Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo webservices/export.php, o env-production/itop-backup/backup.php en el parámetro param_file en iTop (CVE-2019-13965)
Gravedad:
MediaMedia
Publication date: 14/02/2020
Last modified:
19/02/2020
Descripción:
Debido a la falta de saneamiento en torno a los mensajes de error, se presentan múltiples problemas de tipo XSS Reflexivo en iTop versiones hasta 2.6.0, por medio del parámetro param_file en el archivo webservices/export.php, o env-production/itop-backup/backup.php. Por defecto, cualquier ataque de tipo XSS enviado al administrador puede transformarse en una ejecución de comando remoto debido a CVE-2018-10642 (aún funciona hasta la versión 2.6.0). El XSS Reflexivo también puede convertirse en un ataque de tipo XSS Almacenado dentro de la misma cuenta debido a otra vulnerabilidad.
Vulnerabilidad en determinados campos del archivo XML usado para construir el panel en iTop (CVE-2019-13966)
Gravedad:
MediaMedia
Publication date: 14/02/2020
Last modified:
19/02/2020
Descripción:
En iTop versiones hasta 2.6.0, puede ser entregada una carga útil de tipo XSS en determinados campos (tal y como el icono) del archivo XML usado para construir el panel. Esto es similar a CVE-2015-6544 (que es solo sobre el título del panel).
Vulnerabilidad en muchas peticiones para iniciar una operación de compilación en el URI pages/exec.php?exec_env=production&exec_module=itop-hub-connector&exec_page=ajax.php&operation=compile en iTop (CVE-2019-13967)
Gravedad:
MediaMedia
Publication date: 14/02/2020
Last modified:
24/08/2020
Descripción:
iTop versiones 2.2.0 hasta 2.6.0, permite a atacantes remotos causar una denegación de servicio (interrupción de aplicación) por medio de muchas peticiones para iniciar una operación de compilación. Las peticiones utilizan el URI pages/exec.php?exec_env=production&exec_module=itop-hub-connector&exec_page=ajax.php&operation=compile. Esto solo afecta a la versión de la comunidad.
Vulnerabilidad en credenciales embebidas en HCL AppScan Standard Edition (CVE-2019-4392)
Gravedad:
AltaAlta
Publication date: 14/02/2020
Last modified:
19/02/2020
Descripción:
HCL AppScan Standard Edition versiones 9.0.3.13 y anteriores, utilizan credenciales embebidas que pueden ser explotadas por atacantes para obtener acceso no autorizado al sistema.
Vulnerabilidad en un backdoor en la biblioteca flowplayer-3.1.1.min.js en OpenX Ad Server (CVE-2013-4211)
Gravedad:
AltaAlta
Publication date: 14/02/2020
Last modified:
19/02/2020
Descripción:
Se presenta una Vulnerabilidad de Ejecución de Código en OpenX Ad Server versión 2.8.10, debido a un backdoor en la biblioteca flowplayer-3.1.1.min.js, lo que podría permitir a un usuario malicioso remoto ejecutar código PHP arbitrario.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: