Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los permisos no seguros en cwrapper_perl en Centreon Infrastructure Monitoring Software (CVE-2019-20327)
Gravedad:
AltaAlta
Publication date: 16/01/2020
Last modified:
21/01/2020
Descripción:
Unos permisos no seguros en cwrapper_perl en Centreon Infrastructure Monitoring Software versiones hasta 19.10, permiten a atacantes locales alcanzar privilegios. (cwrapper_perl es un ejecutable setuid que permite la ejecución de scripts Perl con privilegios root).
Vulnerabilidad en los archivos async.c y dict.c en la biblioteca libhiredis.a en hiredis (CVE-2020-7105)
Gravedad:
MediaMedia
Publication date: 16/01/2020
Last modified:
29/01/2020
Descripción:
los archivos async.c y dict.c en la biblioteca libhiredis.a en hiredis versiones hasta la versión 0.14.0, permiten una desreferencia de puntero NULL porque los valores de retorno de malloc están sin verificar
Vulnerabilidad en el componente Oracle Applications DBA de Oracle Database Server (CVE-2020-2568)
Gravedad:
BajaBaja
Publication date: 15/01/2020
Last modified:
07/02/2020
Descripción:
Vulnerabilidad en el componente Oracle Applications DBA de Oracle Database Server. Las versiones compatibles afectadas son 12.1.0.2, 12.2.0.1, 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener privilegios Local Logon con inicio de sesión en la infraestructura donde se ejecuta Oracle Applications DBA comprometer a Oracle Applications DBA. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Applications DBA y una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Applications DBA. CVSS 3.0 Puntaje Base 3.9 (Impactos en la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L).
Vulnerabilidad en el endpoint build_now en Jenkins Gitlab Hook Plugin (CVE-2020-2096)
Gravedad:
MediaMedia
Publication date: 15/01/2020
Last modified:
21/01/2020
Descripción:
Jenkins Gitlab Hook Plugin versión 1.4.2 y versiones anteriores, no escapa nombres de proyecto en el endpoint build_now, lo que resulta en una vulnerabilidad de tipo XSS reflejada.
Vulnerabilidad en el software Microsoft .NET Framework (CVE-2020-0605)
Gravedad:
AltaAlta
Publication date: 14/01/2020
Last modified:
21/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el software .NET cuando el software presenta un fallo al comprobar el marcado de origen de un archivo. Un atacante que explota con éxito la vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual, también se conoce como ".NET Framework Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2020-0606.
Vulnerabilidad en el software Microsoft Excel (CVE-2020-0653)
Gravedad:
AltaAlta
Publication date: 14/01/2020
Last modified:
21/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el software Microsoft Excel cuando el software presenta un fallo al manejar apropiadamente los objetos en memoria, también se conoce como "Microsoft Excel Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2020-0650, CVE-2020-0651.
Vulnerabilidad en un subconjunto de parámetros de OpenVPN en Viscosity en Windows y macOS (CVE-2020-5180)
Gravedad:
MediaMedia
Publication date: 14/01/2020
Last modified:
21/01/2020
Descripción:
Viscosity versión 1.8.2 en Windows y macOS, permite a un usuario sin privilegios establecer un subconjunto de parámetros de OpenVPN, que puede ser usado para cargar una biblioteca maliciosa en la memoria del proceso de OpenVPN, conllevando a una escalada de privilegios locales limitada. (Cuando se inicia una conexión VPN utilizando un perfil de cliente TLS/SSL, los privilegios son eliminados y la biblioteca es cargada, resultando en una ejecución de código arbitrario como un usuario con privilegios limitados. Esto reduce en gran medida el impacto de la vulnerabilidad).
Vulnerabilidad en en la función readDataVar en libmysofa. (CVE-2020-6860)
Gravedad:
MediaMedia
Publication date: 13/01/2020
Last modified:
21/01/2020
Descripción:
libmysofa versión 0.9.1, tiene un desbordamiento de búfer en la región stack de la memoria en la función readDataVar en el archivo hdf/dataobject.c durante la lectura de un atributo de mensaje de encabezado.
Vulnerabilidad en un error en el script AdapterHTTP en SpagoBI. (CVE-2013-6231)
Gravedad:
AltaAlta
Publication date: 10/01/2020
Last modified:
21/01/2020
Descripción:
SpagoBI versiones anteriores a la versión 4.1, tiene una escalada de privilegios por medio de un error en el script AdapterHTTP.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en las funciones my_popenv_impl y my_spawnv en el archivo src/condor_utils/my_popen.cpp y la función systemCommand en el archivo condor_vm-gahp/vmgahp_common.cpp en Condor (CVE-2012-3490)
Gravedad:
AltaAlta
Publication date: 09/01/2020
Last modified:
29/01/2020
Descripción:
Las funciones (1) my_popenv_impl y (2) my_spawnv en el archivo src/condor_utils/my_popen.cpp y la función (3) systemCommand en el archivo condor_vm-gahp/vmgahp_common.cpp en Condor versiones 7.6.x anteriores a 7.6.10 y versiones 7.8.x anteriores a 7.8.4 no comprueba apropiadamente el valor de retorno de las llamadas de setuid, lo que puede causar que un subproceso o hilo sea creado con privilegios root y permitir a atacantes remotos obtener privilegios por medio de vectores no especificados.
Vulnerabilidad en Pandora FMS 7.0NG (CVE-2019-20224)
Gravedad:
AltaAlta
Publication date: 09/01/2020
Last modified:
24/01/2020
Descripción:
netflow_get_stats en functions_netflow.php en Pandora FMS 7.0NG permite a los usuarios identificados remotos ejecutar comandos arbitrarios del sistema operativo a través de metacaracteres de shell en el parámetro ip_src en una solicitud index.php operation / netflow / nf_live_view. Este problema se ha solucionado en Pandora FMS 7.0 NG 742.
Vulnerabilidad en FileReceiveServlet en Brocade Network Advisor (CVE-2016-8204)
Gravedad:
AltaAlta
Publication date: 14/01/2017
Last modified:
21/01/2020
Descripción:
Una vulnerabilidad de salto de directorio en FileReceiveServlet en las versiones Brocade Network Advisor liberadas anteriormente e incluyendo a la 14.0.2 podrían permitir a atacantes remotos cargar un archivo malicioso en un sección del sistema de archivos donde puede ser ejecutado.