Boletín de vulnerabilidades
Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:
Vulnerabilidad en vectores no especificados en BOINC (CVE-2013-2018)
Gravedad:
Alta

Publication date: 19/02/2020
Last modified:
21/02/2020
Descripción:
Múltiples vulnerabilidades de inyección SQL en BOINC, permiten a atacantes remotos ejecutar comandos SQL arbitrarios por medio de vectores no especificados.
Vulnerabilidad en el parámetro "passwordreset&token" en Yeager CMS (CVE-2015-7567)
Gravedad:
Alta

Publication date: 18/02/2020
Last modified:
21/02/2020
Descripción:
Una vulnerabilidad de inyección SQL en Yeager CMS versión 1.2.1, permite a atacantes remotos ejecutar comandos SQL arbitrarios por medio del parámetro "passwordreset&token".
Vulnerabilidad en WebSeal con Autenticación Básica en IBM Maximo Asset Management (CVE-2013-3323)
Gravedad:
Media

Publication date: 18/02/2020
Last modified:
21/02/2020
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en IBM Maximo Asset Management versiones 7.5, 7.1 y 6.2, cuando WebSeal con Autenticación Básica es usado, debido a un fallo al invalidar la sesión de autenticación, lo que podría permitir a un usuario malicioso obtener acceso no autorizado.
Vulnerabilidad en el módulo de carga en una cuenta Salesman en PrestaShop (CVE-2013-6295)
Gravedad:
Alta

Publication date: 18/02/2020
Last modified:
21/02/2020
Descripción:
PrestaShop versión 1.5.5, es vulnerable a una escalada de privilegios por medio de una cuenta Salesman mediante un módulo de carga.
Vulnerabilidad en WordPress Portable phpMyAdmin Plugin (CVE-2013-4454)
Gravedad:
Media

Publication date: 18/02/2020
Last modified:
21/02/2020
Descripción:
WordPress Portable phpMyAdmin Plugin versión 1.4.1, presenta Múltiples Vulnerabilidades de Omisión de Seguridad
Vulnerabilidad en la entrada externa de los usuarios en GaussDB 200 (CVE-2020-1790)
Gravedad:
Media

Publication date: 18/02/2020
Last modified:
21/02/2020
Descripción:
GaussDB 200 con la versión 6.5.1, presenta una vulnerabilidad de inyección de comando. El software construye parte de un comando usando la entrada externa de los usuarios, pero el software no comprueba suficientemente la entrada del usuario. Una explotación con éxito podría permitir a un atacante inyectar ciertos comandos.
Vulnerabilidad en los teléfonos móviles Huawei Ever-L29B, HUAWEI Mate 20 RS, HUAWEI Mate 20 X y Honor Magic2 (CVE-2020-1882)
Gravedad:
Baja

Publication date: 17/02/2020
Last modified:
21/02/2020
Descripción:
Los teléfonos móviles Huawei Ever-L29B versiones anteriores a 10.0.0.180(C185E6R3P3), anteriores a 10.0.0.180(C432E6R1P7), anteriores a 10.0.0.180(C636E5R2P3); HUAWEI Mate 20 RS versiones anteriores a 10.0.0.175(C786E70R3P8); HUAWEI Mate 20 X versiones anteriores a 10.0.0.176(C00E70R2P8); y Honor Magic2 versiones anteriores a 10.0.0.175(C00E59R2P11), presentan una vulnerabilidad de autorización inapropiada. Debido a una autorización inapropiada de alguna función, un atacante puede omitir la autorización para llevar a cabo algunas operaciones.
Vulnerabilidad en una imagen PSD en la función WritePSDImage en el archivo coders/psd.c en ImageMagick (CVE-2014-1947)
Gravedad:
Media

Publication date: 17/02/2020
Last modified:
21/02/2020
Descripción:
Un desbordamiento del búfer en la región heap de la memoria en la función WritePSDImage en el archivo coders/psd.c en ImageMagick versiones 6.5.4 y anteriores, permite a atacantes remotos causar una denegación de servicio (bloqueo) y posiblemente ejecutar código arbitrario por medio de un gran número de capas en una imagen PSD, involucrando la cadena L%02ld, una vulnerabilidad diferente de CVE-2014-2030.
Vulnerabilidad en una respuesta HTTP en una plantilla de mensaje de excepción de Python en el servidor Identity Provider (IdP) en Ipsilon (CVE-2015-5216)
Gravedad:
Media

Publication date: 17/02/2020
Last modified:
21/02/2020
Descripción:
El servidor Identity Provider (IdP) en Ipsilon versiones 0.1.0 anteriores a 1.0.1, no escapa apropiadamente de determinados caracteres en una plantilla de mensaje de excepción de Python, lo que facilita a atacantes remotos llevar a cabo ataques de tipo cross-site scripting (XSS) por medio de una respuesta HTTP.
Vulnerabilidad en GitLab Enterprise Edition (CVE-2020-8795)
Gravedad:
Media

Publication date: 17/02/2020
Last modified:
21/02/2020
Descripción:
En GitLab Enterprise Edition (EE) versiones 12.5.0 hasta 12.7.5, compartir un grupo con un grupo podría otorgar acceso al proyecto a usuarios no autorizados.