Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los productos Huawei HEGE-570; y HEGE-560, OSCA-550, OSCA-550A, OSCA-550AX y OSCA-550X (CVE-2020-1855)
Gravedad:
BajaBaja
Publication date: 18/02/2020
Last modified:
20/02/2020
Descripción:
Huawei HEGE-570 versión 1.0.1.22(SP3); y HEGE-560, OSCA-550, OSCA-550A, OSCA-550AX y OSCA-550X versión 1.0.1.21(SP3), presentan una vulnerabilidad de comprobación insuficiente. Un atacante puede acceder al dispositivo físicamente y explotar esta vulnerabilidad para dañar la información del dispositivo. Una explotación con éxito puede causar un servicio anormal.
Vulnerabilidad en objetos referenciados directamente en la interfaz web de ABB Asset Suite (CVE-2019-18998)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
12/03/2020
Descripción:
Un control de acceso insuficiente en la interfaz web de ABB Asset Suite versiones 9.0 hasta 9.3, versiones 9.4 anteriores a 9.4.2.6, versiones 9.5 anteriores a 9.5.3.2 y versión 9.6.0, permite el acceso completo a objetos referenciados directamente. Un atacante con conocimiento de la URL de un recurso puede acceder al recurso directamente.
Vulnerabilidad en la biblioteca lib/codecov.js en una función exec en el argumento gcov-root en el módulo codecov-node npm (CVE-2020-7597)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
20/02/2020
Descripción:
El módulo codecov-node npm versiones anteriores a 3.6.5, permite a atacantes remotos ejecutar comandos arbitrarios. El valor proporcionado como parte del argumento gcov-root es ejecutado por una función exec dentro de la biblioteca lib/codecov.js. Esta vulnerabilidad se presenta debido a una corrección incompleta de CVE-2020-7596.
Vulnerabilidad en un archivo timeconfig.py en el parámetro htmlNtpServer en Post Oak AWAM Bluetooth Field Device (CVE-2020-9021)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
20/02/2020
Descripción:
Post Oak AWAM Bluetooth Field Device versiones 7400v2.08.21.2018, 7800SD.2015.1.16, 2011.3, 7400v2.02.01.2019 y 7800SD.2012.12.5, es vulnerable a unas inyecciones de comandos de Sistema Operativo por medio de un archivo timeconfig.py mediante metacaracteres de shell en el parámetro htmlNtpServer.
Vulnerabilidad en la creación de un nuevo tema en DOM en las cookies de sesión en Codologic Codoforum (CVE-2020-7050)
Gravedad:
BajaBaja
Publication date: 15/02/2020
Last modified:
20/02/2020
Descripción:
Codologic Codoforum versiones hasta 4.8.4, permite un ataque de tipo XSS basado en DOM. Mediante la creación de un nuevo tema como un usuario normal, es posible agregar una encuesta que se carga automáticamente en el DOM una vez que thread/topic es abierto. Debido a que las cookies de sesión carecen del flag HttpOnly, es posible robar cookies de autenticación y tomar el control de las cuentas.
Vulnerabilidad en el servidor TRiLOGI de Internet (CVE-2013-6927)
Gravedad:
BajaBaja
Publication date: 13/02/2020
Last modified:
20/02/2020
Descripción:
Internet TRiLOGI Server (versiones desconocidas), podría permitir a un usuario local omitir la seguridad y crear una cuenta de usuario local.
Vulnerabilidad en la MTU en el cliente OpenConnect VPN con GnuTLS (CVE-2013-7098)
Gravedad:
AltaAlta
Publication date: 13/02/2020
Last modified:
20/02/2020
Descripción:
El cliente OpenConnect VPN con GnuTLS versión anterior a 5.02, contiene un desbordamiento de la pila si la MTU se incrementa en la reconexión.
Vulnerabilidad en el navegador web de los usuarios en la impresora Lexmark y varios dispositivos Lexmark de generaciones anteriores (CVE-2019-18791)
Gravedad:
BajaBaja
Publication date: 13/02/2020
Last modified:
20/02/2020
Descripción:
La impresora Lexmark MS812 y varios dispositivos Lexmark de generaciones anteriores, presentan una vulnerabilidad de tipo XSS almacenado en el servidor web incorporado. La vulnerabilidad puede ser explotada para exponer las credenciales de sesión y otra información por medio del navegador web de los usuarios.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un Logical Address Block (LBA) en una rutina iscsi_co_block_status() en el controlador de iSCSI Block (CVE-2020-1711)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
13/09/2020
Descripción:
Se detectó una fallo de acceso al búfer de la pila fuera de límites en la manera en que el controlador de iSCSI Block versiones 2.xx de QEMU hasta 2.12.0 incluyéndola, manejó una respuesta proveniente de un servidor iSCSI mientras se comprobaba el estado de un Logical Address Block (LBA) en una rutina iscsi_co_block_status(). Un usuario remoto podría usar este fallo para bloquear el proceso de QEMU, resultando en una denegación de servicio o posible ejecución de código arbitrario con privilegios del proceso de QEMU en el host.