Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro session en el componente web conferencing de Mitel MiCollab AWV (CVE-2019-19607)
Gravedad:
AltaAlta
Publication date: 02/03/2020
Last modified:
04/03/2020
Descripción:
Una vulnerabilidad de inyección SQL en el componente web conferencing de Mitel MiCollab AWV versiones anteriores a 8.1.2.2, podría permitir un ataque no autenticado debido a una comprobación de entrada insuficiente en el parámetro session. Una explotación con éxito podría permitir a un atacante extraer información confidencial de la base de datos y ejecutar scripts arbitrarios.
Vulnerabilidad en la implementación de WebSocket en Qt (CVE-2018-21035)
Gravedad:
MediaMedia
Publication date: 28/02/2020
Last modified:
24/08/2020
Descripción:
En Qt versiones hasta 5.14.1, la implementación de WebSocket acepta hasta 2GB para tramas y 2GB para mensajes. Los límites más pequeños no pueden ser configurados. Esto hace más fácil para los atacantes causar una denegación de servicio (consumo de memoria)
Vulnerabilidad en el argumento "cmdPrefix" en la función Serial-Number usado por la función "exec" en serial-number (CVE-2019-10804)
Gravedad:
AltaAlta
Publication date: 28/02/2020
Last modified:
24/08/2020
Descripción:
serial-number versiones hasta 1.3.0, permite una ejecución de comandos arbitraria. El argumento "cmdPrefix" en la función Serial-Number es usado por la función "exec" sin ninguna comprobación.
Vulnerabilidad en códigos OBIS en Gurux GXDLMS Director (CVE-2020-8810)
Gravedad:
MediaMedia
Publication date: 25/02/2020
Last modified:
04/03/2020
Descripción:
Se detectó un problema en Gurux GXDLMS Director versiones hasta 8.5.1905.1301. Cuando se descargan códigos OBIS, no verifica que los archivos descargados sean códigos OBIS reales y no comprueba el salto de ruta. Esto permite a un atacante explotar el CVE-2020-8809 al enviar archivos ejecutables y colocarlos en un directorio autorun, o colocar bibliotecas DLL dentro de la instalación existente de GXDLMS Director (correr en la próxima ejecución del GXDLMS Director). Esto puede ser usado para lograr una ejecución de código incluso si el usuario no tiene ningún add-ins instalado.
Vulnerabilidad en JavaScript en la página password.htm en TOTOLINK A3002RU (CVE-2018-13313)
Gravedad:
MediaMedia
Publication date: 24/02/2020
Last modified:
04/03/2020
Descripción:
En TOTOLINK A3002RU versión 1.0.8, el enrutador proporciona una página que permite al usuario cambiar su nombre de cuenta y contraseña. Esta página, password.htm, contiene JavaScript que es utilizado para confirmar que el usuario conozca su contraseña actual antes de permitirle cambiar su contraseña. Sin embargo, este JavaScript contiene la contraseña del usuario actual en texto plano.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: