Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo cgi-bin/timeconfig.py en el campo NTP Server en los dispositivos Iteris Vantage Velocity Field Unit (CVE-2020-9020)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
19/02/2020
Descripción:
Los dispositivos Iteris Vantage Velocity Field Unit versiones 2.3.1, 2.4.2 y 3.0, permite una inyección de comandos de Sistema Operativo en el archivo cgi-bin/timeconfig.py por medio de metacaracteres de shell en el campo NTP Server.
Vulnerabilidad en el archivo cgi-bin/ViewPage.cgi en el parámetro user en los dispositivos Xirrus XR520, XR620, XR2436 y XH2-120 (CVE-2020-9022)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
19/02/2020
Descripción:
Se detectó un problema en los dispositivos Xirrus XR520, XR620, XR2436 y XH2-120. El parámetro user del archivo cgi-bin/ViewPage.cgi permite un ataque de tipo XSS.
Vulnerabilidad en los usuarios bluetooth y eclipse en los dispositivos Iteris Vantage Velocity Field Unit (CVE-2020-9023)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
19/02/2020
Descripción:
Los dispositivos Iteris Vantage Velocity Field Unit versiones 2.3.1 y 2.4.2, poseen dos usuarios que no están documentados y están configurados con contraseñas débiles (Usuario bluetooth, contraseña bluetooth; Usuario eclipse, contraseña eclipse). Además, bluetooth es la contraseña del usuario root.
Vulnerabilidad en los scripts /root/cleardata.pl y /root/loadperl.sh en los dispositivos Iteris Vantage Velocity Field Unit (CVE-2020-9024)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
19/02/2020
Descripción:
Los dispositivos Iteris Vantage Velocity Field Unit versiones 2.3.1 y 2.4.2, poseen permisos de tipo world-writable para los scripts /root/cleardata.pl (ejecutado como root mediante crond) y /root/loadperl.sh (ejecutado como root al momento del arranque).
Vulnerabilidad en el script /cgi-bin/loaddata.py en la funcionalidad Start Data Viewer en todos los parámetros en los dispositivos Iteris Vantage Velocity Field Unit (CVE-2020-9025)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
19/02/2020
Descripción:
Los dispositivos Iteris Vantage Velocity Field Unit versión 2.4.2, presentan múltiples problemas de tipo XSS almacenado en todos los parámetros de la funcionalidad Start Data Viewer del script /cgi-bin/loaddata.py.
Vulnerabilidad en el campo PING del recurso ping.cmd en los dispositivos ELTEX NTP-RG-1402G 1v10 (CVE-2020-9026)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
19/02/2020
Descripción:
Los dispositivos ELTEX NTP-RG-1402G 1v10 versiones 3.25.3.32, permiten una inyección de comandos de Sistema Operativo por medio del campo PING del recurso ping.cmd. El dispositivo NTP-2 también está afectado.
Vulnerabilidad en el campo TRACE del recurso ping.cmd en los dispositivos ELTEX NTP-RG-1402G 1v10 (CVE-2020-9027)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
19/02/2020
Descripción:
Los dispositivos ELTEX NTP-RG-1402G 1v10 versión 3.25.3.32, permiten una inyección de comandos de Sistema Operativo, por medio del campo TRACE del recurso ping.cmd. El dispositivo NTP-2 también está afectado.
Vulnerabilidad en el archivo source.uid en una política Mixer en el encabezado x-istio-attributes en Istio (CVE-2020-8843)
Gravedad:
MediaMedia
Publication date: 14/02/2020
Last modified:
19/02/2020
Descripción:
Se detectó un problema en Istio versiones 1.3 hasta 1.3.6. En determinadas circunstancias, es posible omitir una política Mixer configurada específicamente. Istio-proxy acepta el encabezado x-istio-attributes en la entrada que puede ser usado para afectar las decisiones de la política cuando la política Mixer se aplica selectivamente a una fuente igual a la entrada. Para explotar esta vulnerabilidad, alguien tiene que codificar un archivo source.uid en este encabezado. Esta funcionalidad está deshabilitada por defecto en Istio versiones 1.3 y 1.4.
Vulnerabilidad en el archivo MainPing.asp en el parámetro DestIP en Moxa MGate 5105-MB-EIP (CVE-2020-8858)
Gravedad:
AltaAlta
Publication date: 14/02/2020
Last modified:
19/02/2020
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Moxa MGate 5105-MB-EIP versión de firmware 4.1. Es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro del parámetro DestIP dentro del archivo MainPing.asp. El problema resulta de una falta de comprobación apropiada de una cadena suministrada por parte del usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Fue ZDI-CAN-9552.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: