Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo htdocs/user/passwordforgotten.php en el encabezado HTTP Referer en Dolibarr (CVE-2020-7996)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
27/01/2020
Descripción:
El archivo htdocs/user/passwordforgotten.php en Dolibarr versión 10.0.6, permite un ataque de tipo XSS por medio del encabezado HTTP Referer.
Vulnerabilidad en admin/config en Adive Framework (CVE-2020-7991)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
28/01/2020
Descripción:
Adive Framework versión 2.0.8, presenta una vulnerabilidad de tipo CSRF de admin/config para cambiar la contraseña de Administrador.
Vulnerabilidad en el userName de admin/user/add en Adive Framework (CVE-2020-7990)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
27/01/2020
Descripción:
Adive Framework versión 2.0.8, presenta una vulnerabilidad de tipo XSS del userName de admin/user/add.
Vulnerabilidad en el userUsername de admin/user/add en Adive Framework (CVE-2020-7989)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
27/01/2020
Descripción:
Adive Framework versión 2.0.8, presenta una vulnerabilidad de tipo XSS del userUsername de admin/user/add.
Vulnerabilidad en la lógica de autenticación de la interfaz de administración basada en web de Cisco UCS Director (CVE-2019-16003)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
27/01/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco UCS Director, podría permitir a un atacante remoto no autenticado descargar archivos de registro del sistema desde un dispositivo afectado. La vulnerabilidad es debido a un problema en la lógica de autenticación de la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada a la interfaz web. Una explotación con éxito podría permitir al atacante descargar archivos de registro si fueron generados previamente por un administrador.
Vulnerabilidad en una URL en la interfaz de administración basada en web de Cisco Finesse (CVE-2019-15278)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
27/01/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Finesse, podría permitir a un atacante remoto no autenticado omitir la autorización y acceder a información confidencial relacionada con el dispositivo. La vulnerabilidad se presenta porque el software no puede sanear las URL antes de manejar las peticiones. Un atacante podría explotar esta vulnerabilidad mediante el envío de una URL diseñada. Una explotación con éxito podría permitir al atacante conseguir acceso no autorizado a información confidencial.
Vulnerabilidad en una URL en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) (CVE-2019-15255)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
27/01/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE), podría permitir a un atacante remoto autenticado omitir la autorización y acceder a información confidencial relacionada con el dispositivo. La vulnerabilidad se presenta porque el software no puede sanear las URL antes de manejar las peticiones. Un atacante podría explotar esta vulnerabilidad mediante el envío de una URL diseñada. Una explotación con éxito podría permitir al atacante conseguir acceso no autorizado a información confidencial.
Vulnerabilidad en el archivo sql.rb en Geocoder (CVE-2020-7981)
Gravedad:
AltaAlta
Publication date: 25/01/2020
Last modified:
27/01/2020
Descripción:
El archivo sql.rb en Geocoder versiones anteriores a 1.6.1, permite una inyección de SQL basada en Boolean cuando within_bounding_box se usa junto con datos no confiables sw_lat, sw_lng, ne_lat o ne_lng.
Vulnerabilidad en Novell ZENworks Configuration Management (CVE-2012-6345)
Gravedad:
MediaMedia
Publication date: 25/01/2020
Last modified:
27/01/2020
Descripción:
Novell ZENworks Configuration Management versiones anteriores a 11.2.4, permite obtener información de rastreo confidencial.
Vulnerabilidad en Novell ZENworks Configuration Management (CVE-2012-6344)
Gravedad:
MediaMedia
Publication date: 25/01/2020
Last modified:
27/01/2020
Descripción:
Novell ZENworks Configuration Management versiones anteriores a 11.2.4, permite un ataque de tipo XSS.
Vulnerabilidad en un sombreador de píxeles en el controlador AMD ATIDXX64.DLL (CVE-2019-5147)
Gravedad:
AltaAlta
Publication date: 25/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites explotable en el controlador AMD ATIDXX64.DLL, versión 26.20.13003.1007. Un sombreador de píxeles especialmente diseñado puede causar una denegación de servicio. Un atacante puede proporcionar un archivo de sombreador especialmente diseñado para activar esta vulnerabilidad. Esta vulnerabilidad puede ser activada desde el VMware invitado, afectando al host VMware.
Vulnerabilidad en un sombreador de píxeles en el controlador AMD ATIDXX64.DLL (CVE-2019-5146)
Gravedad:
AltaAlta
Publication date: 25/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites explotable en el controlador AMD ATIDXX64.DLL, versión 26.20.13025.10004. Un sombreador de píxeles especialmente diseñado puede causar una denegación de servicio. Un atacante puede proporcionar un archivo de sombreador especialmente diseñado para activar esta vulnerabilidad. Esta vulnerabilidad puede ser activada desde el VMware invitado, afectando al host VMware.
Vulnerabilidad en un sombreador de píxeles en el controlador AMD ATIDXX64.DLL (CVE-2019-5124)
Gravedad:
AltaAlta
Publication date: 25/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de lectura fuera de límites explotable en el controlador AMD ATIDXX64.DLL, versión 26.20.13001.50005. Un sombreador de píxeles especialmente diseñado puede causar una denegación de servicio. Un atacante puede proporcionar un archivo de sombreador especialmente diseñado para activar esta vulnerabilidad. Esta vulnerabilidad puede ser activada desde el VMware invitado, afectando al host VMware.
Vulnerabilidad en mensajes de correo electrónico en Microsoft Outlook para el software Android (CVE-2019-1460)
Gravedad:
BajaBaja
Publication date: 24/01/2020
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de suplantación de identidad en la manera en que Microsoft Outlook para el software Android, analiza mensajes de correo electrónico específicamente diseñados, también se conoce como "Outlook for Android Spoofing Vulnerability".
Vulnerabilidad en el User Profile Service (ProfSvc) de Windows (CVE-2019-1454)
Gravedad:
BajaBaja
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el User Profile Service (ProfSvc) de Windows maneja inapropiadamente enlaces simbólicos, también se conoce como "Windows User Profile Service Elevation of Privilege Vulnerability".
Vulnerabilidad en un agente de escucha de depuración en Visual Studio Code (CVE-2019-1414)
Gravedad:
AltaAlta
Publication date: 24/01/2020
Last modified:
24/08/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Visual Studio Code cuando expone un agente de escucha de depuración (debug listener) a usuarios de una computadora local, también se conoce como "Visual Studio Code Elevation of Privilege Vulnerability".
Vulnerabilidad en saneamiento de la entrada en Git para Visual Studio (CVE-2019-1354)
Gravedad:
AltaAlta
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando Git para Visual Studio sanea inapropiadamente la entrada, también se conoce como "Git for Visual Studio Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1349, CVE-2019-1350, CVE-2019-1352, CVE-2019-1387.
Vulnerabilidad en saneamiento de la entrada en Git para Visual Studio (CVE-2019-1352)
Gravedad:
AltaAlta
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando Git para Visual Studio sanea inapropiadamente la entrada, también se conoce como "Git for Visual Studio Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1349, CVE-2019-1350, CVE-2019-1354, CVE-2019-1387.
Vulnerabilidad en saneamiento de la entrada en Git para Visual Studio (CVE-2019-1350)
Gravedad:
AltaAlta
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando Git para Visual Studio sanea inapropiadamente la entrada, también se conoce como "Git for Visual Studio Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1349, CVE-2019-1352, CVE-2019-1354, CVE-2019-1387.
Vulnerabilidad en saneamiento de la entrada en Git para Visual Studio (CVE-2019-1349)
Gravedad:
AltaAlta
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando Git para Visual Studio sanea inapropiadamente la entrada, también se conoce como "Git for Visual Studio Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2019-1350, CVE-2019-1352, CVE-2019-1354, CVE-2019-1387.
Vulnerabilidad en Microsoft Dynamics 365 Server (CVE-2018-8654)
Gravedad:
MediaMedia
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Microsoft Dynamics 365 Server, también se conoce como "Microsoft Dynamics 365 Elevation of Privilege Vulnerability".
Vulnerabilidad en una petición GET en Vivotek PT7135 IP Cameras (CVE-2013-1597)
Gravedad:
MediaMedia
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de Salto de Directorio en Vivotek PT7135 IP Cameras versiones 0300a y 0400a, por medio de una petición GET especialmente diseñada, lo que podría permitir a un usuario malicioso obtener credenciales de usuario.
Vulnerabilidad en un paquete en el campo de encabezado Authorization enviado al servicio RTSP en Vivotek PT7135 IP Camera (CVE-2013-1595)
Gravedad:
AltaAlta
Publication date: 24/01/2020
Last modified:
27/01/2020
Descripción:
Se presenta una vulnerabilidad de desbordamiento de búfer en Vivotek PT7135 IP Camera versiones 0300a y 0400a, por medio de un paquete especialmente diseñado en el campo de encabezado Authorization enviado al servicio RTSP, lo que podría permitir a un usuario malicioso remoto ejecutar un código arbitrario o causar una denegación de servicio.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Zoho ManageEngine ServiceDesk (CVE-2020-6843)
Gravedad:
BajaBaja
Publication date: 23/01/2020
Last modified:
27/01/2020
Descripción:
Zoho ManageEngine ServiceDesk Plus 11.0 Build 11007 permite un ataque de cross-site scripting (XSS). Este problema se solucionó en la versión 11.0 Build 11010, SD-83959.
Vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware (CVE-2020-2555)
Gravedad:
AltaAlta
Publication date: 15/01/2020
Last modified:
15/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Coherence de Oracle Fusion Middleware (componente: Caching, CacheStore, Invocation). Las versiones compatibles que se ven afectadas son 3.7.1.0, 12.1.3.0.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de T3 comprometa Oracle Coherence. Los ataques exitosos de esta vulnerabilidad pueden resultar en la adquisición de Oracle Coherence. Puntaje base CVSS 3.0 9.8 (Confidencialidad, integridad y impactos de disponibilidad). Vector CVSS: (CVSS: 3.0 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H).
Vulnerabilidad en Pandora FMS 7.0NG (CVE-2019-20224)
Gravedad:
AltaAlta
Publication date: 09/01/2020
Last modified:
24/01/2020
Descripción:
netflow_get_stats en functions_netflow.php en Pandora FMS 7.0NG permite a los usuarios identificados remotos ejecutar comandos arbitrarios del sistema operativo a través de metacaracteres de shell en el parámetro ip_src en una solicitud index.php operation / netflow / nf_live_view. Este problema se ha solucionado en Pandora FMS 7.0 NG 742.
Vulnerabilidad en pam_modules de SUSE Linux Enterprise (CVE-2011-3172)
Gravedad:
AltaAlta
Publication date: 08/06/2018
Last modified:
24/01/2020
Descripción:
Una vulnerabilidad en pam_modules de SUSE Linux Enterprise permite a los atacantes iniciar sesión en cuentas que deberían haberse desactivado. Las versiones afectadas son SUSE Linux Enterprise: versiones anteriores a la 12.
Vulnerabilidad en la lista de software disponible de SUSE Studio Onsite (CVE-2011-0467)
Gravedad:
MediaMedia
Publication date: 07/06/2018
Last modified:
24/01/2020
Descripción:
Una vulnerabilidad en la lista de software disponible de SUSE Studio Onsite, SUSE Studio Onsite 1.1 Appliance permite a los usuarios autenticados ejecutar sentencias SQL arbitrarias mediante inyección SQL. Las versiones afectadas son SUSE Studio Onsite: versiones anteriores a la versión 1.0.3-0.18.1, SUSE Studio Onsite 1.1 Appliance: versiones anteriores a la versión 1.1.2-0.25.1.