Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Jara (CVE-2011-4095)
Gravedad:
MediaMedia
Publication date: 21/01/2020
Last modified:
23/01/2020
Descripción:
Jara versión 1.6, presenta una vulnerabilidad de tipo XSS.
Vulnerabilidad en análisis de un clip MKV en diversos productos Snapdragon (CVE-2019-14003)
Gravedad:
AltaAlta
Publication date: 21/01/2020
Last modified:
24/08/2020
Descripción:
Se puede presentar una excepción del puntero null mientras se analiza un clip MKV no válido donde es analizada la información de referencia antes de la información del segmento en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, APQ8098, MDM9206, MDM9207C, MDM9607, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996, MSM8996AU, MSM8998, Nicobar, QCS605, QM215, Rennell, SA6155P, SDA660, SDA845, SDM429, SDM429W, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDX20, SM6150, SM7150, SM8150, SM8250, SXR1130, SXR2130.
CVE-2019-14004
Gravedad:
AltaAlta
Publication date: 21/01/2020
Last modified:
24/08/2020
Descripción:
Se presenta un desbordamiento del búfer mientras se procesa un clip MKV no válido, que tiene un tamaño EBML no válido en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables in APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, APQ8098, MDM9206, MDM9207C, MDM9607, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996, MSM8996AU, MSM8998, Nicobar, QCS605, QM215, Rennell, SA6155P, SDA660, SDA845, SDM429, SDM429W, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDX20, SM6150, SM7150, SM8150, SM8250, SXR1130, SXR2130.
Vulnerabilidad en la reproducción del clip en size duration en diversos productos Snapdragon (CVE-2019-14005)
Gravedad:
AltaAlta
Publication date: 21/01/2020
Last modified:
23/01/2020
Descripción:
Se presenta un desbordamiento del búfer mientras se reproduce el clip que no es estándar debido a una falta de comprobación de size duration en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, APQ8098, MDM9206, MDM9207C, MDM9607, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996, MSM8996AU, Nicobar, QCS605, QM215, Rennell, SA6155P, SDA845, SDM429, SDM429W, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDX20, SM6150, SM7150, SM8150, SM8250, SXR2130.
Vulnerabilidad en análisis de tabla de superíndice en diversos productos Snapdragon (CVE-2019-14013)
Gravedad:
AltaAlta
Publication date: 21/01/2020
Last modified:
23/01/2020
Descripción:
Mientras se analiza una tabla de superíndice no válida, los elementos dentro de la tabla de superíndice pueden exceder el tamaño del fragmento total y los datos no válidos son leídos en la tabla en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables in APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, APQ8098, MDM9206, MDM9207C, MDM9607, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996, MSM8996AU, Nicobar, QCM2150, QCS405, QCS605, QM215, Rennell, SA6155P, SDA660, SDA845, SDM429, SDM429W, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDX20, SM6150, SM7150, SM8150, SM8250, SXR1130, SXR2130.
Vulnerabilidad en la matriz de bytes en diversos productos Snapdragon (CVE-2019-14014)
Gravedad:
AltaAlta
Publication date: 21/01/2020
Last modified:
23/01/2020
Descripción:
Un posible desbordamiento del búfer cuando la matriz de bytes recibe una entrada incorrecta desde la fuente de lectura ya que la matriz no termina en null en los productos Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile en las versiones Nicobar, SDM670, SDM710, SDM845, SM6150, SM8150, SM8250, SXR2130.
Vulnerabilidad en reproducción del clip en diversos productos Snapdragon (CVE-2019-14016)
Gravedad:
AltaAlta
Publication date: 21/01/2020
Last modified:
23/01/2020
Descripción:
Se presenta un desbordamiento de enteros mientras se reproduce el clip que no es estándar en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, APQ8098, MDM9206, MDM9207C, MDM9607, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8996, MSM8996AU, Nicobar, QCS605, QM215, SA6155P, SDA660, SDA845, SDM429, SDM429W, SDM439, SDM450, SDM632, SDM660, SDM670, SDM710, SDM845, SDX20, SM6150, SM8150, SM8250, SXR1130, SXR2130.
Vulnerabilidad en Eclipse Memory Analyzer (CVE-2019-17635)
Gravedad:
MediaMedia
Publication date: 17/01/2020
Last modified:
23/01/2020
Descripción:
Eclipse Memory Analyzer versión 1.9.1 y versiones anteriores está sujeto a una vulnerabilidad de deserialización si un archivo de índice de un volcado de almacenamiento analizado se reemplaza por una versión malintencionada y el volcado de almacenamiento dinámico se vuelve a abrir en el Analizador de memoria. El usuario debe optar por volver a abrir un volcado de almacenamiento dinámico ya analizado con un índice que no es de confianza para que se produzca el problema. El problema se puede evitar si se eliminan los archivos de índice de un origen que no es de confianza y se abre y vuelve a analizar el volcado del montón. También algunos datos de configuración local están sujetos a una vulnerabilidad de deserialización si los datos locales se reemplazaran con una versión malintencionada. Esto se puede evitar si un atacante no puede cambiar los datos de configuración local almacenados en el sistema de archivos. La vulnerabilidad podría permitir la ejecución de código en el sistema local.
Vulnerabilidad en las peticiones de verificación previa CORS en los endpoints Spring MVC o Spring WebFlux en Spring Framework (CVE-2020-5397)
Gravedad:
BajaBaja
Publication date: 17/01/2020
Last modified:
20/10/2020
Descripción:
Spring Framework, versiones 5.2.x anteriores a 5.2.3 son vulnerables a los ataques de tipo CSRF por medio de peticiones de verificación previa CORS que van dirigidas a los endpoints Spring MVC (módulo spring-webmvc) o Spring WebFlux (módulo spring-webflux). Solo los endpoints no autenticados son vulnerables porque las peticiones de verificación previa no deben incluir credenciales y, por lo tanto, las peticiones deben de presentar un fallo en la autenticación. Sin embargo, una excepción notable para esto son los navegadores basados en Chrome cuando se usan certificados de cliente para la autenticación, ya que Chrome envía certificados de cliente TLS en peticiones de verificación previa CORS en violación de los requerimientos de las especificaciones. Ningún cuerpo de HTTP puede ser enviado o recibido como un resultado de este ataque.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: