Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las páginas web /vam/vam_anagraphic.php, /vam/vam_vamuser.php, /common/vamp_main.php, y /wiz/change_password.php en Selesta Visual Access Manager (VAM) (CVE-2019-19991)
Gravedad:
BajaBaja
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Múltiples vulnerabilidades de tipo Cross-site scripting (XSS) Reflejado, permiten a usuarios autentificados remotos inyectar script web o HTML arbitrario por medio de las páginas web /vam/vam_anagraphic.php, /vam/vam_vamuser.php, /common/vamp_main.php, y /wiz/change_password.php.
Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2019-4726)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
12/03/2020
Descripción:
IBM Sterling B2B Integrator Standard Edition versiones 5.2.0.0 hasta 5.2.6.5, es vulnerable a un ataque de tipo cross-site request forgery, que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas desde un usuario que el sitio web confía. IBM X-Force ID: 172363.
Vulnerabilidad en sentencias SQL en IBM Sterling B2B Integrator Standard Edition (CVE-2019-4598)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
IBM Sterling B2B Integrator Standard Edition versiones 5.2.0.0 hasta 5.2.6.5, es vulnerable a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, que podrían permitir al atacante visualizar, agregar, modificar o eliminar información en la base de datos del back-end. IBM X-Force ID: 167881.
Vulnerabilidad en sentencias SQL en IBM Sterling B2B Integrator Standard Edition (CVE-2019-4597)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
IBM Sterling B2B Integrator Standard Edition versiones 5.2.0.0 hasta 5.2.6.5, es vulnerable a una inyección SQL. Un atacante remoto podría enviar sentencias SQL especialmente diseñadas, que podrían permitir a un atacante visualizar, agregar, modificar o eliminar información en la base de datos del back-end. IBM X-Force ID: 167880.
Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2019-4596)
Gravedad:
BajaBaja
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
IBM Sterling B2B Integrator Standard Edition versiones 5.2.0.0 hasta 5.2.6.5, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 167879.
Vulnerabilidad en IBM WebSphere Service Registry and Repository (CVE-2019-4537)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
24/08/2020
Descripción:
IBM WebSphere Service Registry and Repository versión 8.5, podría permitir a un usuario obtener información confidencial de la versión que podría ser usada en futuros ataques contra el sistema. IBM X-Force ID: 165593.
Vulnerabilidad en el archivo /common/vam_monitor_sap.php de la página PHP Web en Selesta Visual Access Manager (VAM) (CVE-2019-19994)
Gravedad:
AltaAlta
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Permite una Inyección de Comandos ciega. Un atacante sin autenticación es capaz de ejecutar un comando arbitrario de sistema operativo al inyectar el parámetro vulnerable en el archivo /common/vam_monitor_sap.php de la página PHP Web
Vulnerabilidad en mensajes de error en Selesta Visual Access Manager (VAM) (CVE-2019-19993)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Se detectaron varias vulnerabilidades de divulgación de ruta completa. Un usuario, incluso sin autenticación, puede simplemente enviar contenido arbitrario a las páginas vulnerables para generar mensajes de error que exponen algunas rutas completas.
Vulnerabilidad en la interfaz web en el archivo /common/vam_editXml.php en Selesta Visual Access Manager (VAM) (CVE-2019-19992)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Un usuario con credenciales validas es capaz de leer archivos XML en el sistema de archivos por medio de la interfaz web. El archivo /common/vam_editXml.php de la página PHP no comprueba el parámetro que identifica el nombre del archivo a ser leído. Por lo tanto, un atacante puede manipular el nombre del archivo para acceder a un archivo potencialmente confidencial dentro del sistema de archivos.
Vulnerabilidad en las páginas web /monitor/s_headmodel.php y /vam/vam_user.php en Selesta Visual Access Manager (VAM). (CVE-2019-19990) (CVE-2019-19990)
Gravedad:
BajaBaja
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Múltiples vulnerabilidades de tipo cross-site scripting (XSS) Almacenado, permiten a usuarios autentificados remotos inyectar script web o HTML arbitrario por medio de las páginas web /monitor/s_headmodel.php y /vam/vam_user.php.
Vulnerabilidad en páginas PHP y otro tipo de archivos en Selesta Visual Access Manager (VAM). (CVE-2019-19989) (CVE-2019-19989)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Varias páginas PHP, y otro tipo de archivos, son alcanzables por cualquier usuario sin comprobar su identidad y autorización.
Vulnerabilidad en el archivo /common/vam_editXml.php en la interfaz web en Selesta Visual Access Manager (VAM) (CVE-2019-19988)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Un usuario con credenciales validas es capaz de crear y escribir archivos XML en el sistema de archivos por medio del archivo /common/vam_editXml.php en la interfaz web. La página PHP vulnerable no comprueba ninguno de estos: el parámetro que identifica el nombre del archivo a ser creado, la ruta de destino o la extensión. Así, un atacante puede manipular el nombre de archivo para crear cualquier tipo de archivo dentro del sistema de archivos con contenido arbitrario.
Vulnerabilidad en Selesta Visual Access Manager (VAM) (CVE-2019-19987)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Permite un ataque de tipo Cross-Site Request Forgery (CSRF) en cualquier formulario HTML. Un atacante puede explotar la vulnerabilidad para violar funcionalidades tales como cambiar la contraseña, agregar un usuario, agregar un privilegio, etc.
Vulnerabilidad en el archivo /tools/VamPersonPhoto.php en el persoid del parámetro HTTP (POST o GET) en Selesta Visual Access Manager (VAM) (CVE-2019-19986)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Selesta Visual Access Manager (VAM) versiones 4.15.0 hasta 4.29. Un atacante sin autenticación es capaz de ejecutar sentencias SQL SELECT arbitrarias al inyectar el persoid del parámetro HTTP (POST o GET) al archivo /tools/VamPersonPhoto.php. El tipo de Inyección SQL está basado en Errores (esto significa que se basa en mensajes de error lanzados por el servidor de la base de datos para obtener información sobre la estructura de la base de datos).
Vulnerabilidad en el campo Source o Destination de la página Configuration Manager en Fiserv Accurate Reconciliation (CVE-2020-8951)
Gravedad:
BajaBaja
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Fiserv Accurate Reconciliation versión 2.19.0, permite un ataque de tipo XSS por medio del campo Source o Destination de la página Configuration Manager (Configuration Parameter Translation).
Vulnerabilidad en el archivo logout.jsp en el parámetro timeOut en Fiserv Accurate Reconciliation (CVE-2020-8952)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
Fiserv Accurate Reconciliation versión 2.19.0, permite un ataque de tipo XSS mediante el parámetro timeOut del archivo logout.jsp.
Vulnerabilidad en el archivo views/dashboard/index.php en el parámetro p en el plugin Hero Maps Premium para WordPress (CVE-2019-19134)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
El plugin Hero Maps Premium versiones 2.2.1 y anteriores para WordPress, es propenso a un ataque de tipo XSS no autenticado por medio del parámetro p del archivo views/dashboard/index.php porque no sanea suficientemente la entrada suministrada por el usuario. Un atacante puede aprovechar este problema para inyectar HTML o JavaScript arbitrario dentro del navegador de un usuario desprevenido en el contexto del sitio afectado. Esto puede permitir al atacante robar tokens basados en cookies o iniciar otros ataques.
Vulnerabilidad en una petición GET en GolfBuddy Course Manager (CVE-2020-9337)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
27/02/2020
Descripción:
En GolfBuddy Course Manager versión 1.1, las contraseñas son enviadas (con codificación base64) por medio de una petición GET.
Vulnerabilidad en la Función de Cambio de Contraseña en MIELE XGW 3000 ZigBee Gateway (CVE-2019-20481)
Gravedad:
MediaMedia
Publication date: 24/02/2020
Last modified:
24/08/2020
Descripción:
En MIELE XGW 3000 ZigBee Gateway versiones anteriores a 2.4.0, la Función de Cambio de Contraseña no requiere conocimiento de la contraseña antigua. Esto puede ser explotado conjuntamente con CVE-2019-20480.
Vulnerabilidad en un sitio web o un correo en el "admin panel" en MIELE XGW 3000 ZigBee Gateway (CVE-2019-20480)
Gravedad:
MediaMedia
Publication date: 24/02/2020
Last modified:
27/02/2020
Descripción:
En MIELE XGW 3000 ZigBee Gateway versiones anteriores a 2.4.0, un sitio web malicioso visitado por parte de un usuario administrador autenticado o un correo malicioso al que se le permite hacer cambios arbitrarios en el "admin panel" porque no existe protección de CSRF.
Vulnerabilidad en el campo contact_autologin_key en la base de datos en Centreon Web (CVE-2019-15299)
Gravedad:
MediaMedia
Publication date: 24/02/2020
Last modified:
27/02/2020
Descripción:
Se detectó un problema en Centreon Web versiones hasta 19.04.3. Cuando un usuario cambia su contraseña sobre su página de perfil, el campo contact_autologin_key en la base de datos pasa a blanco cuando debería ser NULL. Esto hace posible una omisión de autenticación parcialmente.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: