Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Adobe Experience Manager (CVE-2019-16469)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
24/08/2020
Descripción:
Adobe Experience Manager versiones 6.5, 6.4, 6.3, 6.2, 6.1 y 6.0, presentan una vulnerabilidad de inyección de lenguaje de expresión. Una explotación con éxito podría conllevar a una divulgación de información confidencial.
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: BI Platform Security) (CVE-2020-2531)
Gravedad:
BajaBaja
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: BI Platform Security). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Puntaje Base 3.1 (Impactos en la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle Reports Developer de Oracle Fusion Middleware (componente: Security and Authentication) (CVE-2020-2533)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Reports Developer de Oracle Fusion Middleware (componente: Security and Authentication). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Reports Developer. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se presenta en Oracle Reports Developer, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Reports Developer, así como en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Reports Developer. CVSS 3.0 Puntaje Base 6.1 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Reports Developer de Oracle Fusion Middleware (componente: Security and Authentication) (CVE-2020-2534)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Reports Developer de Oracle Fusion Middleware (componente: Security and Authentication). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Reports Developer. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se presenta en Oracle Reports Developer, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Reports Developer, así como en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Reports Developer. CVSS 3.0 Puntaje Base 6.1 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Server) (CVE-2020-2535)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Server). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se presenta en Oracle Business Intelligence Enterprise Edition, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Puntaje Base 4.7 (Impactos en la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2020-2536)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de paquetes de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente hacia el código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntaje Base 5.4 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Actions) (CVE-2020-2537)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Actions). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se presenta en Oracle Business Intelligence Enterprise Edition, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Business Intelligence Enterprise Edition, así como en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition y una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Puntaje Base 7.1 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L).
Vulnerabilidad en el producto Oracle WebCenter Sites de Oracle Fusion Middleware (componente: Advanced UI) (CVE-2020-2538)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle WebCenter Sites de Oracle Fusion Middleware (componente: Advanced UI). La versión compatible que está afectada es 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle WebCenter Sites. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se presenta en Oracle WebCenter Sites, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle WebCenter Sites, así como en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle WebCenter Sites y una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle WebCenter Sites. CVSS 3.0 Puntaje Base 7.1 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L).
Vulnerabilidad en el producto Oracle WebCenter Sites de Oracle Fusion Middleware (componente: Advanced UI) (CVE-2020-2539)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle WebCenter Sites de Oracle Fusion Middleware (componente: Advanced UI). La versión compatible que está afectada es 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle WebCenter Sites. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se presenta en Oracle WebCenter Sites, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle WebCenter Sites, así como en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle WebCenter Sites. CVSS 3.0 Puntaje Base 6.1 (Impactos en la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2020-2540)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology y una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de paquetes de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente hacia el código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntaje Base 6.5 (Impactos en la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L).
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2020-2541)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology y una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de paquetes de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente hacia el código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntaje Base 6.5 (Impactos en la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L).
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2020-2542)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology y una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de paquetes de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente hacia el código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntaje Base 6.5 (Impactos en la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L).
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters) (CVE-2020-2543)
Gravedad:
AltaAlta
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de paquetes de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente hacia el código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntaje Base 7.3 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: OSSL Module) (CVE-2020-2545)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el producto Oracle HTTP Server de Oracle Fusion Middleware (componente: OSSL Module). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTPS comprometer a Oracle HTTP Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle HTTP Server. CVSS 3.0 Puntaje Base 5.3 (Impactos en la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Adobe Experience Manager (CVE-2019-16468)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
17/01/2020
Descripción:
Adobe Experience Manager versiones 6.5, 6.4, 6.3, 6.2, 6.1 y 6.0, presentan una vulnerabilidad de inyección de la interfaz de usuario. Una explotación con éxito podría conllevar a una divulgación de información confidencial .
Vulnerabilidad en Internet Explorer de Microsoft (CVE-2020-0640)
Gravedad:
AltaAlta
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando Internet Explorer accede inapropiadamente a los objetos en memoria, también se conoce como "Internet Explorer Memory Corruption Vulnerability".
Vulnerabilidad en el software ASP.NET Core de Microsoft (CVE-2020-0603)
Gravedad:
AltaAlta
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el software ASP.NET Core cuando el software presenta un fallo al manejar los objetos en memoria. Un atacante que explotó con éxito la vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual, también se conoce como "ASP.NET Core Remote Code Execution Vulnerability".
Vulnerabilidad en Microsoft Graphics Components (CVE-2020-0607)
Gravedad:
MediaMedia
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información en la manera en que Microsoft Graphics Components maneja los objetos en memoria, también se conoce como "Microsoft Graphics Components Information Disclosure Vulnerability".
Vulnerabilidad en el componente win32k en el kernel de Microsoft (CVE-2020-0608)
Gravedad:
BajaBaja
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el componente win32k proporciona inapropiadamente información del kernel, también se conoce como "Win32k Information Disclosure Vulnerability".
Vulnerabilidad en el Windows Remote Desktop Client de Microsoft (CVE-2020-0611)
Gravedad:
MediaMedia
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el Windows Remote Desktop Client cuando un usuario conecta con un servidor malicioso, también se conoce como "Remote Desktop Client Remote Code Execution Vulnerability".
Vulnerabilidad en el controlador Windows Common Log File System (CLFS) de Microsoft (CVE-2020-0615)
Gravedad:
BajaBaja
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información en el controlador Windows Common Log File System (CLFS) cuando presenta un fallo al manejar apropiadamente los objetos en memoria, también se conoce como "Windows Common Log File System Driver Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2020-0639.
Vulnerabilidad en los enlaces físicos en Microsoft Windows (CVE-2020-0616)
Gravedad:
MediaMedia
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de denegación de servicio cuando Windows maneja inapropiadamente los enlaces físicos, también se conoce como "Microsoft Windows Denial of Service Vulnerability".
Vulnerabilidad en la característica de seguridad en Microsoft Windows 10 (CVE-2020-0621)
Gravedad:
BajaBaja
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad en Windows 10 cuando filtros de terceros son llamados durante una actualización de contraseña, también se conoce como "Windows Security Feature Bypass Vulnerability".
Vulnerabilidad en el Componente Graphics de Microsoft Windows (CVE-2020-0622)
Gravedad:
BajaBaja
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el Componente Graphics de Microsoft Windows maneja inapropiadamente los objetos en memoria, también se conoce como "Microsoft Graphics Component Information Disclosure Vulnerability".
Vulnerabilidad en los enlaces simbólicos en Microsoft Windows (CVE-2020-0635)
Gravedad:
AltaAlta
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Microsoft Windows cuando Windows presenta un fallo al manejar apropiadamente de determinados enlaces simbólicos, también se conoce como "Windows Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-0644.
Vulnerabilidad en Remote Desktop Web Access de Microsoft (CVE-2020-0637)
Gravedad:
MediaMedia
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando Remote Desktop Web Access maneja inapropiadamente la información de credenciales, también se conoce como "Remote Desktop Web Access Information Disclosure Vulnerability".
Vulnerabilidad en las funciones de administrador en WebsiteBaker (CVE-2011-2934)
Gravedad:
MediaMedia
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
Se presenta una vulnerabilidad de tipo Cross Site Request Forgery (CSRF) en las funciones de administrador en WebsiteBaker versión 2.8.1 y anteriores, debido a una confirmación inapropiada de transacciones confidenciales.
Vulnerabilidad en los servidores de back-end en el acceso al portal de BIG-IP APM (CVE-2020-5853)
Gravedad:
BajaBaja
Publication date: 14/01/2020
Last modified:
17/01/2020
Descripción:
En el acceso al portal de BIG-IP APM en las versiones 15.0.0 hasta 15.1.0, 14.0.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.2, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5.1, cuando los servidores de back-end sirven páginas HTTP con un código JavaScript especial, esto puede conllevar a un conflicto interno del nombre de acceso al portal.
Vulnerabilidad en los dispositivos inalámbricos Mitel SIP-DECT. (CVE-2019-19891)
Gravedad:
MediaMedia
Publication date: 13/01/2020
Last modified:
17/01/2020
Descripción:
Una vulnerabilidad de clave de cifrado en los dispositivos inalámbricos Mitel SIP-DECT versión 8.0 y 8.1, podría permitir a un atacante activar un ataque de tipo man-in-the-middle. Una explotación con éxito puede permitir al atacante interceptar información confidencial.
Vulnerabilidad en los controles de acceso en Symantec Endpoint Detection and Response (CVE-2019-19547)
Gravedad:
MediaMedia
Publication date: 13/01/2020
Last modified:
13/02/2020
Descripción:
Symantec Endpoint Detection and Response (SEDR), versiones anteriores a la versión 4.3.0, puede ser susceptible a un problema de tipo cross site scripting (XSS). Un XSS es un tipo de problema que puede habilitar a atacantes para inyectar scripts del lado del cliente en páginas web visualizadas por otros usuarios. Los atacantes pueden utilizar una vulnerabilidad XSS para omitir potencialmente los controles de acceso, tales como la política del mismo origen.
Vulnerabilidad en HTML en bloques de código de Mermaid en Typora para macOS y Linux (CVE-2019-20374)
Gravedad:
MediaMedia
Publication date: 09/01/2020
Last modified:
17/01/2020
Descripción:
Un problema de mutación de tipo cross-site scripting (XSS) en Typora versiones hasta 0.9.9.31.2 en macOS y versiones hasta 0.9.81 en Linux, conlleva a una Ejecución de Código Remota por medio de bloques de código de Mermaid. Para explotar esta vulnerabilidad, uno necesita abrir un archivo en Typora. La vulnerabilidad de tipo XSS es entonces desencadenada debido al saneamiento inapropiado de HTML. Dado que la aplicación es basada en el framework Electron, la vulnerabilidad de tipo XSS conlleva a una ejecución de código remota en un entorno sin sandbox.
Vulnerabilidad en la interfaz de administración basada en web en Unify OpenStage / OpenScape Desk Phone IP (CVE-2014-2650)
Gravedad:
AltaAlta
Publication date: 09/01/2020
Last modified:
17/01/2020
Descripción:
Unify OpenStage / OpenScape Desk Phone IP versiones anteriores a V3 R3.11.0 SIP, presenta una vulnerabilidad de inyección de comandos de Sistema Operativo en la interfaz de administración basada en web.
Vulnerabilidad en las publicaciones en la API REST en WordPress (CVE-2019-16788)
Gravedad:
Sin asignarSin asignar
Publication date: 09/01/2020
Last modified:
11/03/2020
Descripción:
En WordPress versiones 3.7 hasta 5.3.0, los usuarios autenticados que no poseen los derechos para realizar una publicación son capaces de marcar las publicaciones como fijas o no mediante la API REST. Por ejemplo, el rol de contribuyente no posee tales derechos, pero esto les permitió omitirlo. Esto ha sido parcheado en WordPress versión 5.3.1, junto con todas las versiones anteriores de WordPress desde 3.7 hasta 5.3 mediante una versión menor. Las actualizaciones automáticas están habilitadas por defecto para versiones menores y recomendamos encarecidamente que las mantengan habilitadas.
Vulnerabilidad en Plug.Session en Pow.Plug en Pow (paquete Hex) (CVE-2020-5205)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
17/01/2020
Descripción:
En Pow (paquete Hex) versiones anteriores a 1.0.16, el uso de Plug.Session en Pow.Plug.Session es susceptible a ataques de fijación de sesión si un almacén de sesión persistente es utilizado para Plug.Session, tal y como Redis o una base de datos. La tienda de cookies, que es usada en la mayoría de las aplicaciones de Phoenix, no posee esta vulnerabilidad.
Vulnerabilidad en el archivo jpgqguess.c en la función process_DQT en jhead. (CVE-2020-6624)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
27/07/2020
Descripción:
jhead versiones hasta la versión 3.04, tiene una lectura excesiva del búfer en la región heap de la memoria en la función process_DQT en el archivo jpgqguess.c.
Vulnerabilidad en en la función ProcessGpsInfo en jhead (CVE-2020-6625)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
27/07/2020
Descripción:
jhead versiones hasta la versión 3.04, tiene una lectura excesiva del búfer en la región heap de la memoria en Get32s cuando se llamó desde la función ProcessGpsInfo en gpsinfo.c.
Vulnerabilidad en el campo Name en una acción Add New Client (CVE-2020-6583)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
17/01/2020
Descripción:
BigProf Online Invoicing System (OIS) versiones hasta la versión 2.6, tiene una vulnerabilidad de tipo XSS que puede ser aprovechada para un secuestro de sesión. Un atacante puede explotar la vulnerabilidad de tipo XSS, recuperar la cookie de sesión de inicio de sesión del administrador y tomar el control de la cuenta del administrador por medio del campo Name en una acción Add New Client.
Vulnerabilidad en la página de inicio de sesión del administrador PHPGurukul Small CRM (CVE-2020-5511)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
17/01/2020
Descripción:
PHPGurukul Small CRM versión v2.0, se encontró vulnerable a la omisión de autenticación por medio de una inyección SQL cuando se registran en la página de inicio de sesión del administrador.
Vulnerabilidad en comprobaciones de límites en Dassault Systemes Catia (CVE-2014-2072)
Gravedad:
AltaAlta
Publication date: 08/01/2020
Last modified:
17/01/2020
Descripción:
Dassault Systemes Catia versión V5-6R2013: un Desbordamiento del Búfer de la Pila debido a comprobaciones de límites inadecuadas
Vulnerabilidad en ITMS en Symantec IT Management Suite (CVE-2016-6589)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
17/01/2020
Descripción:
Existe una vulnerabilidad de Denegación de Servicio en la ventana de inicio de sesión del administrador de procesos de flujo de trabajo de ITMS en Symantec IT Management Suite versión 8.0.
Vulnerabilidad en el inicio en las bibliotecas jhi.dll y otpiha.dll en Symantec VIP Access Desktop (CVE-2016-6593)
Gravedad:
MediaMedia
Publication date: 08/01/2020
Last modified:
17/01/2020
Descripción:
Existe una vulnerabilidad de ejecución de código durante el inicio en las bibliotecas jhi.dll y otpiha.dll en Symantec VIP Access Desktop versiones anteriores a la versión 2.2.2, lo que podría permitir a usuarios maliciosos locales ejecutar código arbitrario.
Vulnerabilidad en exe en Teradici PCoIP Agent y PCoIP Client (CVE-2019-20362)
Gravedad:
AltaAlta
Publication date: 08/01/2020
Last modified:
17/01/2020
Descripción:
En Teradici PCoIP Agent versiones anteriores a la versión 19.08.1 y PCoIP Client versiones anteriores a la versión 19.08.3, una ruta de servicio sin comillas puede causar una ejecución del archivo %PROGRAMFILES (X86)%\Teradici\PCoIP.exe en lugar del archivo pcoip_vchan_printing_svc.exe previsto.
Vulnerabilidad en una carpeta dentro de EcoStruxure Geo SCADA Expert (CVE-2019-6854)
Gravedad:
MediaMedia
Publication date: 06/01/2020
Last modified:
17/01/2020
Descripción:
CWE-264: Existe una vulnerabilidad de Permisos, Privilegios y Controles de Acceso en una carpeta dentro de EcoStruxure Geo SCADA Expert (ClearSCADA), con versiones iniciales anteriores al 1 de enero de 2019, lo que podría causar que un usuario con poco privilegio elimine o modifique archivos de bases de datos, configuraciones o certificados . Esos usuarios necesitan tener acceso al sistema de archivos de ese sistema operativo para explotar esta vulnerabilidad. Las versiones afectadas en el soporte actual incluyen ClearSCADA versión 2017 R3, ClearSCADA versión 2017 R2 y ClearSCADA versión 2017.
Vulnerabilidad en una petición "PUT /obs/obm7/file/upload" (CVE-2020-5846)
Gravedad:
MediaMedia
Publication date: 06/01/2020
Last modified:
17/01/2020
Descripción:
Se descubrió un problema de carga de archivo no seguro y ejecución de código en Ahsay Cloud Backup Suite versión 8.3.0.30 por medio de una petición "PUT /obs/obm7/file/upload" con el nombre de ruta codificado en base64 en el encabezado HTTP X-RSW-custom-encode-path y el contenido en el cuerpo de la petición HTTP. Es posible cargar un archivo en cualquier directorio del servidor. Puede ser insertado un shell JSP en el directorio del servidor web y ejecutarlo. Esto conlleva a un acceso completo al sistema como usuario configurado (por ejemplo, Administrador) cuando es iniciado desde cualquier sesión autenticada (por ejemplo, una cuenta de prueba). Esto es corregido en las compilaciones 83/830122 / cbs-*-hotfix-task26000.
Vulnerabilidad en agentControlKey y controlKey en diferentes vectores en Bulb Security Smartphone Pentest Framework (CVE-2012-5693)
Gravedad:
AltaAlta
Publication date: 03/01/2020
Last modified:
17/01/2020
Descripción:
Bulb Security Smartphone Pentest Framework (SPF) versiones anteriores a la versión 0.1.3, permite a atacantes remotos ejecutar comandos arbitrarios por medio de metacaracteres de shell en el parámetro ipAddressTB en el archivo (1) remoteAttack.pl o (2) guessPassword.pl en frameworkgui/; el parámetro filename en el archivo (3) CSAttack.pl o (4) SEAttack.pl en frameworkgui/; el parámetro phNo2Attack en el archivo (5) CSAttack.pl o (6) SEAttack.pl en frameworkgui/; el (7) parámetro platformDD2 en el archivo frameworkgui/SEAttack.pl; el parámetro (8) agentURLPath o (9) agentControlKey en el archivo frameworkgui/attach2agents.pl; o (10) el parámetro controlKey en el archivo frameworkgui/attachMobileModem.pl. NOTA: El parámetro hostingPath para los vectores CSAttack.pl y SEAttack.pl y el parámetro appURLPath para el vector attachMobileModem.pl están cubiertos por CVE-2012-5878.
Vulnerabilidad en Avira Free Antivirus. (CVE-2019-18568)
Gravedad:
AltaAlta
Publication date: 31/12/2019
Last modified:
17/01/2020
Descripción:
Avira Free Antivirus versión 15.0.1907.1514, es propenso a una escalada de privilegios locales por medio de una ejecución de código del kernel desde un usuario restringido.
Vulnerabilidad en el controlador de protocolo de com.unity3d.kharma en Unity Editor. (CVE-2019-9197)
Gravedad:
MediaMedia
Publication date: 31/12/2019
Last modified:
17/01/2020
Descripción:
El controlador de protocolo de com.unity3d.kharma en Unity Editor versión 2018.3, permite a atacantes remotos ejecutar código arbitrario.
Vulnerabilidad en el espacio de configuración virtio-rng de un dispositivo virtio en qemu (CVE-2013-2016)
Gravedad:
MediaMedia
Publication date: 30/12/2019
Last modified:
17/01/2020
Descripción:
Se encontró un fallo en la manera en que qemu versión v1.3.0 y posteriores (virtio-rng) comprueba las direcciones cuando el invitado accede al espacio de configuración de un dispositivo virtio. Si el dispositivo virtio posee un espacio de configuración de tamaño cero o pequeño, ta y como virtio-rng, un usuario invitado privilegiado podría usar este fallo para acceder al espacio de direcciones qemu del host correspondiente y así aumentar sus privilegios en el host.
Vulnerabilidad en la autenticación de Cámaras IP Vivotek. (CVE-2013-4985)
Gravedad:
MediaMedia
Publication date: 27/12/2019
Last modified:
17/01/2020
Descripción:
Múltiples omisiones de autenticación remotas de Vivotek IP Cameras, que podría permitir acceso a la transmisión de video

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una etiqueta nband en el plugin MrSID (MrSID.dll) para IrfanView. (CVE-2013-3945)
Gravedad:
MediaMedia
Publication date: 02/01/2020
Last modified:
17/01/2020
Descripción:
El plugin MrSID (MrSID.dll) versiones anteriores a la versión 4.37 para IrfanView, permite a atacantes remotos ejecutar código arbitrario por medio de una etiqueta nband.
Vulnerabilidad en la función RegExp.prototype.toString() en caracteres no seguros en expresiones regulares serializadas en Node.js (CVE-2019-16769)
Gravedad:
BajaBaja
Publication date: 05/12/2019
Last modified:
17/01/2020
Descripción:
Las versiones afectadas de este paquete son vulnerables a un ataque de tipo Cross-site Scripting (XSS). No mitiga apropiadamente contra caracteres no seguros en expresiones regulares serializadas. Esta vulnerabilidad no está afectada en el entorno Node.js ya que la implementación de Node.js de todos los escape de barra invertida de la función RegExp.prototype.toString() envía barras diagonales en expresiones regulares. Si los datos serializados de los objetos de expresión regular son usados en un entorno diferente de Node.js, es afectada por esta vulnerabilidad.
Vulnerabilidad en acceso elevado a recursos en Symantec Endpoint Protection Manager (SEPM) (CVE-2019-12759)
Gravedad:
AltaAlta
Publication date: 15/11/2019
Last modified:
24/08/2020
Descripción:
Symantec Endpoint Protection Manager (SEPM) y Symantec Mail Security for MS Exchange (SMSMSE), versiones anteriores a las versiones 14.2 RU2 y 7.5.x respectivamente, pueden ser susceptibles a una vulnerabilidad de escalada de privilegios, que es un tipo de problema por el cual un atacante puede intentar comprometer la aplicación de software para conseguir un acceso elevado a recursos que normalmente están protegidos de una aplicación o un usuario.
Vulnerabilidad en el archivo print-lmp.c en la función lmp_print_data_link_subobjs() en tcpdump. (CVE-2019-15166)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
La función lmp_print_data_link_subobjs() en el archivo print-lmp.c en tcpdump versiones anteriores a 4.9.3, carece de ciertas comprobaciones de límites.
Vulnerabilidad en el archivo print-bgp.c en la función bgp_capabilities_print() en el analizador BGP en tcpdump. (CVE-2018-14467)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador BGP en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-bgp.c:bgp_capabilities_print() (BGP_CAPCODE_MP).
Vulnerabilidad en el archivo print-ldp.c en la función ldp_tlv_print() en el analizador LDP en tcpdump. (CVE-2018-14461)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador LDP en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-ldp.c:ldp_tlv_print().
CVE-2018-14464
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador LMP en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-lmp.c:lmp_print_data_link_subobjs().
Vulnerabilidad en las funciones print-rx.c:rx_cache_find() y rx_cache_insert() en el analizador Rx en tcpdump. (CVE-2018-14466)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador Rx en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en las funciones print-rx.c:rx_cache_find() y rx_cache_insert().
Vulnerabilidad en la función mfr_print() en el analizador FRF.16 en tcpdump. (CVE-2018-14468)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador FRF.16 en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-fr.c:mfr_print().
Vulnerabilidad en el archivo print-babel.c en la función babel_print_v2() en el analizador Babel en tcpdump. (CVE-2018-14470)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador Babel en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-babel.c:babel_print_v2().
Vulnerabilidad en la función print-ospf6.c:ospf6_print_lshdr() en el analizador OSPFv3 en tcpdump. (CVE-2018-14880)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador OSPFv3 en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en la función print-ospf6.c:ospf6_print_lshdr().
Vulnerabilidad en el archivo print-bgp.c en la función bgp_capabilities_print() en el analizador BGP en tcpdump. (CVE-2018-14881)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador BGP en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-bgp.c:bgp_capabilities_print() (BGP_CAPCODE_RESTART).
Vulnerabilidad en el archivo print-802_11.c en el analizador IEEE 802.11 en tcpdump. (CVE-2018-16227)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador IEEE 802.11 en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en el archivo print-802_11.c para el subcampo Mesh Flags.
Vulnerabilidad en el archivo print-hncp.c en la función print_prefix() en el analizador HNCP en tcpdump. (CVE-2018-16228)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador HNCP en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-hncp.c:print_prefix().
Vulnerabilidad en el archivo print-bgp.c en la función bgp_attr_print() en el analizador BGP en tcpdump. (CVE-2018-16230)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador BGP en tcpdump versiones anteriores a 4.9.3, presenta una lectura excesiva del búfer en print-bgp.c:bgp_attr_print() (MP_REACH_NLRI).
Vulnerabilidad en el archivo print-smb.c en la función print_trans() en el analizador SMB en tcpdump. (CVE-2018-16451)
Gravedad:
MediaMedia
Publication date: 03/10/2019
Last modified:
20/01/2020
Descripción:
El analizador SMB en tcpdump versiones anteriores a 4.9.3, presenta lecturas excesivas del búfer en print-smb.c:print_trans() para \MAILSLOT\BROWSE y \PIPE\LANMAN.
Vulnerabilidad en la implementación de relleno CBC de FortiOS IPS (CVE-2019-5592)
Gravedad:
MediaMedia
Publication date: 23/08/2019
Last modified:
24/08/2020
Descripción:
Múltiples vulnerabilidades de relleno de Oracle (Zombie POODLE, GOLDENDOODLE, OpenSSL 0-length) en la implementación de relleno CBC de FortiOS IPS motor versión 5.000 a 5.006, 4.000 a 4.036, 4.200 a 4.219, 3.547 y menores, cuando se configura con políticas de inspección profunda SSL y con el sensor IPS habilitado puede permitir que un atacante descifre las conexiones TLS que atraviesan el FortiGate a través del monitoreo del tráfico en una posición de hombre en el medio.
Vulnerabilidad en el servidor de generación de bloqueo en Thunderbird, Firefox y Firefox ESR en Windows (CVE-2019-9818)
Gravedad:
MediaMedia
Publication date: 23/07/2019
Last modified:
17/01/2020
Descripción:
Se presenta una condición de carrera en el servidor de generación de bloqueo utilizado para generar datos por el reportero de bloqueo. Este problema puede conllevar a un uso de la memoria previamente liberada en el proceso principal, lo que resulta en un bloqueo explotable potencialmente y un escape del sandbox. * Nota: esta vulnerabilidad solo afecta a Windows. Otros sistemas operativos no están afectados. *. Esta vulnerabilidad afecta a Thunderbird anterior a versión 60.7, Firefox anterior a versión 67 y Firefox ESR anterior a versión 60.7.
Vulnerabilidad en Synacor Zimbra Collaboration Server (CVE-2015-2230)
Gravedad:
MediaMedia
Publication date: 30/05/2019
Last modified:
17/01/2020
Descripción:
Synacor Zimbra Collaboration Server 8.x anteior a 8.7.0 ha reflejado en admin Console
Vulnerabilidad en CVE-2018-20004 (CVE-2018-20004)
Gravedad:
MediaMedia
Publication date: 10/12/2018
Last modified:
24/08/2020
Descripción:
Se ha encontrado un problema en Mini-XML (también conocido como mxml) 2.12. Se trata de un desbordamiento de búfer basado en pila en mxml_write_node en mxml-file.c mediante vectores relacionados con un número de punto flotante con doble precisión y la subcadena "", tal y como queda demostrado con testmxml.
Vulnerabilidad en Discuz! (CVE-2018-19464)
Gravedad:
BajaBaja
Publication date: 22/11/2018
Last modified:
17/01/2020
Descripción:
Discuz! en versiones X3.4 permite Cross-Site Scripting (XSS) mediante admin.php debido a que admincp/admincp_setting.php y template\default\common\footer.htm gestiona de manera incorrecta el campo statcode del código stats de terceros.
Vulnerabilidad en Cloud Foundry BOSH (CVE-2018-11083)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
17/01/2020
Descripción:
Cloud Foundry BOSH, en versiones v264 anteriores a la v264.14.0, versiones v265 anteriores a la v265.7.0, versiones v266 anteriores a la v266.8.0 y versiones v267 anteriores a la v267.2.0, permiten que los tokens de actualización sean tokens de acceso al emplear UAA para la autenticación. Un atacante remoto con un token de actualización de administrador dado por UAA puede emplearse para acceder a los recursos BOSH sin obtener un token de acceso, incluso aunque su usuario ya no tenga acceso a esos recursos.
Vulnerabilidad en ArcSight Management Center (CVE-2018-6504)
Gravedad:
MediaMedia
Publication date: 20/09/2018
Last modified:
17/01/2020
Descripción:
Se ha identificado una vulnerabilidad potencial de Cross-Site Request Forgery (CSRF) en ArcSight Management Center (ArcMC) en todas las versiones anteriores a la 2.81. Esta vulnerabilidad podría explotarse para permitir Cross-Site Request Forgery (CSRF).