Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro ip_dst, dst_port, o src_port de index.php?operation/netflow/nf_live_view en Artica Pandora FMS (CVE-2020-8947)
Gravedad:
AltaAlta
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
El archivo functions_netflow.php en Artica Pandora FMS versión 7.0, permite a atacantes remotos ejecutar comandos arbitrarios de Sistema Operativo por medio de metacaracteres de shell en el parámetro ip_dst, dst_port, o src_port de index.php?operation/netflow/nf_live_view, una vulnerabilidad diferente de CVE-2019-20224.
Vulnerabilidad en peticiones no autorizadas desde el sistema en IBM Content Navigator (CVE-2019-4741)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
IBM Content Navigator versión 3.0CD es vulnerable a un ataque de tipo Server Side Request Forgery (SSRF). Esto puede permitir a un atacante no autenticado enviar peticiones no autorizadas desde el sistema, conllevando a una enumeración de la red o a facilitar otros ataques. ID de IBM X-Force: 172815.
Vulnerabilidad en la Interfaz de Usuario Web en IBM Rational Publishing Engine (CVE-2019-4431)
Gravedad:
BajaBaja
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
IBM Rational Publishing Engine versiones 6.0.6 y 6.0.6.1, es vulnerable un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando a una divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 162888.
Vulnerabilidad en configuración del analizador XML en Jenkins NUnit Plugin (CVE-2020-2115)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins NUnit Plugin versiones 0.25 y anteriores, no configuran el analizador XML para impedir ataques de tipo XML external entity (XXE).
Vulnerabilidad en expresiones de parámetros en métodos CPS-transformed en la protección de Sandbox en Jenkins Pipeline: Groovy Plugin (CVE-2020-2109)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
13/07/2020
Descripción:
La protección de Sandbox en Jenkins Pipeline: Groovy Plugin versiones 2.78 y anteriores, puede ser omitida mediante expresiones de parámetros predeterminadas en métodos CPS-transformed.
Vulnerabilidad en anotaciones de transformación AST en la protección de Sandbox en Jenkins Script Security Plugin (CVE-2020-2110)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
13/07/2020
Descripción:
La protección de Sandbox en Jenkins Script Security Plugin versiones 1.69 y anteriores, podría omitirse durante la fase de compilación del script mediante la aplicación de anotaciones de transformación AST para las importaciones o al usarlas dentro de otras anotaciones.
Vulnerabilidad en la comprobación del formulario del campo Project Repository Base URL en Jenkins Subversion Plugin (CVE-2020-2111)
Gravedad:
BajaBaja
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Subversion Plugin versiones 2.13.0 y anteriores, no escapa al mensaje de error para la comprobación del formulario del campo Project Repository Base URL, resultando en una vulnerabilidad de tipo cross-site scripting almacenado.
Vulnerabilidad en el parámetro name en la Interfaz de Usuario en Jenkins Git Parameter Plugin (CVE-2020-2112)
Gravedad:
BajaBaja
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Git Parameter Plugin versiones 0.9.11 y anteriores, no escapa al parámetro name que se muestra en la Interfaz de Usuario, resultando en una vulnerabilidad de tipo cross-site scripting almacenado que los usuarios con permiso Job/Configure pueden explotar.
Vulnerabilidad en la Interfaz de Usuario en Jenkins Git Parameter Plugin (CVE-2020-2113)
Gravedad:
BajaBaja
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Git Parameter Plugin versiones 0.9.11 y anteriores, no escapa al valor predeterminado que se muestra en la Interfaz de Usuario, resultando en una vulnerabilidad de tipo cross-site scripting almacenado que los usuarios con permiso Job/Configure pueden explotar.
Vulnerabilidad en las credenciales configuradas en texto plano en el formulario de configuración global en Jenkins S3 publisher Plugin (CVE-2020-2114)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins S3 publisher Plugin versiones 0.11.4 y anteriores, transmite las credenciales configuradas en texto plano como parte del formulario de configuración global de Jenkins, resultando potencialmente en su exposición.
Vulnerabilidad en una URL en los ID de credenciales en Jenkins Pipeline GitHub Notify Step Plugin (CVE-2020-2116)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Pipeline GitHub Notify Step Plugin versiones 1.0.4 y anteriores, permite a atacantes conectar con una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en una URL en los ID de credenciales en Jenkins Pipeline GitHub Notify Step Plugin (CVE-2020-2117)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Una falta de comprobación de permiso en Jenkins Pipeline GitHub Notify Step Plugin versiones 1.0.4 y anteriores, permite a atacantes con permiso Overall/Read conectar con una URL especificada por el atacante usando ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins.
Vulnerabilidad en métodos relacionados con formularios en Jenkins Pipeline GitHub Notify Step Plugin (CVE-2020-2118)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Una falta de comprobación de permiso en Jenkins Pipeline GitHub Notify Step Plugin versiones 1.0.4 y anteriores, en métodos relacionados con formularios permitió a usuarios con acceso General y de Lectura enumerar ID de credenciales almacenadas en Jenkins.
Vulnerabilidad en configuración del analizador XML en Jenkins FitNesse Plugin (CVE-2020-2120)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins FitNesse Plugin versiones 1.30 y anteriores, no configuran el analizador XML para impedir ataques de tipo XML external entity (XXE).
Vulnerabilidad en contraseña sin cifrar en los archivos config.xml de trabajo en Jenkins Applatix PluginCVE-2020-2133 (CVE-2020-2133)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Applatix Plugin versiones 1.1 y anteriores, almacenan una contraseña sin cifrar en los archivos config.xml de trabajo en el maestro Jenkins, donde puede ser visualizada por parte de usuarios con permiso Extended Read o acceso al sistema de archivos maestro.
Vulnerabilidad en contraseña sin cifrar en los archivos config.xml de trabajo en Jenkins Parasoft Environment Manager Plugin (CVE-2020-2132)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Parasoft Environment Manager Plugin versiones 2.14 y anteriores, almacenan una contraseña sin cifrar en los archivos config.xml de trabajo en el maestro Jenkins, donde puede ser visualizada por parte de usuarios con permiso Extended Read o acceso al sistema de archivos maestro.
Vulnerabilidad en contraseñas sin cifrar en los archivos config.xml de trabajo en Jenkins Harvest SCM Plugin (CVE-2020-2131)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Harvest SCM Plugin versiones 0.5.1 y anteriores, almacenan las contraseñas sin cifrar en los archivos config.xml de trabajo en el maestro Jenkins, donde puede ser visualizadas por parte de usuarios con permiso Extended Read o acceso al sistema de archivos maestro.
Vulnerabilidad en una contraseña sin cifrar en su archivo de configuración global en Jenkins Harvest SCM Plugin (CVE-2020-2130)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Harvest SCM Plugin versiones 0.5.1 y anteriores, almacenan una contraseña sin cifrar en su archivo de configuración global en el maestro Jenkins, donde puede ser visualizada por parte de usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en una contraseña sin cifrar en su archivo de configuración global en Jenkins Eagle Tester Plugin (CVE-2020-2129)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Eagle Tester Plugin versiones 1.0.9 y anteriores, almacenan una contraseña sin cifrar en su archivo de configuración global en el maestro Jenkins, donde puede ser visualizada por parte de usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en configuración del analizador YAML en Jenkins RadarGun Plugin (CVE-2020-2123)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins RadarGun Plugin versiones 1.7 y anteriores, no configuran su analizador YAML para impedir la creación de instancias de tipos arbitrarios, resultando en una vulnerabilidad de ejecución de código remota.
Vulnerabilidad en configuración del analizador YAML en Jenkins Google Kubernetes Engine Plugin (CVE-2020-2121)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Google Kubernetes Engine Plugin versiones 0.8.0 y anteriores, no configuran su analizador YAML para impedir la creación de instancias de tipos arbitrarios, resultando en una vulnerabilidad de ejecución de código remota.
Vulnerabilidad en las credenciales configuradas en texto plano en el formulario de configuración global en Jenkins Azure AD Plugin (CVE-2020-2119)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Jenkins Azure AD Plugin versiones 1.1.2 y anteriores, transmiten las credenciales configuradas en texto plano como parte del formulario de configuración global de Jenkins, resultando potencialmente en su exposición.
Vulnerabilidad en una Ejecución Literal en la variante del algoritmo LZO en Oberhumer liblzo2 y lzo-2 (CVE-2014-4607)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Un desbordamiento de enteros en la variante del algoritmo LZO en Oberhumer liblzo2 y lzo-2 versiones anteriores a 2.07, en plataformas de 32 bits podría permitir a atacantes remotos ejecutar código arbitrario por medio de una Ejecución Literal diseñada.
Vulnerabilidad en la respuesta a un desafío de autenticación en el teléfono PhonerLite (CVE-2014-2560)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
El teléfono PhonerLite versiones anteriores a 3.15, proporciona credenciales en hash en respuesta a un desafío de autenticación no válido, lo que facilita a atacantes remotos obtener acceso por medio de un ataque de fuerza bruta, relacionado con un problema de "SIP Digest Leak".
Vulnerabilidad en scripts/email.coffee en el módulo Hubot Scripts para Node.js (CVE-2013-7378)
Gravedad:
AltaAlta
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
scripts/email.coffee en el módulo Hubot Scripts versiones anteriores a 3.4.4 para Node.js, permite a atacantes remotos ejecutar comandos arbitrarios.
Vulnerabilidad en una aplicación en el manejador int3 en el kernel de Linux (CVE-2012-0810)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
El manejador int3 en el kernel de Linux versiones anteriores a 3.3, se basa en una pila de depuración por CPU, que permite a usuarios locales causar una denegación de servicio (corrupción de pila y pánico) por medio de una aplicación diseñada que desencadena determinada contención del bloqueo.
Vulnerabilidad en la respuesta a un desafío de autenticación en la implementación de SIP en el teléfono de software Gizmo5 (CVE-2009-5139)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
La implementación de SIP en el teléfono de software Gizmo5, proporciona credenciales en hash en respuesta a un desafío de autenticación no válido, lo que facilita a atacantes remotos obtener acceso por medio de un ataque de fuerza bruta, relacionado con un problema de "SIP Digest Leak".
Vulnerabilidad en una imagen TIFF en LibTIFF usado en Apple iOS y OS X (CVE-2014-8128)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
LibTIFF versiones anteriores a 4.0.4, como es usado en Apple iOS versiones anteriores a 8.4 y OS X versiones anteriores a 10.10.4 y otros productos, permite a atacantes remotos causar una denegación de servicio (escritura fuera de límites) por medio de una imagen TIFF diseñada.
Vulnerabilidad en un archivo BMP en la función bmp_decode_rle en el archivo libnsbmp.c en Libnsbmp (CVE-2015-7508)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/02/2020
Descripción:
Un desbordamiento del búfer en la región heap de la memoria en la función bmp_decode_rle en el archivo libnsbmp.c en Libnsbmp versión 0.1.2, permite a atacantes dependiendo del contexto causar una denegación de servicio (bloqueo de aplicación) o posiblemente ejecutar código arbitrario por medio de la última fila de datos RLE en un archivo BMP diseñado.
Vulnerabilidad en peticiones de fuerza bruta en los nombres de usuario en MISP (CVE-2020-8891)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se detectó un problema en MISP versiones anteriores a 2.4.121. No canonicalizó los nombres de usuario cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta.
Vulnerabilidad en la vista Galaxy en el archivo app/View/Galaxies/view.ctp en MISP (CVE-2020-8893)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se detectó un problema en MISP versiones anteriores a 2.4.121. La vista Galaxy contenía una cadena de búsqueda saneada incorrectamente en el archivo app/View/Galaxies/view.ctp.
Vulnerabilidad en peticiones de fuerza bruta en el método HTTP PUT en MISP (CVE-2020-8892)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se detectó un problema en MISP versiones anteriores a 2.4.121. No consideró el método HTTP PUT al intentar bloquear una serie de peticiones inválidas de fuerza bruta.
Vulnerabilidad en peticiones de fuerza bruta en la distorsión del tiempo en MISP (CVE-2020-8890)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se detectó un problema en MISP versiones anteriores a 2.4.121. Manejó inapropiadamente la distorsión del tiempo (entre la máquina que aloja el servidor web y la máquina que aloja la base de datos) cuando intenta bloquear una serie de peticiones inválidas de fuerza bruta.
Vulnerabilidad en el Windows Backup Service de Microsoft (CVE-2020-0703)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Backup Service maneja inapropiadamente las operaciones de archivos. Para explotar esta vulnerabilidad, un atacante primero tendría que conseguir una ejecución en el sistema víctima, también se conoce como "Windows Backup Service Elevation of Privilege Vulnerability".
Vulnerabilidad en la característica de seguridad en Surface Hub de Microsoft (CVE-2020-0702)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de omisión de la característica de seguridad en Surface Hub cuando se solicitan credenciales, también se conoce como "Surface Hub Security Feature Bypass Vulnerability".
Vulnerabilidad en el Windows Wireless Network Manager de Microsoft (CVE-2020-0704)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Wireless Network Manager maneja inapropiadamente la memoria. Para explotar esta vulnerabilidad, un atacante primero tendría que conseguir una ejecución en el sistema víctima, también se conoce como "Windows Wireless Network Manager Elevation of Privilege Vulnerability".
Vulnerabilidad en la Windows Network Driver Interface Specification (NDIS) de Microsoft (CVE-2020-0705)
Gravedad:
BajaBaja
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando la Windows Network Driver Interface Specification (NDIS) maneja inapropiadamente la memoria. Para explotar esta vulnerabilidad, un atacante primero tendría que conseguir una ejecución en el sistema víctima, también se conoce como "Windows Network Driver Interface Specification (NDIS) Information Disclosure Vulnerability".
Vulnerabilidad en peticiones de origen cruzado en los navegadores de Microsoft (CVE-2020-0706)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información en la manera en que los navegadores de Microsoft afectados manejan las peticiones de origen cruzado, también se conoce como "Microsoft Browser Information Disclosure Vulnerability".
Vulnerabilidad en el Windows IME de Microsoft (CVE-2020-0707)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows IME maneja inapropiadamente la memoria. Para explotar esta vulnerabilidad, un atacante primero tendría que conseguir la ejecución en el sistema víctima, también se conoce como "Windows IME Elevation of Privilege Vulnerability".
Vulnerabilidad en el componente Win32k de Microsoft Windows (CVE-2020-0716)
Gravedad:
BajaBaja
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el componente win32k proporciona inapropiadamente información del kernel, también se conoce como "Win32k Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2020-0717.
Vulnerabilidad en el procesamiento de un archivo .LNK en Microsoft Windows (CVE-2020-0729)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Microsoft Windows que podría permitir una ejecución de código remota si se procesa un archivo .LNK. Un atacante que explotara con éxito esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local, también se conoce como "LNK Remote Code Execution Vulnerability".
Vulnerabilidad en el Windows User Profile Service (ProfSvc) de Microsoft (CVE-2020-0730)
Gravedad:
BajaBaja
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows User Profile Service (ProfSvc) maneja inapropiadamente los enlaces simbólicos, también se conoce como "Windows User Profile Service Elevation of Privilege Vulnerability".
Vulnerabilidad en comandos remotos de Secure Socket Shell en Microsoft Windows (CVE-2020-0757)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Windows maneja inapropiadamente los comandos remotos de Secure Socket Shell, también se conoce como "Windows SSH Elevation of Privilege Vulnerability".
Vulnerabilidad en el software Microsoft Excel (CVE-2020-0759)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en el software Microsoft Excel cuando el software no puede manejar apropiadamente los objetos en la memoria, también se conoce como "Microsoft Excel Remote Code Execution Vulnerability".
Vulnerabilidad en el Windows Graphics Component de Microsoft (CVE-2020-0792)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
20/02/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Graphics Component maneja inapropiadamente los objetos en la memoria, también se conoce como "Windows Graphics Component Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-0715, CVE-2020-0745.
Vulnerabilidad en el componente Win32k de Microsoft Windows (CVE-2020-0717)
Gravedad:
BajaBaja
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el componente win32k proporciona inapropiadamente información del kernel, también se conoce como "Win32k Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2020-0716.
Vulnerabilidad en Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (CVE-2020-5821)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE), versiones anteriores a 14.2 RU2 MP1 y versiones anteriores a 14.2.5569.2100 respectivamente, pueden ser susceptibles a una vulnerabilidad de inyección DLL, que es un tipo de problema por el cual un individuo intenta ejecutar su propio código en lugar de un código legítimo como un medio para llevar a cabo una explotación.
Vulnerabilidad en la gema Ruby PDFKit (CVE-2013-1607)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
La gema Ruby PDFKit versiones anteriores a 0.5.3, presenta una Vulnerabilidad de Ejecución de Código.
Vulnerabilidad en el Parámetro de Cookie "guestlanguage" en YaBB (CVE-2013-2057)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
YaBB versiones hasta 2.5.2: Vulnerabilidad de Inclusión de Archivo Local del Parámetro de Cookie "guestlanguage".
Vulnerabilidad en Potplayer (CVE-2013-3942)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Potplayer versiones anteriores a 1.5.39659: Una Vulnerabilidad de Ejecución de Código Arbitraria de Carga de DLL.
Vulnerabilidad en Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE) (CVE-2020-5820)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE), versiones anteriores a 14.2 RU2 MP1 y versiones anteriores a 14.2.5569.2100 respectivamente, pueden ser susceptibles a una vulnerabilidad de escalada de privilegios, que es un tipo de problema por el cual un atacante puede intentar comprometer la aplicación de software para conseguir un acceso elevado a los recursos que normalmente están protegidos de una aplicación o un usuario.
Vulnerabilidad en Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE) (CVE-2020-5822)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE), versiones anteriores a 14.2 RU2 MP1 y versiones anteriores a 14.2.5569.2100 respectivamente, pueden ser susceptibles a una vulnerabilidad de escalada de privilegios, que es un tipo de problema por el cual un atacante puede intentar comprometer la aplicación de software para conseguir un acceso elevado a los recursos que normalmente están protegidos de una aplicación o un usuario.
Vulnerabilidad en Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE) (CVE-2020-5823)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE), versiones anteriores a 14.2 RU2 MP1 y versiones anteriores a 14.2.5569.2100 respectivamente, pueden ser susceptibles a una vulnerabilidad de escalada de privilegios, que es un tipo de problema por el cual un atacante puede intentar comprometer la aplicación de software para conseguir un acceso elevado a los recursos que normalmente están protegidos de una aplicación o un usuario.
Vulnerabilidad en Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE) (CVE-2020-5824)
Gravedad:
BajaBaja
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Symantec Endpoint Protection (SEP) y Symantec Endpoint Protection Small Business Edition (SEP SBE), versiones anteriores a 14.2 RU2 MP1 y versiones anteriores a 14.2.5569.2100 respectivamente, pueden ser susceptibles a una vulnerabilidad de denegación de servicio, que es un tipo de problema por el cual un actor de amenaza intenta vincular los recursos de una aplicación residente, haciendo de esta manera que determinadas funciones no estén disponibles.
Vulnerabilidad en el parámetro skipSessionCheck en la interfaz UMA (/appliance/) en DELL SonicWALL Analyzer, Global Management System (GMS), Universal Management Appliance (UMA), y ViewPoint (CVE-2013-1359)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
14/02/2020
Descripción:
Se presenta una Vulnerabilidad de Omisión de Autenticación en DELL SonicWALL Analyzer versión 7.0, Global Management System (GMS) versiones 4.1, 5.0, 5.1, 6.0 y 7.0; Universal Management Appliance (UMA) versiones 5.1, 6.0 y 7.0 y ViewPoint versiones 4.1, 5.0, 5.1 y 6.0 por medio del parámetro skipSessionCheck en la interfaz UMA (/appliance/), lo que podría permitir a un usuario malicioso remoto obtener acceso a la cuenta root.
Vulnerabilidad en el paquete de petición de conexión de publicidad en la implementación periférica de Bluetooth Low Energy en Texas Instruments SIMPLELINK-CC2640R2-SDK y BLE-STACK para dispositivos CC2640R2 y CC2540/1 (CVE-2019-19193)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
14/02/2020
Descripción:
La implementación periférica de Bluetooth Low Energy en Texas Instruments SIMPLELINK-CC2640R2-SDK versiones hasta 3.30.00.20 y BLE-STACK versiones hasta 1.5.0 anteriores a Q4 2019 para dispositivos CC2640R2 y CC2540/1 no restringe apropiadamente el paquete de petición de conexión de publicidad en la recepción, permitiendo a atacantes dentro del radio de alcance para causar una denegación de servicio (bloqueo) por medio de un paquete diseñado.
Vulnerabilidad en el paquete SM Public Key en la implementación de Bluetooth Low Energy en el SDK de Texas Instruments para dispositivos CC2640R2 (CVE-2019-17520)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
14/02/2020
Descripción:
La implementación de Bluetooth Low Energy en el SDK de Texas Instruments versiones hasta el 3.30.00.20 para dispositivos CC2640R2, no restringe apropiadamente el paquete SM Public Key en la recepción, permitiendo a atacantes dentro del radio de alcance causar una denegación de servicio (bloqueo) por medio de paquetes diseñados.
Vulnerabilidad en los paquetes de capa de enlace en la implementación de Bluetooth Low Energy en Dialog Semiconductor SDK para dispositivos DA1468x (CVE-2019-17518)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
14/02/2020
Descripción:
La implementación de Bluetooth Low Energy en Dialog Semiconductor SDK versiones hasta 1.0.14.1081, para dispositivos DA1468x responde a los paquetes de capa de enlace con una longitud de carga útil mayor a la esperada, permitiendo a atacantes dentro del radio de alcance causar un desbordamiento del búfer por medio de un paquete diseñado. Esto afecta, por ejemplo, a August Smart Lock.
Vulnerabilidad en el componente navegador Web en BlackBerry PlayBook (CVE-2012-5828)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
14/02/2020
Descripción:
BlackBerry PlayBook versiones anteriores a 2.1, presenta una vulnerabilidad de divulgación de información por medio de un error del componente navegador Web.
Vulnerabilidad en el Group Name Field en la página group_list en Piwigo (CVE-2020-8089)
Gravedad:
BajaBaja
Publication date: 10/02/2020
Last modified:
14/02/2020
Descripción:
Piwigo versión 2.10.1, está afectado por una vulnerabilidad de tipo XSS almacenado por medio del Group Name Field en la página group_list.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en La Omisión de autenticación (CVE-2020-8595)
Gravedad:
AltaAlta
Publication date: 12/02/2020
Last modified:
20/02/2020
Descripción:
Las versiones Istio 1.2.10 (End of Life) y anteriores, 1.3 a 1.3.7, y 1.4 a 1.4.3 permiten la omisión de autenticación. La lógica de coincidencia de ruta exacta de la Política de autenticación puede permitir el acceso no autorizado a rutas HTTP incluso si están configuradas para acceder solo después de presentar un token JWT válido. Por ejemplo, un atacante puede agregar un? o # carácter a un URI que de otro modo satisfaría una coincidencia de ruta exacta.
Vulnerabilidad en peticiones HTTP en el componente VerifyPopServerConnection!add.jspa en Atlassian Jira Server and Data Center (CVE-2019-20099)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/07/2020
Descripción:
El componte VerifyPopServerConnection!add.jspa en Atlassian Jira Server and Data Center anterior a versión 8.7.0, es vulnerable a un ataque de tipo cross-site request forgery (CSRF). Un atacante podría explotar esto al engañar a un usuario administrativo para que realice peticiones HTTP maliciosas, permitiendo que el atacante enumere hosts y abra puertos en la red interna donde el servidor Jira está presente.
Vulnerabilidad en peticiones HTTP en el componente VerifySmtpServerConnection!add.jspa en Atlassian Jira Server and Data Center (CVE-2019-20098)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
14/07/2020
Descripción:
El componente VerifySmtpServerConnection!add.jspa en Atlassian Jira Server and Data Center anterior a versión 8.7.0, es vulnerable a un ataque de tipo cross-site request forgery (CSRF). Un atacante podría explotar esto al engañar a un usuario administrativo para que realice peticiones HTTP maliciosas, permitiendo que el atacante enumere hosts y abra puertos en la red interna donde el servidor Jira está presente.
Vulnerabilidad en un paquete de Capa de Enlace en la longitud de la carga útil L2CAP en la implementación de Bluetooth Low Energy en Dialog Semiconductor SDK (CVE-2019-17517)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
09/03/2020
Descripción:
La implementación de Bluetooth Low Energy en Dialog Semiconductor SDK versiones hasta 5.0.4 para dispositivos DA14580/1/2/3 no restringe apropiadamente la longitud de la carga útil L2CAP, permitiendo a atacantes dentro del radio de alcance causar un desbordamiento del búfer por medio de un paquete de Capa de Enlace diseñado.
Vulnerabilidad en Polycom (CVE-2012-6611)
Gravedad:
AltaAlta
Publication date: 10/02/2020
Last modified:
14/02/2020
Descripción:
Se detectó un problema en Polycom Web Management Interface G3/HDX 8000 HD con el software Durango versión 2.6.0 4740 y la plataforma de desarrollo Polycom Linux 2.14.g3 integrada. Tiene una contraseña administrativa en blanco de forma predeterminada, y se puede usar con éxito sin establecer esta contraseña.