Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en en la función hash_slice en mrub (CVE-2020-6840)
Gravedad:
AltaAlta
Publication date: 11/01/2020
Last modified:
13/01/2020
Descripción:
En mruby versión 2.1.0, hay un uso de la memoria previamente liberada en la función hash_slice en el archivo mrbgems/mruby-hash-ext/src/hash-ext.c.
Vulnerabilidad en la función mrb_str_len_to_dbl en mruby. (CVE-2020-6839)
Gravedad:
AltaAlta
Publication date: 11/01/2020
Last modified:
13/01/2020
Descripción:
En mruby versión 2.1.0, hay un desbordamiento de búfer en la región stack de la memoria en la función mrb_str_len_to_dbl en el archivo string.c.
Vulnerabilidad en en la función hash_values_at en mruby. (CVE-2020-6838)
Gravedad:
AltaAlta
Publication date: 11/01/2020
Last modified:
13/01/2020
Descripción:
En mruby versión 2.1.0, hay un uso de la memoria previamente liberada en la función hash_values_at en el archivo mrbgems/mruby-hash-ext/src/hash-ext.c.
Vulnerabilidad en el archivo header.php en el parámetro cs en ganglia-web (CVE-2019-20379)
Gravedad:
MediaMedia
Publication date: 11/01/2020
Last modified:
13/01/2020
Descripción:
ganglia-web (también se conoce como Ganglia Web Frontend) versiones hasta la versión 3.7.5, permite un ataque de tipo XSS por medio del parámetro cs del archivo header.php.
Vulnerabilidad en el archivo header.php en el parámetro ce en ganglia-web. (CVE-2019-20378)
Gravedad:
MediaMedia
Publication date: 11/01/2020
Last modified:
13/01/2020
Descripción:
ganglia-web (también se conoce como Ganglia Web Frontend) versiones hasta la versión 3.7.5, permite un ataque de tipo XSS por medio del parámetro ce del archivo header.php.
Vulnerabilidad en IBM QRadar SIEM (CVE-2019-4559)
Gravedad:
MediaMedia
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
IBM QRadar SIEM versiones 7.3.0 hasta la versión 7.3.3, divulga información confidencial a usuarios no autorizados. La información puede ser usada para montar nuevos ataques sobre el sistema. ID de IBM X-Force: 166355.
Vulnerabilidad en almacenamiento de credenciales en IBM QRadar SIEM (CVE-2019-4508)
Gravedad:
BajaBaja
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
IBM QRadar SIEM versiones 7.3.0 hasta la versión 7.3.3, utiliza un almacenamiento de credenciales débil en algunos casos que podría ser descifrado por un atacante local. ID de IBM X-Force: 164429.
Vulnerabilidad en el plugin ultimate-weather para WordPress. (CVE-2014-4561)
Gravedad:
MediaMedia
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
El plugin ultimate-weather versión 1.0 para WordPress, tiene una vulnerabilidad de tipo XSS.
Vulnerabilidad en el plugin Pretty-Link para WordPress (CVE-2011-4595)
Gravedad:
MediaMedia
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
El plugin Pretty-Link versión 1.5.2 para WordPress, tiene una vulnerabilidad de tipo XSS.
Vulnerabilidad en el plugin flog para WordPress. (CVE-2014-4530)
Gravedad:
MediaMedia
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
El plugin flog versión 0.1 para WordPress, tiene una vulnerabilidad de tipo XSS.
Vulnerabilidad en DOMPDF. (CVE-2014-5013)
Gravedad:
MediaMedia
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
DOMPDF verDOMPDF. versiones anteriores a la versión 0.6.2, permite una ejecución de código remota, un problema relacionado con CVE-2014-2383.
Vulnerabilidad en DOMPDF. (CVE-2014-5012)
Gravedad:
MediaMedia
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
DOMPDF versiones anteriores a la versión 0.6.2, permite una denegación de servicio.
Vulnerabilidad en DOMPDF. (CVE-2014-5011)
Gravedad:
MediaMedia
Publication date: 10/01/2020
Last modified:
13/01/2020
Descripción:
DOMPDF versiones anteriores a la versión 0.6.2, permite una divulgación de información.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en OpenCV (CVE-2019-5064)
Gravedad:
MediaMedia
Publication date: 03/01/2020
Last modified:
08/01/2020
Descripción:
Existe una vulnerabilidad de desbordamiento del búfer de almacenamiento dinámico explotable en la funcionalidad de persistencia de la estructura de datos de OpenCV, anterior a la versión 4.2.0. Un archivo JSON especialmente diseñado puede causar un desbordamiento del búfer, lo que da como resultado múltiples corrupciones en el montón y, potencialmente, la ejecución del código. Un atacante puede proporcionar un archivo especialmente diseñado para desencadenar esta vulnerabilidad.
Vulnerabilidad en La API Java en accesuniversitat.gencat.cat (CVE-2019-12837)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
10/01/2020
Descripción:
La API Java en accesuniversitat.gencat.cat 1.7.5 permite a los atacantes remotos obtener información personal de todos los estudiantes registrados a través de varios puntos finales API.
Vulnerabilidad en Se descubrió un problema en los paquetes relacionados con las comunicaciones ROS (CVE-2019-13465)
Gravedad:
MediaMedia
Publication date: 30/12/2019
Last modified:
24/08/2020
Descripción:
Se descubrió un problema en los paquetes relacionados con las comunicaciones ROS (también conocido como ros_comm o ros-melodic-ros-comm) hasta la versión 1.14.3. ROS_ASSERT_MSG solo funciona cuando se define ROS_ASSERT_ENABLED. Esto lleva a un problema en la función remove () en clients / roscpp / src / libros / spinner.cpp. Cuando ROS_ASSERT_ENABLED no está definido, el bucle iterador se quedará fuera del alcance de la matriz y causará la denegación de servicio para otros componentes (que dependen de las funciones relacionadas con la comunicación de este paquete). NOTA: El informador de este problema ahora cree que fue una falsa alarma.
Vulnerabilidad en Pandora FMS 7 (CVE-2019-19681)
Gravedad:
AltaAlta
Publication date: 26/12/2019
Last modified:
21/01/2020
Descripción:
** EN DISPUTA ** Pandora FMS 7.x sufre de vulnerabilidad de ejecución remota de código. Con un usuario autenticado que puede modificar el sistema de alerta, es posible definir y ejecutar comandos como root / Administrador. NOTA: El proveedor del producto afirma que la vulnerabilidad tal como se describe no es en realidad una vulnerabilidad real. Afirman que para poder crear comandos de alerta, debe tener derechos de administrador. También afirman que el sistema ACL extendido puede inhabilitar el acceso a secciones específicas de la configuración, como definir nuevos comandos de alerta.
Vulnerabilidad en Se descubrió un problema en los dispositivos Xiaomi (CVE-2019-15915)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
03/01/2020
Descripción:
Se descubrió un problema en los dispositivos Xiaomi DGNWG03LM, ZNCZ03LM, MCCGQ01LM, RTCGQ01LM. Los atacantes pueden utilizar el "procedimiento de descubrimiento de red ZigBee" para realizar un ataque de denegación de servicio.
Vulnerabilidad en Se descubrió un problema en los dispositivos Xiaomi (CVE-2019-15914)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
03/01/2020
Descripción:
Se descubrió un problema en los dispositivos Xiaomi DGNWG03LM, ZNCZ03LM, MCCGQ01LM, WSDCGQ01LM, RTCGQ01LM. Los atacantes pueden utilizar el procedimiento de reincorporación del centro de confianza ZigBee para realizar múltiples ataques de denegación de servicio.
Vulnerabilidad en Se descubrió un problema en los dispositivos Xiaomi (CVE-2019-15913)
Gravedad:
AltaAlta
Publication date: 20/12/2019
Last modified:
03/01/2020
Descripción:
Se descubrió un problema en los dispositivos Xiaomi DGNWG03LM, ZNCZ03LM, MCCGQ01LM, WSDCGQ01LM, RTCGQ01LM. Debido al transporte inseguro de claves en la comunicación ZigBee, los atacantes obtienen información confidencial y ataques de denegación de servicio, se apoderan de dispositivos domésticos inteligentes y manipulan los mensajes.
Vulnerabilidad en Se descubrió un problema en los dispositivos ASUS HG100 (CVE-2019-15912)
Gravedad:
MediaMedia
Publication date: 20/12/2019
Last modified:
07/01/2020
Descripción:
Se descubrió un problema en los dispositivos ASUS HG100, MW100, WS-101, TS-101, AS-101, MS-101, DL-101 que usan ZigBee PRO. Los atacantes pueden utilizar el procedimiento de reincorporación del centro de confianza ZigBee para realizar múltiples ataques de denegación de servicio.
Vulnerabilidad en ZigBee PRO (CVE-2019-15911)
Gravedad:
AltaAlta
Publication date: 20/12/2019
Last modified:
09/01/2020
Descripción:
Se descubrió un problema en los dispositivos ASUS HG100, MW100, WS-101, TS-101, AS-101, MS-101, DL-101 que usan ZigBee PRO. Debido al transporte inseguro de claves en la comunicación de ZigBee, los atacantes pueden obtener información confidencial, provocar múltiples ataques de denegación de servicio, hacerse cargo de dispositivos domésticos inteligentes y manipular los mensajes.
Vulnerabilidad en En createSessionInternal de PackageInstallerService.java (CVE-2019-2218)
Gravedad:
AltaAlta
Publication date: 06/12/2019
Last modified:
24/08/2020
Descripción:
En createSessionInternal de PackageInstallerService.java, existe una posible concesión de permiso incorrecta debido a una falta de verificación de permiso. Esto podría conducir a la escalada local de privilegios al instalar paquetes maliciosos con los privilegios de ejecución de usuario necesarios. La interacción del usuario no es necesaria para la explotación. Producto: Versiones de Android: Android-8.0, Android-8.1, Android-9 y Android-10 ID de Android: A-141169173
Vulnerabilidad en Un usuario malintencionado débil puede escalar sus privilegios (CVE-2019-19364)
Gravedad:
MediaMedia
Publication date: 04/12/2019
Last modified:
10/02/2020
Descripción:
Un usuario malintencionado débil puede escalar sus privilegios siempre que se ejecuten los instaladores CatalystProductionSuite.2019.1.exe (versión 1.1.0.21) y CatalystBrowseSuite.2019.1.exe (versión 1.1.0.21). La vulnerabilidad está en forma de secuestro de DLL. Los instaladores intentan cargar archivos DLL que no existen desde su directorio actual; Al hacerlo, un atacante puede escalar rápidamente sus privilegios.
Vulnerabilidad en el procedimiento .buildfont1 no aseguraba adecuadamente sus llamadas privilegiadas (CVE-2019-10216)
Gravedad:
MediaMedia
Publication date: 27/11/2019
Last modified:
30/09/2020
Descripción:
En ghostscript anterior a la versión 9.50, el procedimiento .buildfont1 no aseguraba adecuadamente sus llamadas privilegiadas, permitiendo que los scripts eludieran las restricciones `-dSAFER`. Un atacante podría abusar de esta fallo al crear un archivo PostScript especialmente diseñado que podría escalar privilegios y acceder a archivos fuera de las áreas restringidas.
Vulnerabilidad en Centreon Web anterior (CVE-2019-16405)
Gravedad:
AltaAlta
Publication date: 21/11/2019
Last modified:
31/12/2019
Descripción:
Centreon Web anterior a la versión 2.8.30, 18.10.x anterior a la versión 18.10.8, 19.04.x anterior a la versión 19.04.5 y 19.10.x anterior a la versión 19.10.2 permite la ejecución remota de código por parte de un administrador que puede modificar la configuración de ubicación de Macro Expression. CVE-2019-16405 y CVE-2019-17501 son similares entre sí y pueden ser iguales.
Vulnerabilidad en Cloud Foundry Routing (CVE-2019-11289)
Gravedad:
AltaAlta
Publication date: 19/11/2019
Last modified:
03/01/2020
Descripción:
Cloud Foundry Routing, todas las versiones anteriores a la versión 0.193.0, no valida correctamente la entrada nonce. Un usuario malintencionado remoto no autenticado podría falsificar una solicitud de servicio de ruta HTTP utilizando un nonce no válido que provocará el bloqueo del Gorouter.
Vulnerabilidad en Mozilla Network Security Services (CVE-2016-5285)
Gravedad:
MediaMedia
Publication date: 15/11/2019
Last modified:
09/01/2020
Descripción:
Existe una vulnerabilidad de desreferencia de puntero nulo en Mozilla Network Security Services debido a una falta de verificación NULL en PK11_SignWithSymKey / ssl3_ComputeRecordMACConstantTime, lo que podría permitir que un usuario malintencionado remoto cause una Denegación de servicio.
Vulnerabilidad en McAfee Advanced Threat Defense (CVE-2019-3663)
Gravedad:
BajaBaja
Publication date: 13/11/2019
Last modified:
07/01/2020
Descripción:
La vulnerabilidad de almacenamiento no protegido de credenciales en McAfee Advanced Threat Defense (ATD) anterior a la versión 4.8 permite al atacante local obtener acceso a la contraseña de root mediante el acceso a archivos confidenciales en el sistema. Esto se publicó originalmente con una calificación CVSS de Alta, una investigación adicional ha dado lugar a que esto se actualice a Crítico. La contraseña de root es común en todas las instancias de ATD anteriores a la versión 4.8. Vea el boletín de seguridad para más detalles.
Vulnerabilidad en En FindSharedFunctionInfo de objects.cc, (CVE-2019-2204)
Gravedad:
AltaAlta
Publication date: 13/11/2019
Last modified:
08/01/2020
Descripción:
En FindSharedFunctionInfo de objects.cc, hay una posible lectura fuera de los límites debido a un error en el recorrido AST. Esto podría conducir a la ejecución remota de código en el pacprocessor sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación. Producto: Versiones de Android: Android-8.1, Android-9 ID de Android: A-138442295
Vulnerabilidad en En PromiseBuiltinsAssembler :: NewPromiseCapability (CVE-2019-2208)
Gravedad:
AltaAlta
Publication date: 13/11/2019
Last modified:
24/08/2020
Descripción:
En PromiseBuiltinsAssembler :: NewPromiseCapability de builtins-promise.cc, hay una posible lectura fuera de límites en el código v8 JIT debido a un error en la generación de código. Esto podría conducir a la divulgación de información remota sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación. Producto: Versiones de Android: Android-8.1, Android-9 ID de Android: A-138441919