Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo export_ical.php en el parámetro users en SOPlanning (CVE-2020-9269)
Gravedad:
AltaAlta
Publication date: 18/02/2020
Last modified:
20/02/2020
Descripción:
SOPlanning versión 1.45, es vulnerable a una Inyección SQL autenticada que conlleva a una ejecución de comandos por medio del parámetro users, como es demostrado por el archivo export_ical.php.
Vulnerabilidad en los productos Huawei HEGE-560; OSCA-550 y OSCA-550A; y OSCA-550AX y OSCA-550X (CVE-2020-1842)
Gravedad:
MediaMedia
Publication date: 18/02/2020
Last modified:
20/02/2020
Descripción:
Huawei HEGE-560 versión 1.0.1.20(SP2); OSCA-550 y OSCA-550A versión 1.0.0.71(SP1); y OSCA-550AX y OSCA-550X versión 1.0.0.71(SP2), presentan una vulnerabilidad de autenticación insuficiente. Un atacante puede acceder al dispositivo físicamente y llevar a cabo operaciones específicas para explotar esta vulnerabilidad. Una explotación con éxito puede causar que el atacante obtenga privilegios altos.
Vulnerabilidad en los productos Huawei HEGE-560, OSCA-550, OSCA-550A, OSCA-550AX y OSCA-550X (CVE-2020-1843)
Gravedad:
MediaMedia
Publication date: 18/02/2020
Last modified:
20/02/2020
Descripción:
Huawei HEGE-560 versión 1.0.1.20(SP2), OSCA-550 versión 1.0.0.71(SP1), OSCA-550A versión 1.0.0.71(SP1), OSCA-550AX versión 1.0.0.71(SP2) y versión OSCA-550X 1.0.0.71(SP2), presentan una vulnerabilidad de comprobación insuficiente. Un atacante puede llevar a cabo operaciones específicas para explotar esta vulnerabilidad mediante métodos de acceso físico. Una explotación con éxito puede causar que el atacante realice una operación ilegal.
Vulnerabilidad en los parámetros de la GUI web en LPAR2RRD (CVE-2014-4981)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
20/02/2020
Descripción:
LPAR2RRD en versiones 3.5 y anteriores, permite a atacantes remotos ejecutar comandos arbitrarios debido a el saneamiento de entrada insuficiente de los parámetros de la GUI web.
Vulnerabilidad en el archivo do/view/Main/WebHome en la biblioteca lib/TWiki/Plugins.pm en el parámetro debugenableplugins en Twiki (CVE-2014-7236)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
20/02/2020
Descripción:
Una vulnerabilidad de inyección Eval en la biblioteca lib/TWiki/Plugins.pm en TWiki versiones anteriores a 6.0.1, permite a atacantes remotos ejecutar código de Perl arbitrario por medio del parámetro debugenableplugins en el archivo do/view/Main/WebHome.
Vulnerabilidad en un byte null en la extensión PHP sqlsrv en Zend Framework (CVE-2014-8089)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
20/02/2020
Descripción:
Una vulnerabilidad de inyección SQL en Zend Framework versiones anteriores a 1.12.9, versiones 2.2.x anteriores a 2.2.8 y versiones 2.3.x anteriores a 2.3.3, cuando se usa la extensión PHP sqlsrv, permite a atacantes remotos ejecutar comandos SQL arbitrarios por medio de un byte null.
Vulnerabilidad en una imagen JPEG 2000 en la función jas_matrix_create en JasPer (CVE-2015-8751)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
20/02/2020
Descripción:
Un desbordamiento de enteros en la función jas_matrix_create en JasPer, permite a atacantes dependiendo del contexto tener un impacto no especificado por medio de una imagen JPEG 2000 diseñada, relacionada con la multiplicación de enteros para una asignación de memoria.
Vulnerabilidad en el archivo lookup.c en OpenSIPS (CVE-2013-3722)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
20/02/2020
Descripción:
Se presenta una Denegación de Servicio (bucle infinito) en OpenSIPS versiones anteriores a 1.10, en el archivo lookup.c.
Vulnerabilidad en un endpoint de la API REST en Progress MOVEit Transfer (CVE-2020-8612)
Gravedad:
MediaMedia
Publication date: 14/02/2020
Last modified:
20/02/2020
Descripción:
En Progress MOVEit Transfer versiones 2019.1 anteriores a 2019.1.4 y versiones 2019.2 anteriores a 2019.2.1, un endpoint de la API REST falló en sanear adecuadamente una entrada maliciosa, lo que podría permitir a un atacante autenticado ejecutar código arbitrario en el navegador de una víctima, también se conoce como una vulnerabilidad de tipo cross-site scripting (XSS).

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: