Descripción:
Los desarrolladores de Mozilla reportaron bugs de seguridad de memoria presentes en Firefox versión 71. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con un esfuerzo suficiente algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 72.
Vulnerabilidad en bugs de seguridad de memoria presentes en Firefox y Firefox ESR (CVE-2019-17024)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Los desarrolladores de Mozilla reportaron bugs de seguridad de memoria presentes en Firefox versión 71 y Firefox ESR versión 68.3. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con un esfuerzo suficiente algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a la versión 68.4 y Firefox versiones anteriores a la versión 72.
Vulnerabilidad en HelloRetryRequest en TLS State Machine en Firefox. (CVE-2019-17023)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
18/07/2020
Descripción:
Después de que HelloRetryRequest haya sido enviado, el cliente puede negociar un protocolo inferior que TLS versión 1.3, resultando en una transición de estado no válida en TLS State Machine. Si el cliente entra en este estado, los registros de Datos de Aplicación entrantes serian ignorados. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 72.
Vulnerabilidad en etiqueta del portapapeles en un editor de texto enriquecido en el saneador CSS en Firefox ESR y Firefox. (CVE-2019-17022)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Al pegar un <style> etiqueta del portapapeles en un editor de texto enriquecido, el saneador CSS no escapa caracteres < y >. Debido a que la cadena resultante es pegada directamente en el nodo de texto del elemento, esto no resulta en una inyección directa en la página web; sin embargo, si una página web posteriormente copia el innerHTML del nodo y lo asigna a otro innerHTML, esto generaría una vulnerabilidad XSS. Dos editores WYSIWYG fueron identificados con este comportamiento, pueden existir más. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a la versión 68.4 y Firefox versiones anteriores a la versión 72.
Vulnerabilidad en un nuevo proceso de contenido en Firefox ESR y Firefox en Windows. (CVE-2019-17021)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Durante la inicialización de un nuevo proceso de contenido, ocurre una condición de carrera que puede permitir a un proceso de contenido revelar direcciones de la pila del proceso principal. * Nota: este problema solo ocurre en Windows. Otros sistemas operativos no están afectados. *. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a la versión 68.4 y Firefox versiones anteriores a la versión 72.
Vulnerabilidad en un archivo XML en la Política de Seguridad de Contenido en Firefox. (CVE-2019-17020)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Si un archivo XML es servido con la Política de Seguridad de Contenido y el archivo XML incluye una hoja de estilo XSL, la Política de Seguridad de Contenido no será aplicada al contenido de la hoja de estilo XSL. Si la hoja XSL, por ejemplo, incluye JavaScript, omitiría cualquiera de las restricciones de la Política de Seguridad de Contenido aplicada al documento XML. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 72.
Vulnerabilidad en un archivo de Python servido con el tipo MIME de text/plain en Firefox en Windows (CVE-2019-17019)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Cuando Python se instaló en Windows, un archivo de Python que es servido con el tipo MIME de text/plain podría ser ejecutado por Python en lugar de abrirlo como un archivo de texto cuando la opción Open fue seleccionada al descargar. *Nota: este problema se presenta solo en Windows. Otros sistemas operativos no están afectados. *. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 72.
Vulnerabilidad en Private Browsing Mode en Windows 10 en el teclado de Windows en Firefox. (CVE-2019-17018)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Cuando se encuentra en Private Browsing Mode en Windows 10, el teclado de Windows puede retener sugerencias de palabras para mejorar la precisión del teclado. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 72.
Vulnerabilidad en etiqueta del portapapeles en un editor de texto enriquecido en el saneador CSS en Firefox ESR y Firefox (CVE-2019-17016)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Al pegar un <style> etiqueta del portapapeles en un editor de texto enriquecido, el saneador CSS reescribe incorrectamente una regla @namespace. Esto podría permitir una inyección en ciertos tipos de sitios web resultando en la filtración de datos. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a la versión 68.4 y Firefox versiones anteriores a la versión 72.
Vulnerabilidad en la función read_pages_map en GNU LibreDWG. (CVE-2020-6609)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
23/01/2020
Descripción:
GNU LibreDWG versión 0.9.3.2564, tiene una lectura excesiva de búfer en la región heap de la memoria en la función read_pages_map en el archivo decode_r2007.c.
Vulnerabilidad en etiqueta de objeto con un URI de datos en la Política de Seguridad de Contenido del documento en Firefox. (CVE-2019-17000)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Una etiqueta de objeto con un URI de datos no heredó correctamente la Política de Seguridad de Contenido del documento. Esto permitió una omisión de CSP en una trama de origen cruzado si la política del documento explícitamente permitió los URI data:. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70.
Vulnerabilidad en un mensaje enviado al proceso principal en la petición del permiso "Click to Play" en Firefox. (CVE-2019-11765)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Un proceso de contenido comprometido podría enviar un mensaje al proceso principal que causaría que la petición del permiso "Click to Play" sea mostrada . Sin embargo, debido a la falta de comprobación del proceso principal, si el usuario acepta la petición de permiso, un permiso controlado por el atacante sería otorgado en lugar del permiso "Click to Play". Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70.
Vulnerabilidad en bugs de seguridad de memoria en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11764)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
14/03/2020
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad reportaron bugs de seguridad de memoria presentes en Firefox versión 69 y Firefox ESR versión 68.1. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con un esfuerzo suficiente algunos de estos podrían ser explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Vulnerabilidad en nrappkit cuando realiza la señalización de WebRTC en Firefox, Thunderbird y Firefox ESR (CVE-2019-11760)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
14/03/2020
Descripción:
Un búfer de pila de tamaño fijo podría desbordarse en nrappkit cuando realiza la señalización de WebRTC. Esto resultó en un bloqueo explotable potencialmente en algunos casos. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Vulnerabilidad en los bytes nulos en procesamiento de entidades HTML en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11763)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
14/03/2020
Descripción:
Si no se manejan correctamente los bytes nulos cuando se procesan entidades HTML, Firefox analiza de manera incorrecta estas entidades. Esto podría haber conllevado a que el texto de comentario HTML fuese tratado como un HTML, lo que podría haber provocado una vulnerabilidad de tipo XSS en una aplicación web bajo determinadas condiciones. También podría haber conllevado a que las entidades HTML sean enmascaradas desde los filtros, permitiendo el uso de entidades para enmascarar los caracteres actuales de interés de los filtros. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Vulnerabilidad en document.domain en DOM methods/getters/setters en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11762)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
14/03/2020
Descripción:
Si dos documentos del mismo origen configuran a document.domain de manera diferente para convertirse en origen cruzado, es posible llamar arbitrariamente a DOM methods/getters/setters en la ventana ahora de origen cruzado. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Vulnerabilidad en un formulario con un URI de datos en objeto JSONView en Firefox, Thunderbird y Firefox ESR (CVE-2019-11761)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
24/08/2020
Descripción:
Mediante el uso de un formulario con un URI de datos, fue posible conseguir acceso al objeto JSONView privilegiado que había sido clonado en contenido. El impacto de exponer este objeto parece ser mínimo, sin embargo, fue una omisión de los mecanismos de defensa existentes en profundidad. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Vulnerabilidad en la salida HMAC en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11759)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
14/03/2020
Descripción:
Un atacante podría haber causado que 4 bytes de salida HMAC se escribieran más allá del final de un búfer almacenado en la pila. Esto podría ser usado por un atacante para ejecutar código arbitrario o, más probablemente, conllevar a un bloqueo. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 70, Thunderbird versiones anteriores la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Vulnerabilidad en un bug de seguridad de la memoria en Firefox con 360 Total Security instalado. (CVE-2019-11758)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
28/04/2020
Descripción:
Philipp, miembro de la comunidad de Mozilla, reportó un bug de seguridad de la memoria presente en Firefox versión 68 cuando 360 Total Security fue instalado. Este bug mostró evidencia de corrupción de memoria en el motor de accesibilidad y suponemos que con un esfuerzo suficiente podría ser explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a la versión 69, Thunderbird versiones anteriores a la versión 68.2 y Firefox ESR versiones anteriores a la versión 68.2.
Vulnerabilidad en cifrado de bloque en una llamada a NSC_EncryptUpdate en Thunderbird, Firefox ESR y Firefox (CVE-2019-11745)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
16/01/2020
Descripción:
Al encriptar con un cifrado de bloque, si se realizó una llamada a NSC_EncryptUpdate con datos más pequeños que el tamaño del bloque, podría producirse una pequeña escritura fuera de límites. Esto podría haber causado una corrupción de la pila y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Vulnerabilidad en la función rw_i93_send_cmd_write_single_block en Android. (CVE-2020-0006)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
29/01/2020
Descripción:
En la función rw_i93_send_cmd_write_single_block del archivo rw_i93.cc, hay una posible divulgación de información de la memoria de la pila debido a datos no inicializados. Esto podría conllevar a una divulgación de información remota en el servidor NFC sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID de Android: A-139738828.
Vulnerabilidad en el archivo mid.dat almacenado en la tarjeta SD en Symantec Norton Mobile Security para Android (CVE-2016-6587)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Existe una vulnerabilidad de Divulgación de Información en el archivo mid.dat almacenado en la tarjeta SD en Symantec Norton Mobile Security para Android versiones anteriores a la versión 3.16, lo que podría permitir a un usuario malicioso local obtener información confidencial.
Vulnerabilidad en en la función "exec" en aws-lambda. (CVE-2019-10777)
Gravedad:
AltaAlta
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
En aws-lambda versiones anteriores a la versión 1.0.5, el "config.FunctioName" es usado para construir el argumento utilizado dentro de la función "exec" sin ningún saneamiento. Es posible que un usuario inyecte comandos arbitrarios en el "zipCmd" usado dentro de "config.FunctionName".
Vulnerabilidad en la Interfaz de Usuario Web (WUI) en Kemp Load Master (CVE-2014-5287)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Existe una vulnerabilidad de inyección de script Bash en Kemp Load Master versión 7.1-16 y anteriores, debido a un fallo en el saneamiento de la entrada en la Interfaz de Usuario Web (WUI).
Vulnerabilidad en la función calc_vm_may_flags del archivo ashmem.c en Android. (CVE-2020-0009)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
10/06/2020
Descripción:
En la función calc_vm_may_flags del archivo ashmem.c, hay una posible escritura arbitraria en la memoria compartida debido a una omisión de permisos. Esto podría conllevar a una escalada local de privilegios mediante la corrupción de la memoria compartida entre procesos, sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-142938932
Vulnerabilidad en el análisis JSON en varias API en Jamf Pro (CVE-2019-17076)
Gravedad:
AltaAlta
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Se descubrió un problema en Jamf Pro versiones 9.x y versiones 10.x anteriores a la versión 10.15.1. Una deserialización de datos no seguros cuando se analiza JSON en varias API puede causar una Denegación de Servicio (DoS), ejecución de código remota (RCE) y/o eliminación de archivos en el servidor de Jamf Pro.
Vulnerabilidad en la función exec en la variable "commonName" en devcert-sanscache. (CVE-2019-10778)
Gravedad:
AltaAlta
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
devcert-sanscache versiones anteriores a la versión 0.4.7, permite a atacantes remotos ejecutar código arbitrario o causar una Inyección de Comando por medio de la función exec. La variable "commonName" controlada por la entrada del usuario es usada como parte de la función "exec" sin ningún tipo de saneamiento.
Vulnerabilidad en Bluetooh en Google Android. (CVE-2014-9908)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
13/01/2020
Descripción:
Existe una vulnerabilidad de denegación de servicio en Google Android versiones 4.4.4, 5.0.2 y 5.1.1, lo que permite a usuarios maliciosos bloquear el acceso a Bluetooh (ID de Bug de Android A-28672558).
Vulnerabilidad en el campo description de un ítem de Download RSS o Contacts en la interfaz Freebox OS Web. (CVE-2014-9405)
Gravedad:
BajaBaja
Publication date: 06/01/2020
Last modified:
13/01/2020
Descripción:
Existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el campo description de un ítem de Download RSS o Contacts en la interfaz Freebox OS Web versión 3.0.2, que permite a usuarios maliciosos ejecutar código arbitrario.
Vulnerabilidad en vectores relacionados con bloques de código gfm (CVE-2014-3743)
Gravedad:
MediaMedia
Publication date: 06/01/2020
Last modified:
13/01/2020
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el módulo Marked versiones anteriores a 0.3.1 para Node.js, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores relacionados con (1) bloques de código gfm (lenguaje) o (2) las URL de JavaScript.
Vulnerabilidad en los campos de perfil o un nuevo contenido de publicación en el plugin WP Membership para WordPress. (CVE-2015-4039)
Gravedad:
BajaBaja
Publication date: 06/01/2020
Last modified:
13/01/2020
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en el plugin WP Membership versión 1.2.3 para WordPress, permiten a usuarios autenticados remotos inyectar script web o HTML arbitrario por medio de (1) los campos de perfil o (2) un nuevo contenido de publicación, no especificados. NOTA: CVE-2015-4038 puede ser usado para omitir el paso de confirmación del administrador para el vector 2.
Vulnerabilidad en a funcionalidad de definición de carga en Determine Contract Lifecycle Management (CVE-2019-20153)
Gravedad:
MediaMedia
Publication date: 05/01/2020
Last modified:
13/01/2020
Descripción:
Se descubrió un problema en Determine (anteriormente Selectica) Contract Lifecycle Management (CLM) en versión v5.4. Una vulnerabilidad de tipo XML External Entity (XXE) en la funcionalidad de definición de carga en el archivo definition_upload_attach.jsp, permite a atacantes remotos autenticados leer archivos arbitrarios (incluyendo los archivos de configuración que contienen credenciales administrativas).
Vulnerabilidad en filebrowser.php en diversos parámetros en GetSimple CMS (CVE-2013-1420)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
13/01/2020
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en GetSimple CMS versiones anteriores a la versión 3.2.1, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro (1) id en el archivo backup-edit.php; (2) title o (3) parámetro menu en el archivo edit.php; o (4) path o (5) parámetro returnid en el archivo filebrowser.php en admin/. NOTA: el parámetro path en el vector admin/upload.php ya está cubierto por CVE-2012-6621.
Vulnerabilidad en el módulo Python en Electronic Arts Karotz Smart Rabbit (CVE-2013-4867)
Gravedad:
MediaMedia
Publication date: 27/12/2019
Last modified:
13/01/2020
Descripción:
Electronic Arts Karotz Smart Rabbit versión 12.07.19.00, permite el secuestro del módulo Python.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el campo Target IP address en la página Diagnostics Ping en los dispositivos Comtech Stampede (CVE-2020-5179)
Gravedad:
AltaAlta
Publication date: 02/01/2020
Last modified:
13/01/2020
Descripción:
Los dispositivos Comtech Stampede FX-1010 versión 7.4.3, permiten a administradores autenticados remotos ejecutar comandos arbitrarios del Sistema Operativo navegando en la página Diagnostics Ping e ingresando metacaracteres de shell en el campo Target IP address. (En algunos casos, la autenticación puede ser alcanzada con la contraseña comtech para la cuenta comtech).
Vulnerabilidad en Jifty::DBI. (CVE-2011-1933)
Gravedad:
AltaAlta
Publication date: 26/11/2019
Last modified:
13/01/2020
Descripción:
Una vulnerabilidad de inyección SQL en Jifty::DBI versiones anteriores a la versión 0.68.
Vulnerabilidad en OpenSC (CVE-2019-15946)
Gravedad:
MediaMedia
Publication date: 05/09/2019
Last modified:
24/01/2020
Descripción:
OpenSC en versiones anteriores a la 0.20.0-rc1 tiene un acceso fuera de los límites de Octet string ASN.1 en asn1_decode_entry en libopensc/asn1.c.
Vulnerabilidad en OpenSC (CVE-2019-15945)
Gravedad:
MediaMedia
Publication date: 05/09/2019
Last modified:
24/01/2020
Descripción:
OpenSC en versiones anteriores a la 0.20.0-rc1 tiene un acceso fuera de límites de una Bitstring ASN.1 en decode_bit_string en libopensc/asn1.c.
Vulnerabilidad en FontForge (CVE-2019-15785)
Gravedad:
AltaAlta
Publication date: 29/08/2019
Last modified:
13/01/2020
Descripción:
FontForge versión 20190813 hasta la versión 20190820 tiene un desbordamiento de búfer en la función PrefsUI_LoadPrefs en el archivo prefs.c.
Vulnerabilidad en FontForge (CVE-2017-17521)
Gravedad:
MediaMedia
Publication date: 14/12/2017
Last modified:
13/01/2020
Descripción:
uiutil.c en FontForge hasta la versión 20170731 no valida cadenas antes de iniciar el programa especificado por la variable de entorno BROWSER. Esto podría permitir que atacantes remotos lleven a cabo ataques de inyección de argumentos mediante una URL manipulada. Esta vulnerabilidad es diferente de CVE-2017-17534.
CVE-2017-11568
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura excesiva del búfer en la región heap de la memoria en la función PSCharStringToSplines (psread.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en la función getsid en el archivo parsettf.c en FontForge (CVE-2017-11577)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura excesiva del búfer en la función getsid (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en la función readcfftopdict en el archivo parsettf.c en FontForge (CVE-2017-11576)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, no garantiza un tamaño positivo en una llamada memcpy de vector weight en la función readcfftopdict (parsettf.c) resultando en una DoS por medio de un archivo otf creado.
Vulnerabilidad en la función strnmatch en el archivo char.c en FontForge (CVE-2017-11575)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura en exceso del búfer en la función strnmatch (char.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado, relacionado con una llamada de la función readttfcopyrights en el archivo parsettf.c.
Vulnerabilidad en la función readcffset en el archivo parsettf.c en FontForge (CVE-2017-11574)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
En FontForge versión 20161012, es vulnerable a un desbordamiento de búfer en la región heap de la memoria en la función readcffset (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
CVE-2017-11573
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura excesiva del búfer en la función ValidatePostScriptFontName (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en la función readcfftopdicts en el archivo parsettf.c en FontForge (CVE-2017-11572)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura excesiva del búfer en la región heap de la memoria en la función readcfftopdicts (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en la función addnibble en el archivo parsettf.c en FontForge (CVE-2017-11571)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a un desbordamiento de búfer en la región stack de la memoria en la función addnibble (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en umodenc en el archivo parsettf.c en FontForge (CVE-2017-11570)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura en exceso del búfer en la función umodenc (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.