Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Firma APK en Google Android (CVE-2013-6792)
Gravedad:
AltaAlta
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
Google Android versiones anteriores a 4.4, presenta una Vulnerabilidad de Omisión de Seguridad de Firma APK.
Vulnerabilidad en X-Frame-Options en Splunk (CVE-2013-6772)
Gravedad:
MediaMedia
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
Splunk versiones anteriores a 5.0.4, carece de X-Frame-Options que puede permitir un Secuestro del Cliqueo.
Vulnerabilidad en mysecureshell (CVE-2013-4176)
Gravedad:
BajaBaja
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
mysecureshell versión 1.31: Vulnerabilidad de Divulgación de Información Local.
Vulnerabilidad en MySecureShell (CVE-2013-4175)
Gravedad:
BajaBaja
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
MySecureShell versión 1.31: presenta una Vulnerabilidad de Denegación de Servicio Local.
Vulnerabilidad en Corel WordPerfect Office X6 (CVE-2012-4900)
Gravedad:
MediaMedia
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
Corel WordPerfect Office X6 versión 16.0.0.388, presenta una vulnerabilidad de DoS por medio de una desreferencia de puntero no confiable.
Vulnerabilidad en un alias en mIRC (CVE-2008-7314)
Gravedad:
MediaMedia
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
mIRC versiones anteriores a 6.35, permite a atacantes causar una denegación de servicio (bloqueo) por medio de un alias largo.
Vulnerabilidad en una petición POST con el atributo xcmd=spectra-analysis en el archivo admin/_cmdstat.jsp en emfd en Ruckus Wireless Unleashed (CVE-2019-19842)
Gravedad:
AltaAlta
Publication date: 22/01/2020
Last modified:
27/01/2020
Descripción:
emfd en Ruckus Wireless Unleashed versiones hasta 200.7.10.102.64, permite a atacantes remotos ejecutar comandos de Sistema Operativo por medio de una petición POST con el atributo xcmd=spectra-analysis en el archivo admin/_cmdstat.jsp mediante el atributo mac.
Vulnerabilidad en una petición HTTP en el archivo zap.c en la función zap_parse_args en zap en Ruckus Unleashed (CVE-2019-19840)
Gravedad:
AltaAlta
Publication date: 22/01/2020
Last modified:
27/01/2020
Descripción:
Un desbordamiento de búfer en la región stack de la memoria en la función zap_parse_args en el archivo zap.c en zap en Ruckus Unleashed versiones hasta 200.7.10.102.64, permite una ejecución de código remota por medio de una petición HTTP no autenticada.
Vulnerabilidad en las funciones de administrador en Advanced Electron Forums (AEF) (CVE-2011-3582)
Gravedad:
MediaMedia
Publication date: 22/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de tipo Cross-site Request Forgery (CSRF) en Advanced Electron Forums (AEF) versiones hasta 1.0.9, debido a una confirmación inadecuada de transacciones confidenciales en las funciones del administrador.
Vulnerabilidad en el archivo parser.c en la función xmlStringLenDecodeEntities en libxml2 (CVE-2020-7595)
Gravedad:
MediaMedia
Publication date: 21/01/2020
Last modified:
09/09/2020
Descripción:
La función xmlStringLenDecodeEntities en el archivo parser.c en libxml2 versión 2.9.10, presenta un bucle infinito en una determinada situación de fin del archivo.
Vulnerabilidad en Grin (CVE-2020-6638)
Gravedad:
MediaMedia
Publication date: 21/01/2020
Last modified:
27/01/2020
Descripción:
Grin versiones hasta 2.1.1, presenta una Comprobación Insuficiente.
Vulnerabilidad en el campo SSID en la página WiFi Network Configuration en los dispositivos SMC D3G0804W (CVE-2020-7249)
Gravedad:
BajaBaja
Publication date: 20/01/2020
Last modified:
27/01/2020
Descripción:
Los dispositivos SMC D3G0804W versión 3.5.2.5-LAT_GA, permiten un ataque de tipo XSS por medio del campo SSID en la página WiFi Network Configuration (después de un inicio de sesión con éxito en la cuenta de administrador).
Vulnerabilidad en VMware Workspace ONE SDK y las actualizaciones de aplicaciones móviles dependientes (CVE-2020-3940)
Gravedad:
MediaMedia
Publication date: 17/01/2020
Last modified:
27/01/2020
Descripción:
VMware Workspace ONE SDK y las actualizaciones de aplicaciones móviles dependientes abordan la vulnerabilidad de divulgación de información confidencial.
Vulnerabilidad en los componentes Debug-Log y Display-Log en Web-Services de Feldtech easescreen Crystal (CVE-2019-20003)
Gravedad:
MediaMedia
Publication date: 17/01/2020
Last modified:
27/01/2020
Descripción:
Web-Services versión 9.0.1.16265 de Feldtech easescreen Crystal versión 9.0, permite un ataque de tipo XSS almacenado por medio de los componentes Debug-Log y Display-Log. Esto podría ser explotado cuando un atacante envía una cadena diseñada para la autenticación FTP.
Vulnerabilidad en el parámetro distri and version en openQA (CVE-2019-3686)
Gravedad:
MediaMedia
Publication date: 17/01/2020
Last modified:
27/01/2020
Descripción:
openQA antes del commit c172e8883d8f32fced5e02f9b6faaacc913df27b, era vulnerable a un ataque de tipo XSS en el parámetro distri and version. Esto se reportó por medio del programa de recompensas de errores de Offensive Security.
Vulnerabilidad en una ruta o canal alternativo en SimpliSafe SS3 (CVE-2019-3997)
Gravedad:
BajaBaja
Publication date: 16/01/2020
Last modified:
24/08/2020
Descripción:
Una omisión de autenticación usando una ruta o canal alternativo en SimpliSafe SS3 versiones de firmware 1.0-1.3, permite a un atacante local no autenticado emparejar un teclado falso en un sistema armado.
Vulnerabilidad en HPE enhanced Internet Usage Manager (eIUM) (CVE-2019-11997)
Gravedad:
MediaMedia
Publication date: 16/01/2020
Last modified:
27/01/2020
Descripción:
Se ha identificado una potencial vulnerabilidad de seguridad en HPE enhanced Internet Usage Manager (eIUM) versiones 8.3 y 9.0. La vulnerabilidad podría ser usada para el acceso no autorizado a la información por medio de un ataque de tipo cross site scripting. HPE ha realizado las siguientes actualizaciones de software para resolver la vulnerabilidad en eIUM. Se recomienda a los clientes de eIUM versión 8.3 FP01 que instalen el parche eIUM83FP01Patch_QXCR1001711284.20190806-1244. Se recomienda a los clientes de eIUM versión 9.0 que actualicen a eIUM versión 9.0 FP02 PI5 o versiones posteriores. Para otras versiones, póngase en contacto con el soporte del producto.
Vulnerabilidad en el módulo de la CPU en GE PACSystems (CVE-2019-13524)
Gravedad:
AltaAlta
Publication date: 16/01/2020
Last modified:
27/01/2020
Descripción:
GE PACSystems versión RX3i CPE100/115: todas las versiones anteriores a R9.85,CPE302/305/310/330/400/410: todas las versiones anteriores a R9.90,CRU/320, todas las versiones (End of Life), pueden permitir a un atacante enviar paquetes especialmente manipulados para causar que el estado del módulo cambie al modo halt, resultando en una condición de denegación de servicio. Un operador necesita reiniciar el módulo de la CPU después de quitar la batería o el paquete de energía para recuperase del modo halt.
Vulnerabilidad en el identificador de audiencia en el módulo BrowserID (Mozilla Persona) para Drupal (CVE-2012-2714)
Gravedad:
AltaAlta
Publication date: 09/01/2020
Last modified:
27/01/2020
Descripción:
El módulo BrowserID (Mozilla Persona) versiones 7.x-1.x versiones anteriores a 7.x-1.3 para Drupal. permite a atacantes remotos secuestrar la autenticación de usuarios arbitrarios por medio del identificador de audiencia.
Vulnerabilidad en una petición "KVM_GET_EMULATED_CPUID" ioctl(2) en el hipervisor KVM en el kernel de Linux (CVE-2019-19332)
Gravedad:
MediaMedia
Publication date: 09/01/2020
Last modified:
13/03/2020
Descripción:
Se encontró un problema de escritura de memoria fuera de límites en el kernel de Linux, versiones 3.13 hasta 5.4, en la manera en que el hipervisor KVM del kernel de Linux manejó la petición "KVM_GET_EMULATED_CPUID" ioctl(2) para obtener las funcionalidades de CPUID emuladas por el hipervisor KVM. Un usuario o proceso capaz de acceder al dispositivo "/dev/kvm" podría usar este fallo para bloquear el sistema, resultando en una denegación de servicio.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Zoho ManageEngine ServiceDesk (CVE-2020-6843)
Gravedad:
BajaBaja
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
Zoho ManageEngine ServiceDesk Plus 11.0 Build 11007 permite un ataque de cross-site scripting (XSS). Este problema se solucionó en la versión 11.0 Build 11010, SD-83959.
Vulnerabilidad en el atributo filename en un encabezado "Content-Disposition" en Spring Framework (CVE-2020-5398)
Gravedad:
AltaAlta
Publication date: 16/01/2020
Last modified:
14/07/2020
Descripción:
En Spring Framework, versiones 5.2.x anteriores a 5.2.3, versiones 5.1.x anteriores a 5.1.13 y versiones 5.0.x anteriores a 5.0.16, una aplicación es vulnerable a un ataque de tipo reflected file download (RFD) cuando se establece un encabezado "Content-Disposition" en la respuesta donde el atributo filename es derivado de la entrada suministrada por el usuario.
Vulnerabilidad en Grin (CVE-2019-9195)
Gravedad:
AltaAlta
Publication date: 26/02/2019
Last modified:
28/01/2020
Descripción:
util/src/zip.rs en Grin, en versiones anteriores a la 1.0.2, gestiona de manera incorrecta archivos sospechosos. Un atacante puede ejecutar código arbitrario mediante un salto de directorio en un archivo ZIP.
Vulnerabilidad en BrowserID (CVE-2012-2713)
Gravedad:
MediaMedia
Publication date: 26/06/2012
Last modified:
27/01/2020
Descripción:
Una vulnerabilidad de falsificación de peticiones en sitios cruzados(CSRF) en el BrowserID (Mozilla Persona) Módulo v7.x-1.x anterior a v7.x-1.3 para Drupal permite a atacantes remotos secuestrar la autenticación de los usuarios arbitrarios para las solicitudes de ese inicio de sesión de un usuario a otro del sitio web.