Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS y watchOS de Apple (CVE-2020-3829)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó una lectura fuera de límites con una verificación de límites mejorada. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1, watchOS versión 6.1.2. Una aplicación puede ser capaz de alcanzar privilegios elevados.
Vulnerabilidad en un sitio web en iOS, iPadOS, tvOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-3862)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
15/03/2020
Descripción:
Se abordó un problema de denegación de servicio con un manejo de memoria mejorado. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, tvOS versión 13.3.1, Safari versión 13.0.5, iTunes para Windows versión 12.10.4, iCloud para Windows versión 11.0, iCloud para Windows versión 7.17. Un sitio web malicioso puede ser capaz de causar una denegación de servicio.
Vulnerabilidad en una aplicación en iOS, iPadOS y watchOS de Apple (CVE-2020-3860)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de corrupción de memoria con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, watchOS versión 6.1.2. Una aplicación puede ejecutar código arbitrario con privilegios kernel.
Vulnerabilidad en una aplicación en iOS y iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-3857)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de corrupción de memoria con un manejo de memoria mejorado. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1, watchOS versión 6.1.2. Una aplicación puede ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una contraseña sin cifrar en iOS, iPadOS y Safari de Apple (CVE-2020-3841)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
El problema se abordó con un manejo de la Interfaz de Usuario mejorado. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, Safari 13.0.5. Un usuario local puede, sin saberlo, enviar una contraseña sin cifrar por medio de la red.
Vulnerabilidad en los archivos de configuración racoon en iOS, iPadOS, macOS Catalina y tvOS de Apple (CVE-2020-3840)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se presentó un problema por un paso en el manejo de los archivos de configuración racoon. Este problema se abordó mediante una comprobación de límites mejorada. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1. Cargar un archivo de configuración racoon diseñado maliciosamente puede conllevar una ejecución de código arbitrario.
Vulnerabilidad en una memoria restringida en macOS Catalina de Apple (CVE-2020-3839)
Gravedad:
BajaBaja
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de comprobación con un saneamiento de entrada mejorado. Este problema es corregido en macOS Catalina versión 10.15.3. Una aplicación puede ser capaz de leer una memoria restringida.
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS y watchOS de Apple (CVE-2020-3838)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
El problema se abordó con una lógica de permisos mejorada. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1, watchOS versión 6.1.2. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios system.
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS y watchOS de Apple (CVE-2020-3837)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de corrupción de memoria con un manejo de memoria mejorado. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1, watchOS versión 6.1.2. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios kernel.
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS y watchOS de Apple (CVE-2020-3836)
Gravedad:
BajaBaja
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de acceso con una administración de la memoria mejorada. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1, watchOS versión 6.1.2. Una aplicación maliciosa puede ser capaz de determinar el diseño de la memoria del kernel.
Vulnerabilidad en una aplicación en watchOS de Apple (CVE-2020-3834)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de corrupción de memoria con una administración de estado mejorada. Este problema es corregido en watchOS versión 6.1.2. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios kernel.
Vulnerabilidad en un sitio web en Safari de Apple (CVE-2020-3833)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de interfaz de usuario incoherente con una administración de estado mejorada. Este problema es corregido en Safari versión 13.0.5. Visitar un sitio web malicioso puede conllevar a una falsificación de la barra de direcciones.
Vulnerabilidad en una aplicación en iOS y iPadOS de Apple (CVE-2020-3831)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó una condición de carrera con un bloqueo mejorado. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios kernel.
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2020-3830)
Gravedad:
BajaBaja
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se presentó un problema de comprobación en el manejo de enlaces simbólicos. Este problema se abordó con una comprobación de enlaces simbólicos mejorada. Este problema es corregido en macOS Catalina versión 10.15.3. Una aplicación maliciosa puede ser capaz de sobrescribir archivos arbitrarios.
Vulnerabilidad en la pantalla de bloqueo en un dispositivo bloqueado de iOS y iPadOS de Apple (CVE-2020-3828)
Gravedad:
BajaBaja
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Un problema de la pantalla de bloqueo permitió el acceso a los contactos sobre un dispositivo bloqueado. Este problema se abordó con una gestión de estado mejorada. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1. Una persona con acceso físico a un dispositivo iOS puede acceder a los contactos desde la pantalla de bloqueo.
Vulnerabilidad en un archivo JPEG en macOS Catalina de Apple (CVE-2020-3827)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó un problema de corrupción de memoria con una comprobación de entrada mejorada. Este problema es corregido en macOS Catalina versión 10.15.3. Visualizar un archivo JPEG diseñado maliciosamente puede conllevar una ejecución de código arbitrario.
Vulnerabilidad en el procesamiento de una imagen diseñada en iOS, iPadOS, macOS Catalina, tvOS, watchOS, iTunes para Windows y iCloud para Windows de Apple (CVE-2020-3826)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
02/03/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1, watchOS versión 6.1.2, iTunes para Windows 12.10.4, iCloud para Windows 11.0, iCloud para Windows 7.17. El procesamiento de una imagen diseñada maliciosamente puede conllevar una ejecución de código arbitrario.
Vulnerabilidad en la entrada del usuario en partes de la Puppet Enterprise Console (CVE-2015-5686)
Gravedad:
MediaMedia
Publication date: 26/02/2020
Last modified:
02/03/2020
Descripción:
Se encontró que partes de la Puppet Enterprise Console versiones 3.x, eran susceptibles a ataques de secuestro de cliqueo y de tipo CSRF (Cross-Site Request Forgery). Esto permitiría a un atacante redireccionar la entrada del usuario hacia un sitio no confiable o secuestrar una sesión de usuario.
Vulnerabilidad en comprobación de autenticación/autorización en todas las aplicaciones opcionales de Drobo 5N2 (CVE-2018-14705)
Gravedad:
AltaAlta
Publication date: 24/02/2020
Last modified:
02/03/2020
Descripción:
En Drobo 5N2 versión 4.0.5, todas las aplicaciones opcionales presentan una carencia de cualquier forma de comprobación de autenticación/autorización. Como resultado, cualquier usuario capaz de acceder al dispositivo por medio de la red, puede interactuar y controlar estas aplicaciones. Esto no solo plantea un grave riesgo para la disponibilidad de estas aplicaciones, sino que también plantea graves riesgos para la confidencialidad e integridad de los datos almacenados dentro de las aplicaciones y del dispositivo en sí.
Vulnerabilidad en el proceso de HTTP PROXY Server en Cisco IOS con Cisco ISR Web Security (CVE-2011-4661)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
02/03/2020
Descripción:
Se presenta una vulnerabilidad de pérdida de memoria en Cisco IOS versiones anteriores a 15.2(1)T, debido a una pérdida de memoria en el proceso de HTTP PROXY Server (también se conoce como CSCtu52820), cuando se configuró con Cisco ISR Web Security con Cisco ScanSafe y User Authenticaiton NTLM configurado.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en apis restful en la base de datos en Kylin (CVE-2020-1937)
Gravedad:
MediaMedia
Publication date: 24/02/2020
Last modified:
15/07/2020
Descripción:
Kylin presenta algunas apis restful que concatenarán los SQL con la cadena de entrada del usuario, es probable que un usuario sea capaz de ejecutar consultas maliciosas de la base de datos.
Vulnerabilidad en comprobación de Encabezado HTTP en Netty en WSO2 transport-http (CVE-2019-10797)
Gravedad:
MediaMedia
Publication date: 19/02/2020
Last modified:
02/03/2020
Descripción:
Netty en WSO2 transport-http versiones anteriores a v6.3.1, es vulnerable a HTTP Response Splitting debido a que una comprobación de Encabezado HTTP es deshabilitada.
Vulnerabilidad en una comprobación de la firma GPG en el contenedor Proglottis Go para la biblioteca GPGME (CVE-2020-8945)
Gravedad:
MediaMedia
Publication date: 12/02/2020
Last modified:
23/07/2020
Descripción:
El contenedor Proglottis Go versiones anteriores a 0.1.1 para la biblioteca GPGME, presenta un uso de la memoria previamente liberada, como es demostrado por el uso para las extracciones de imágenes de contenedores para Docker o CRI-O. Esto conlleva a un bloqueo o posible ejecución de código durante una comprobación de la firma GPG.
Vulnerabilidad en JerryScript (CVE-2017-9250)
Gravedad:
MediaMedia
Publication date: 28/05/2017
Last modified:
02/03/2020
Descripción:
La función lexer_process_char_literal en el archivo jerry-core/parser/js/js-lexer.c en JerryScript versión 1.0, no omite la asignación de memoria para cadenas vacías, lo que permite a los atacantes remotos causar una denegación de servicio (desreferencia del puntero NULL y bloqueo de aplicación) por medio de código fuente JavaScript malformado, relacionado con la función jmem_heap_free_block.
Vulnerabilidad en en Allen Disk (CVE-2017-9091)
Gravedad:
MediaMedia
Publication date: 19/05/2017
Last modified:
02/03/2020
Descripción:
/admin/login.php en Allen Disk 1.6 no comprueba si isset($ _ SESSION ['captcha'] ['code']) == 1, lo que conduce a evitar el CAPTCHA vaciando $ _POST ['captcha'].
Vulnerabilidad en en Allen Disk (CVE-2017-9090)
Gravedad:
MediaMedia
Publication date: 19/05/2017
Last modified:
02/03/2020
Descripción:
Reg.php en Allen Disk 1.6 no comprueba si isset ($ _ SESSION ['captcha'] ['code']) == 1, lo que hace posible pasar por alto el CAPTCHA a través del envío de $ _POST ['captcha'] vacío.
Vulnerabilidad en Allen Disk (CVE-2017-8848)
Gravedad:
MediaMedia
Publication date: 08/05/2017
Last modified:
02/03/2020
Descripción:
Allen Disk 1.6 tiene un CSRF en setpass.php con impacto en el cambio de contraseña.
Vulnerabilidad en Allen Disk (CVE-2017-8832)
Gravedad:
MediaMedia
Publication date: 08/05/2017
Last modified:
02/03/2020
Descripción:
Allen Disk 1.6 tiene un XSS en el parámetro id de downfile.php