Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el plugin Modula Image Gallery para WordPress (CVE-2020-9003)
Gravedad:
BajaBaja
Publication date: 20/02/2020
Last modified:
24/02/2020
Descripción:
Se presenta una vulnerabilidad de tipo XSS almacenado en el plugin Modula Image Gallery versiones anteriores a 2.2.5 para WordPress. Una explotación con éxito de esta vulnerabilidad permitiría a un usuario poco privilegiado autenticado inyectar código JavaScript arbitrario que es visualizado por otros usuarios.
Vulnerabilidad en Western Digital My Cloud Home e ibi (CVE-2020-8990)
Gravedad:
MediaMedia
Publication date: 20/02/2020
Last modified:
24/02/2020
Descripción:
Western Digital My Cloud Home versiones anteriores a 3.6.0 e ibi versiones anteriores a 3.6.0, permiten una Fijación de Sesión.
Vulnerabilidad en Adobe After Effects (CVE-2020-3765)
Gravedad:
AltaAlta
Publication date: 20/02/2020
Last modified:
24/02/2020
Descripción:
Adobe After Effects versiones anteriores a 16.1.2, presentan una vulnerabilidad de escritura fuera de límites. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en Adobe Media Encoder (CVE-2020-3764)
Gravedad:
AltaAlta
Publication date: 20/02/2020
Last modified:
24/03/2020
Descripción:
Adobe Media Encoder versiones anteriores a 14.0, presenta una vulnerabilidad de escritura fuera de límites. Una explotación con éxito podría conllevar a una ejecución de código arbitrario.
Vulnerabilidad en el parámetro link, logo.link, o aboutlink, o en un nombre de esquema de URI anidado en javascript, asfunction o vbscript en LongTail Video JW Player (CVE-2012-3351)
Gravedad:
MediaMedia
Publication date: 20/02/2020
Last modified:
24/02/2020
Descripción:
Múltiples vulnerabilidades de tipo cross-site scripting (XSS) en LongTail Video JW Player versiones hasta 5.10.2295, permite a atacantes remotos inyectar script web o HTML arbitrario, por medio del parámetro (1) link, (2) logo.link, o (3) aboutlink, o un nombre de esquema de URI anidado en (4) javascript, (5) asfunction o (6) vbscript.
Vulnerabilidad en comprobación de firma en el componente upgrade de Cisco Enterprise NFV Infrastructure Software (NFVIS) (CVE-2020-3138)
Gravedad:
AltaAlta
Publication date: 19/02/2020
Last modified:
24/02/2020
Descripción:
Una vulnerabilidad en el componente upgrade de Cisco Enterprise NFV Infrastructure Software (NFVIS), podría permitir a un atacante local autenticado instalar un archivo malicioso durante la actualización. La vulnerabilidad es debido a una comprobación de firma insuficiente. Un atacante podría explotar esta vulnerabilidad al proporcionar un archivo de actualización diseñado. Una explotación con éxito podría permitir al atacante cargar código diseñado hacia el dispositivo afectado.
Vulnerabilidad en una extensión del filtro de terceros en la función add_post_var en el componente Posthandler en PHP (CVE-2014-3622)
Gravedad:
MediaMedia
Publication date: 19/02/2020
Last modified:
24/02/2020
Descripción:
Una vulnerabilidad de uso de la memoria previamente liberada en la función add_post_var en el componente Posthandler en PHP versiones 5.6.x anteriores a 5.6.1, podría permitir a atacantes remotos ejecutar código arbitrario al aprovechar una extensión del filtro de terceros que accede a un determinado valor de ksep.
Vulnerabilidad en WebEx zimlet con zimlet JSP habilitado en Zimbra Collaboration Suite (ZCS) (CVE-2020-7796)
Gravedad:
MediaMedia
Publication date: 18/02/2020
Last modified:
24/02/2020
Descripción:
Zimbra Collaboration Suite (ZCS) versiones anteriores a 8.8.15 Patch 7, permite un ataque de tipo SSRF cuando WebEx zimlet es instalado y zimlet JSP está habilitado.
Vulnerabilidad en variables de plantilla en la configuración predeterminada del motor de plantillas Jinja usado en el servidor Identity Provider (IdP) en Ipsilon (CVE-2015-5215)
Gravedad:
MediaMedia
Publication date: 17/02/2020
Last modified:
24/02/2020
Descripción:
** EN DISPUTA ** La configuración predeterminada del motor de plantillas Jinja usado en el servidor Identity Provider (IdP) en Ipsilon 0.1.0 versiones anteriores a 1.0.1, no permite el escape automático, lo que facilita a atacantes remotos llevar a cabo ataques de tipo cross-site scripting (XSS) por medio de variables de plantilla. NOTA: Esto puede ser un duplicado de CVE-2015-5216. Adicionalmente, el equipo de desarrollo de Jinja no habilita el autoescape por defecto por problemas de rendimiento como se explica en https://jinja.palletsprojects.com/en/master/faq/#why-is-autoescaping-not-the-default.
Vulnerabilidad en cuentas de usuario shell y FTP en los dispositivos Xerox ColorQube y WorkCenter (CVE-2013-6362)
Gravedad:
MediaMedia
Publication date: 13/02/2020
Last modified:
24/02/2020
Descripción:
Los dispositivos Xerox ColorQube y WorkCenter en 2013, poseía cuentas de usuario shell y FTP embebidas.
Vulnerabilidad en un archivo flash en el parámetro allowScriptAccess en Telligent Community (CVE-2012-1903)
Gravedad:
BajaBaja
Publication date: 13/02/2020
Last modified:
24/02/2020
Descripción:
Una vulnerabilidad de tipo XSS en Telligent Community versión 5.6.583.20496, por medio de un archivo flash y relacionado con el parámetro allowScriptAccess.
Vulnerabilidad en el archivo UpdateFieldJson.jspa en JIRA y GreenHopper (CVE-2012-1500)
Gravedad:
BajaBaja
Publication date: 13/02/2020
Last modified:
24/02/2020
Descripción:
Una vulnerabilidad de tipo XSS almacenado del archivo UpdateFieldJson.jspa en JIRA versión 4.4.3 y GreenHopper versiones anteriores a 5.9.8, permite a un atacante inyectar código de script arbitrario.
Vulnerabilidad en determinados valores seguros en los documentos en IBM UrbanCode Deploy (UCD) e IBM UrbanCode (CVE-2019-4666)
Gravedad:
BajaBaja
Publication date: 13/02/2020
Last modified:
24/08/2020
Descripción:
IBM UrbanCode Deploy (UCD) versión 7.0.3 e IBM UrbanCode Build versión 6.1.5, podrían permitir a un usuario local obtener información confidencial al desenmascarar determinados valores seguros en los documentos. ID de IBM X-Force: 171248.
Vulnerabilidad en Mambo CMS (CVE-2011-2499)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
24/02/2020
Descripción:
Mambo CMS versiones hasta 4.6.5, presenta múltiples vulnerabilidades de tipo XSS.
Vulnerabilidad en Tube Map Live Underground para Android (CVE-2013-6681)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
24/02/2020
Descripción:
Tube Map Live Underground para Android versiones anteriores a 3.0.22, presenta una vulnerabilidad de divulgación de información.
Vulnerabilidad en el archivo RAPR/WebSettingsGeneralSet.html en Web Settings de Web File Manager en Rumpus FTP (CVE-2019-19664)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
24/02/2020
Descripción:
Se presenta una vulnerabilidad de tipo CSRF en Web Settings de Web File Manager en Rumpus FTP versión 8.2.9.1. La explotación de esta vulnerabilidad puede resultar en la manipulación de la configuración de Server Web en el archivo RAPR/WebSettingsGeneralSet.html.
Vulnerabilidad en el archivo RAPR/TriggerServerFunction.html en la funcionalidad Create/Delete Accounts de Web File Manager de Rumpus FTP Server (CVE-2019-19662)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
24/02/2020
Descripción:
Se presenta una vulnerabilidad de tipo CSRF en la funcionalidad Create/Delete Accounts de Web File Manager de Rumpus FTP Server versión 8.2.9.1. Mediante su explotación, un atacante puede Crear y Eliminar cuentas por medio del archivo RAPR/TriggerServerFunction.html.
Vulnerabilidad en el plugin wp-cleanfix de WordPress (CVE-2013-2109)
Gravedad:
MediaMedia
Publication date: 10/02/2020
Last modified:
24/02/2020
Descripción:
El plugin wp-cleanfix de WordPress, presenta una Ejecución de Código Remota.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los permisos de "access resource node" y "create page content" en el módulo RESTful Web Services (restws) para Drupal (CVE-2013-4225)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
27/02/2020
Descripción:
El módulo RESTful Web Services (restws) versiones 7.x-1.x anteriores a 7.x-1.4 y versiones 7.x-2.x anteriores a 7.x-2.1 para Drupal, no restringe apropiadamente el acceso a las operaciones de escritura de entidades, lo que facilita a usuarios autenticados remotos con los permisos de "access resource node" y "create page content" (o equivalentes) conducir un ataque de tipo cross-site scripting (XSS) o ejecutar código PHP arbitrario por medio de un campo de texto diseñado.
Vulnerabilidad en las funciones transfer, transferFrom y mint de PFGc (CVE-2018-13328)
Gravedad:
MediaMedia
Publication date: 05/07/2018
Last modified:
24/02/2020
Descripción:
Las funciones transfer, transferFrom y mint de una implementación de contrato inteligente para PFGc, un token de Ethereum, tienen un desbordamiento de enteros.
Vulnerabilidad en CCindex10 (CVE-2018-13071)
Gravedad:
MediaMedia
Publication date: 02/07/2018
Last modified:
24/02/2020
Descripción:
La función mintToken de una implementación de contrato inteligente para CCindex10 (T10), un token de Ethereum, tiene un desbordamiento de enteros que permite al propietario del contrato establecer cualquier valor para el balance de un usuario arbitrario.