Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Magento (CVE-2020-3758)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Magento versiones 2.3.3 y anteriores, versiones 2.2.10 y anteriores, versiones 1.14.4.3 y anteriores, y versiones 1.9.4.3 y anteriores, presenta una vulnerabilidad de tipo cross-site scripting almacenado. Una explotación con éxito podría conllevar a una divulgación de información confidencial.
Vulnerabilidad en Magento (CVE-2020-3719)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Magento versiones 2.3.3 y anteriores, versiones 2.2.10 y anteriores, versiones 1.14.4.3 y anteriores, y versiones 1.9.4.3 y anteriores, presenta una vulnerabilidad de inyección sql. Una explotación con éxito podría conllevar a una divulgación de información confidencial.
Vulnerabilidad en Magento (CVE-2020-3718)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Magento versiones 2.3.3 y anteriores, versiones 2.2.10 y anteriores, versiones 1.14.4.3 y anteriores, y versiones 1.9.4.3 y anteriores, presenta una vulnerabilidad de omisión de seguridad. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Magento (CVE-2020-3717)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Magento versiones 2.3.3 y anteriores, versiones 2.2.10 y anteriores, versiones 1.14.4.3 y anteriores, y versiones 1.9.4.3 y anteriores, presenta una vulnerabilidad de salto de ruta. Una explotación con éxito podría conllevar a una divulgación de información confidencial.
Vulnerabilidad en Magento (CVE-2020-3716)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Magento versiones 2.3.3 y anteriores, versiones 2.2.10 y anteriores, versiones 1.14.4.3 y anteriores, y versiones 1.9.4.3 y anteriores, presenta una vulnerabilidad de deserialización de datos no confiables. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Magento (CVE-2020-3715)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Magento versiones 2.3.3 y anteriores, versiones 2.2.10 y anteriores, versiones 1.14.4.3 y anteriores, y versiones 1.9.4.3 y anteriores, presenta una vulnerabilidad de tipo cross-site scripting almacenado. Una explotación con éxito podría conllevar a una divulgación de información confidencial.
Vulnerabilidad en Adobe Illustrator CC (CVE-2020-3714)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Adobe Illustrator CC versiones 24.0 y anteriores, presenta una vulnerabilidad de corrupción de memoria. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Illustrator CC (CVE-2020-3713)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Adobe Illustrator CC versiones 24.0 y anteriores, presenta una vulnerabilidad de corrupción de memoria. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Illustrator CC versions 24.0 and earlier have a memory corruption vulnerability. Successful exploitation could lead to arbitrary code execution (CVE-2020-3712)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Adobe Illustrator CC versiones 24.0 y anteriores, presenta una vulnerabilidad de corrupción de memoria. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Illustrator CC (CVE-2020-3711)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Adobe Illustrator CC versiones 24.0 y anteriores, presenta una vulnerabilidad de corrupción de memoria. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Illustrator CC (CVE-2020-3710)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Adobe Illustrator CC versiones 24.0 y anteriores, presenta una vulnerabilidad de corrupción de memoria. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en los endpoint de la API REST en Jenkins (CVE-2020-2105)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
17/03/2020
Descripción:
Los endpoint de la API REST en Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, eran vulnerables a los ataques de secuestro de cliqueo.
Vulnerabilidad en el analizador XML en Jenkins WebSphere Deployer Plugin (CVE-2020-2108)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Jenkins WebSphere Deployer Plugin versiones 1.6.1 y anteriores, no configuran el analizador XML para impedir ataques de tipo XXE que pueden ser explotados por un usuario con permisos Job/Configure.
Vulnerabilidad en las contraseñas del servidor proxy en los archivos de trabajo config.xml en Jenkins Fortify Plugin (CVE-2020-2107)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Jenkins Fortify Plugin versiones 19.1.29 y anteriores, almacenan las contraseñas del servidor proxy sin cifrar en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por los usuarios con permiso Extended Read o acceso al sistema de archivos maestro.
Vulnerabilidad en el nombre de archivo del reporte de cobertura de Jenkins Code Coverage API Plugin (CVE-2020-2106)
Gravedad:
BajaBaja
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Jenkins Code Coverage API Plugin versiones 1.1.2 y anteriores, no escapan al nombre de archivo del reporte de cobertura utilizado en su vista, resultando en una vulnerabilidad de tipo XSS almacenada explotable por los usuarios capaces de cambiar las configuraciones de trabajo.
Vulnerabilidad en un gráfico de uso de memoria de JVM en Jenkins (CVE-2020-2104)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
17/03/2020
Descripción:
Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, permitieron a usuarios con acceso General y de Lectura visualizar un gráfico de uso de memoria de JVM.
Vulnerabilidad en identificadores de sesión en la página de diagnóstico whoAmI en Jenkins (CVE-2020-2103)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
17/03/2020
Descripción:
Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, expuso identificadores de sesión en un objeto de detalles de usuario en la página de diagnóstico whoAmI.
Vulnerabilidad en una función de comparación de tiempo en un HMAC en Jenkins (CVE-2020-2102)
Gravedad:
BajaBaja
Publication date: 29/01/2020
Last modified:
17/03/2020
Descripción:
Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, usó una función de comparación de tiempo no constante cuando se compara un HMAC.
Vulnerabilidad en una función de comparación de tiempo en secretos de conexión en Jenkins (CVE-2020-2101)
Gravedad:
BajaBaja
Publication date: 29/01/2020
Last modified:
17/03/2020
Descripción:
Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, no usaban una función de comparación de tiempo constante para comprobar secretos de conexión, lo que podría potencialmente permitir a un atacante usar un ataque de sincronización para obtener este secreto.
Vulnerabilidad en reflexión de amplificación UDP en el puerto 33848 en Jenkins (CVE-2020-2100)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
17/03/2020
Descripción:
Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, eran vulnerables a un ataque de denegación de servicio de reflexión de amplificación UDP en el puerto 33848.
Vulnerabilidad en los parámetros de clave de cifrado en el Inbound TCP Agent Protocol/3 en Jenkins (CVE-2020-2099)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
17/03/2020
Descripción:
Jenkins versiones 2.213 y anteriores, versiones LTS 2.204.1 y anteriores, reutilizan inapropiadamente los parámetros de clave de cifrado en el Inbound TCP Agent Protocol/3, permitiendo a atacantes no autorizados con conocimiento de los nombres de los agentes obtener los secretos de conexión para esos agentes, que pueden ser usados para conectar con Jenkins , haciéndose pasar por esos agentes.
Vulnerabilidad en Havalite CMS (CVE-2013-0161)
Gravedad:
BajaBaja
Publication date: 29/01/2020
Last modified:
30/01/2020
Descripción:
Havalite CMS versión 1.1.7, presenta una vulnerabilidad de tipo XSS almacenado.
Vulnerabilidad en el archivo index.cfm en el parámetro pid en TennisConnect COMPONENTS (CVE-2014-8490)
Gravedad:
MediaMedia
Publication date: 28/01/2020
Last modified:
30/01/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en TennisConnect COMPONENTS versión 9.927, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro pid en el archivo index.cfm.
Vulnerabilidad en HSP_AbsoluteRedirects en Secure Entry Server (CVE-2013-2764)
Gravedad:
MediaMedia
Publication date: 28/01/2020
Last modified:
30/01/2020
Descripción:
Secure Entry Server versiones anteriores a 4.7.0, contiene una vulnerabilidad de Redirección de URI que podría permitir a atacantes remotos llevar a cabo ataques de phishing debido a que HSP_AbsoluteRedirects está desactivado por defecto.
Vulnerabilidad en el parámetro "playerID" en WordPress podPress Plugin (CVE-2013-2714)
Gravedad:
MediaMedia
Publication date: 28/01/2020
Last modified:
30/01/2020
Descripción:
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en WordPress podPress Plugin versión 8.8.10.13, podría permitir a atacantes remotos inyectar script web o html arbitrario por medio del parámetro "playerID".

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en IKTeam BearFTP (CVE-2020-8416)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
24/02/2020
Descripción:
IKTeam BearFTP anterior a la versión 0.2.0 permite a los atacantes remotos lograr la denegación de servicio a través de un gran volumen de conexiones al puerto de modo PASV.
Vulnerabilidad en el archivo WallpaperManagerService.java en la función generateCrop en Android (CVE-2020-0004)
Gravedad:
BajaBaja
Publication date: 08/01/2020
Last modified:
29/01/2020
Descripción:
En la función generateCrop del archivo WallpaperManagerService.java, hay un posible bloqueo de sysui debido a que la imagen excede el tamaño máximo de textura. Esto podría conllevar a una denegación de servicio local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0, Android-8.1, Android-9 y Android-10, ID: A-120847476.
Vulnerabilidad en TIBCO (CVE-2018-12415)
Gravedad:
MediaMedia
Publication date: 06/11/2018
Last modified:
29/01/2020
Descripción:
El componente del servidor Central Administration (emsca) de TIBCO Software Inc.'s TIBCO Enterprise Message Service, TIBCO Enterprise Message Service - Community Edition, y TIBCO Enterprise Message Service - Developer Edition, contiene una vulnerabilidad que podría permitir que un atacante realice ataques Cross-Site Request Forgery (CSRF). Las versiones afectadas son TIBCO Software Inc., TIBCO Enterprise Message Service: versiones 8.4.0 y por debajo, TIBCO Enterprise Message Service - Community Edition: versiones 8.4.0 y por debajo, y TIBCO Enterprise Message Service - Developer Edition: versiones 8.4.0 y por debajo.
Vulnerabilidad en La función validateInputImageSize en modules / imgcodecs / src / loadsave.cpp en OpenCV 3.4.1 (CVE-2018-7714)
Gravedad:
MediaMedia
Publication date: 05/03/2018
Last modified:
10/02/2020
Descripción:
** EN DISPUTA ** La función validateInputImageSize en modules / imgcodecs / src / loadsave.cpp en OpenCV 3.4.1 permite a los atacantes remotos causar una denegación de servicio (assertion failure) porque (píxeles <= (1 << 30)) puede ser falso. Nota: "OpenCV CV_Assert no es una aserción (C-like assert()), es una excepción normal de C ++ que se puede generar en caso de parámetros no válidos o no admitidos".
Vulnerabilidad en validateInputImageSize en modules/imgcodecs/src/loadsave.cpp en OpenCV (CVE-2018-7713)
Gravedad:
MediaMedia
Publication date: 05/03/2018
Last modified:
10/02/2020
Descripción:
** EN DISPUTA ** La función validateInputImageSize en modules/imgcodecs/src/loadsave.cpp en OpenCV versión 3.4.1 permite a los atacantes remotos causar una denegación de servicio (assertion failure) porque (size.width menor= (1 menor 20)) puede ser falso Nota: "OpenCV CV_Assert no es una aserción (C-like assert()), es una excepción normal de C ++ que se puede generar en caso de parámetros no válidos o no admitidos".
Vulnerabilidad en validateInputImageSize en modules/imgcodecs/src/loadsave.cpp en OpenCV (CVE-2018-7712)
Gravedad:
MediaMedia
Publication date: 05/03/2018
Last modified:
10/02/2020
Descripción:
** EN DISPUTA ** La función validateInputImageSize en modules/imgcodecs/src/loadsave.cpp en OpenCV versión 3.4.1 permite a los atacantes remotos causar una denegación de servicio (assertion failure) porque (size.height menor= (1 menor 20)) puede ser falso Nota: "OpenCV CV_Assert no es una aserción (C-like assert()), es una excepción normal de C ++ que se puede generar en caso de parámetros no válidos o no admitidos".