Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Zimbra Collaboration (CVE-2019-8947)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
Zimbra Collaboration versiones 8.7.x - 8.8.11P2, contiene una vulnerabilidad de tipo XSS no persistente.
Vulnerabilidad en Zimbra Collaboration (CVE-2019-8946)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
Zimbra Collaboration versiones 8.7.x - 8.8.11P2, contiene una vulnerabilidad de tipo XSS persistente.
Vulnerabilidad en Zimbra Collaboration (CVE-2019-8945)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
Zimbra Collaboration versiones 8.7.x - 8.8.11P2, contiene una vulnerabilidad de tipo XSS persistente.
Vulnerabilidad en la Consola de Administración en Zimbra Collaboration (CVE-2019-12427)
Gravedad:
BajaBaja
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
En Zimbra Collaboration versiones anteriores a 8.8.15 Patch 1, es vulnerable a un ataque de tipo XSS no persistente por medio de la Consola de Administración.
Vulnerabilidad en Zimbra Collaboration (CVE-2019-11318)
Gravedad:
BajaBaja
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
Zimbra Collaboration versiones anteriores a 8.8.12 Patch 1, presenta una vulnerabilidad de tipo XSS persistente.
Vulnerabilidad en Zimbra Collaboration (CVE-2015-2249)
Gravedad:
BajaBaja
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
Zimbra Collaboration versiones anteriores a 8.6.0 patch5, presenta una vulnerabilidad de tipo XSS.
Vulnerabilidad en Synacor Zimbra Collaboration (CVE-2014-5500)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
Synacor Zimbra Collaboration versiones anteriores a 8.0.8, presenta una vulnerabilidad de tipo XSS.
Vulnerabilidad en un servidor de juegos en la biblioteca meshsystem.dll en Valve Dota 2 (CVE-2020-7951)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
27/01/2020
Descripción:
La biblioteca meshsystem.dll en Valve Dota 2 versiones anteriores a 7.23e, permite a atacantes remotos alcanzar una ejecución de código o una denegación de servicio mediante la creación de un servidor de juegos e invitando a una víctima a este servidor, porque un mapa diseñado está afectado por una corrupción de la memoria.
Vulnerabilidad en una llamada de función en un servidor de juegos en la biblioteca meshsystem.dll en Valve Dota 2 (CVE-2020-7950)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
27/01/2020
Descripción:
La biblioteca meshsystem.dll en Valve Dota 2 versiones anteriores a 7.23f, permite a atacantes remotos alcanzar una ejecución de código o una denegación de servicio mediante la creación de un servidor de juegos e invitando a una víctima a este servidor, porque un mapa diseñado se maneja inapropiadamente durante una llamada de función vulnerable.
Vulnerabilidad en una llamada GetValue en un servidor de juegos en la biblioteca schemasystem.dll en Valve Dota 2 (CVE-2020-7949)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
27/01/2020
Descripción:
La biblioteca schemasystem.dll en Valve Dota 2 versiones anteriores a 7.23f, permite a atacantes remotos alcanzar una ejecución de código o una denegación de servicio mediante la creación de un servidor de juegos e invitando a una víctima a este servidor, porque un mapa diseñado se maneja inapropiadamente durante una llamada GetValue.
Vulnerabilidad en los certificados X.509 de la aplicación kantan netprint para Android (CVE-2020-5522)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
La aplicación kantan netprint para Android versión 2.0.3 y anteriores, no comprueba los certificados X.509 de los servidores, lo que permite a atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado diseñado.
Vulnerabilidad en los certificados X.509 en la aplicación kantan netprint para iOS (CVE-2020-5521)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
La aplicación kantan netprint para iOS versión 2.0.2 y anteriores, no comprueba los certificados X.509 de los servidores, lo que permite a atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado diseñado.
Vulnerabilidad en los certificados X.509 en la aplicación netprint para iOS (CVE-2020-5520)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
La aplicación netprint para iOS versión 3.2.3 y anteriores, no comprueba los certificados X.509 de los servidores, lo que permite a atacantes de tipo man-in-the-middle falsificar servidores y obtener información confidencial por medio de un certificado diseñado.
Vulnerabilidad en vectores no especificados en F-RevoCRM (CVE-2019-6036)
Gravedad:
MediaMedia
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting en F-RevoCRM versión 6.0 hasta F-RevoCRM versión 6.5 patch6 (serie de la versión 6), permite a atacantes remotos inyectar script web o HTML arbitrario por medio de vectores no especificados.
Vulnerabilidad en la función mdt_file_secctx_unpack en name_size en el módulo mdt en el sistema de archivos de Luster (CVE-2019-20432)
Gravedad:
AltaAlta
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
En el sistema de archivos de Luster versiones anteriores versiones hasta 2.12.3, el módulo mdt presenta un acceso fuera de límites y un pánico debido a la falta de comprobación para campos de paquetes específicos enviados mediante un cliente. La función mdt_file_secctx_unpack no comprueba el valor de name_size derivado de req_capsule_get_size.
Vulnerabilidad en el módulo mdt en un campo eadatasize en el sistema de archivos de Lustre (CVE-2019-20430)
Gravedad:
AltaAlta
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
En el sistema de archivos de Lustre versiones anteriores versiones hasta 2.12.3, el módulo mdt presenta un pánico de LBUG (por medio de un campo largo eadatasize de Body MDT) debido a la falta de comprobación para campos de paquetes específicos enviados mediante un cliente.
Vulnerabilidad en la función mdt_object_remote en el módulo mdt en el sistema de archivos de Lustre (CVE-2019-20424)
Gravedad:
AltaAlta
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
En el sistema de archivos de Lustre versiones anteriores versiones hasta 2.12.3, la función mdt_object_remote en el módulo mdt presenta una desreferencia del puntero NULL y un pánico debido a la falta de comprobación para campos de paquetes específicos enviados mediante un cliente.
Vulnerabilidad en la función target_handle_connect() en el módulo ptlrpc en el sistema de archivos de Lustre (CVE-2019-20423)
Gravedad:
AltaAlta
Publication date: 27/01/2020
Last modified:
28/01/2020
Descripción:
En el sistema de archivos de Lustre versiones anteriores versiones hasta 2.12.3, el módulo ptlrpc presenta un desbordamiento del búfer y un pánico debido a la falta de comprobación para campos de paquetes específicos enviados mediante un cliente. La función target_handle_connect() maneja inapropiadamente un determinado valor de tamaño cuando un cliente conecta con un servidor, debido a un error de la propiedad signedness de enteros.
Vulnerabilidad en un Compute Shader (CS) en el archivo vrend_renderer.c en virglrenderer (CVE-2020-8002)
Gravedad:
BajaBaja
Publication date: 27/01/2020
Last modified:
27/01/2020
Descripción:
Una desreferencia del puntero NULL en el archivo vrend_renderer.c en virglrenderer versiones hasta 0.8.1, permite a atacantes causar una denegación de servicio por medio de comandos que intentan iniciar una cuadricula sin proveer previamente un Compute Shader (CS).
Vulnerabilidad en el archivo vrend_renderer.c en virglrenderer (CVE-2020-8003)
Gravedad:
BajaBaja
Publication date: 27/01/2020
Last modified:
27/01/2020
Descripción:
Una vulnerabilidad de doble liberación en el archivo vrend_renderer.c en virglrenderer versiones hasta 0.8.1, permite a atacantes causar una denegación de servicio al desencadenar un fallo de asignación de textura, porque vrend_renderer_resource_allocated_texture no es un lugar apropiado para una liberación.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo jp2image.cpp en la función Jp2Image::readMetadata() en Exiv2 (CVE-2019-20421)
Gravedad:
AltaAlta
Publication date: 27/01/2020
Last modified:
26/02/2020
Descripción:
En la función Jp2Image::readMetadata() en el archivo jp2image.cpp en Exiv2 versión 0.27.2, un archivo de entrada puede generar un bucle infinito y suspensión, con un alto consumo de CPU. Los atacantes remotos podrían aprovechar esta vulnerabilidad para causar una denegación de servicio por medio de un archivo diseñado.
Vulnerabilidad en el cliente Cisco Webex Teams (CVE-2020-3131)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
28/01/2020
Descripción:
Una vulnerabilidad en el cliente Cisco Webex Teams para Windows podría permitir que un atacante remoto autenticado haga que el cliente se bloquee, dando como resultado una condición de denegación de servicio (DoS). El atacante necesita una cuenta de desarrollador válida para aprovechar esta vulnerabilidad. La vulnerabilidad se debe a una validación de entrada insuficiente cuando se procesan tarjetas adaptativas recibidas. El atacante podría aprovechar esta vulnerabilidad enviando una tarjeta adaptable con contenido malicioso a un usuario existente del cliente Cisco Webex Teams para Windows. Una explotación con éxito podría permitir al atacante provocar que el cliente del usuario objetivo se bloquee continuamente. Esta vulnerabilidad se introdujo en el cliente Cisco Webex Teams para Windows Release 3.0.13131.
Vulnerabilidad en los sitios de Cisco Webex Meetings Suite (CVE-2020-3142)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
28/01/2020
Descripción:
Una vulnerabilidad en los sitios de Cisco Webex Meetings Suite y los sitios de Cisco Webex Meetings Online podría permitir que un asistente remoto no autenticado se una a una reunión protegida por contraseña sin proporcionar la contraseña de la reunión. El intento de conexión debe iniciarse desde una aplicación móvil Webex para iOS o Android. La vulnerabilidad se debe a la exposición involuntaria de información de la reunión en un flujo de reunión de reunión específico para aplicaciones móviles. Un asistente no autorizado podría aprovechar esta vulnerabilidad accediendo a un ID de reunión o URL de reunión conocidos El navegador web móvil device’s . Luego, el navegador solicitará iniciar la aplicación device’s móvil Webex. Una explotación con éxito podría permitir que el asistente no autorizado se una a la reunión protegida por contraseña. El asistente no autorizado estará visible en la lista de asistentes de la reunión como asistente móvil. Cisco ha aplicado actualizaciones que abordan esta vulnerabilidad y no se requiere ninguna acción del usuario. Esta vulnerabilidad afecta a los sitios de Cisco Webex Meetings Suite y a los lanzamientos de sitios en línea de Cisco Webex Meetings anteriores a la versión 39.11.5 y 40.1.3.
Vulnerabilidad en la programación de reglas de la tabla IP de la interfaz de administración fuera de banda (CVE-2020-3139)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
28/01/2020
Descripción:
Una vulnerabilidad en la programación de reglas de la tabla IP de la interfaz de administración fuera de banda (OOB) para el Controlador de Infraestructura de Políticas de Aplicación de Cisco (APIC) podría permitir que un atacante remoto no autenticado omita las entradas denegadas configuradas para puertos IP específicos. Estos puertos IP se permitirían a la interfaz de administración OOB cuando, de hecho, los paquetes deberían descartarse. La vulnerabilidad se debe a la configuración de entradas específicas de la tabla IP para las cuales hay un error de lógica de programación que hace que se permita el puerto IP. Un atacante podría aprovechar esta vulnerabilidad enviando tráfico a la interfaz de administración OOB en el dispositivo de destino. Una explotación con éxito podría permitir que el atacante omita las reglas configuradas de la tabla IP para eliminar el tráfico específico del puerto IP. El atacante no tiene control sobre la configuración del dispositivo en sí. Esta vulnerabilidad afecta a las versiones de Cisco APIC anteriores a la primera versión de software fija 4.2 (3j).
Vulnerabilidad en la interfaz de administración basada en web de Cisco Jabber Guest (CVE-2020-3136)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
28/01/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Jabber Guest podría permitir que un atacante remoto no autenticado realice un ataque de scripting entre sitios (XSS) contra un usuario de la interfaz de administración basada en web de un dispositivo afectado. La vulnerabilidad existe porque la interfaz de administración basada en web del dispositivo afectado no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario para que haga clic en un enlace malicioso. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Esta vulnerabilidad afecta a las versiones 11.1 (2) y anteriores de Cisco Jabber Guest.
Vulnerabilidad en el motor de descompresión zip del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) (CVE-2020-3134)
Gravedad:
MediaMedia
Publication date: 26/01/2020
Last modified:
28/01/2020
Descripción:
Una vulnerabilidad en el motor de descompresión zip del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) podría permitir que un atacante remoto no autenticado cause una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se debe a una validación incorrecta de los archivos zip. Un atacante podría aprovechar esta vulnerabilidad enviando un mensaje de correo electrónico con un archivo adjunto comprimido comprimido. Una explotación con éxito podría desencadenar un reinicio del proceso de escaneo de contenido, causando una condición DoS temporal. Esta vulnerabilidad afecta al software Cisco AsyncOS para las versiones de Cisco ESA anteriores a 13.0.