Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un servidor FTP en Squid (CVE-2019-12528)
Gravedad:
MediaMedia
Publication date: 04/02/2020
Last modified:
10/07/2020
Descripción:
Se detectó un problema en Squid versiones anteriores a 4.10. Permite a un servidor FTP diseñado desencadenar una divulgación de información confidencial de la memoria de la pila, tal y como la información asociada con las sesiones de otros usuarios o procesos que no son de Squid.
Vulnerabilidad en las peticiones HTTP en Squid (CVE-2020-8449)
Gravedad:
MediaMedia
Publication date: 04/02/2020
Last modified:
10/07/2020
Descripción:
Se detectó un problema en Squid versiones anteriores a 4.10. Debido a una comprobación de entrada incorrecta, puede interpretar las peticiones HTTP diseñadas de manera no prevista para acceder a recursos del servidor prohibidos por parte de los filtros de seguridad anteriores.
Vulnerabilidad en una instancia de Squid que actúa como un proxy inverso (CVE-2020-8450)
Gravedad:
AltaAlta
Publication date: 04/02/2020
Last modified:
10/07/2020
Descripción:
Se detectó un problema en Squid versiones anteriores a 4.10. Debido a una administración del búfer incorrecta, un cliente remoto puede causar un desbordamiento del búfer en una instancia de Squid que actúa como un proxy inverso.
Vulnerabilidad en el analizador de credenciales de autenticación NTLM en la función ext_lm_group_acl en Squid (CVE-2020-8517)
Gravedad:
MediaMedia
Publication date: 04/02/2020
Last modified:
03/03/2020
Descripción:
Se detectó un problema en Squid versiones anteriores a 4.10. Debido a una comprobación de entrada incorrecta, el analizador de credenciales de autenticación NTLM en la función ext_lm_group_acl puede escribir en la memoria fuera del búfer de credenciales. En sistemas con protecciones de acceso a la memoria, esto puede resultar en que el proceso auxiliar termine inesperadamente. Esto conlleva a que el proceso de Squid también termine y a una denegación de servicio para todos los clientes que están usando el proxy.
Vulnerabilidad en un delimitador de StringAgg en una instancia contrib.postgres.aggregates.StringAgg en Django (CVE-2020-7471)
Gravedad:
AltaAlta
Publication date: 03/02/2020
Last modified:
18/06/2020
Descripción:
Django versiones 1.11 anteriores a 1.11.28, versiones 2.2 anteriores a 2.2.10 y versiones 3.0 anteriores a 3.0.3, permite una Inyección SQL si se usan datos no confiables como un delimitador de StringAgg (por ejemplo, en aplicaciones Django que ofrecen descargas de datos como una serie de filas con un delimitador de columna especificado por el usuario). Al pasar un delimitador apropiadamente diseñado a una instancia contrib.postgres.aggregates.StringAgg, fue posible romper el escape e inyectar SQL malicioso.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: