Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en vectores no especificados en OpenBlocks IoT VX2 (CVE-2020-5536)
Gravedad:
MediaMedia
Publication date: 03/03/2020
Last modified:
05/03/2020
Descripción:
OpenBlocks IoT VX2 versiones anteriores a Ver.4.0.0 (Serie de versiones Ver.3), permite a un atacante en el mismo segmento de red omitir la autenticación e inicializar el dispositivo por medio de vectores no especificados.
Vulnerabilidad en archivos propiedad de root en ESET Cyber Security en macOS (CVE-2019-19792)
Gravedad:
AltaAlta
Publication date: 03/03/2020
Last modified:
06/03/2020
Descripción:
Un problema de permisos en ESET Cyber Security versiones anteriores a 6.8.300.0 para macOS, permite a un atacante local escalar privilegios al añadir datos en archivos propiedad de root.
Vulnerabilidad en el analizador de bencoding en los diccionarios bencoded anidados en BitTorrent uTorrent (CVE-2020-8437)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
30/09/2020
Descripción:
El analizador de bencoding en BitTorrent uTorrent versiones hasta 3.5.5 (build 45505) analiza inapropiadamente los diccionarios bencoded anidados lo que permite a un atacante remoto causar una denegación de servicio.
Vulnerabilidad en longitud de clave en la implementación de la clave de 128 bits de SRTP en los teléfonos SIP Mitel de la serie 6800 y 6900 (CVE-2019-18863)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
05/03/2020
Descripción:
Una vulnerabilidad de longitud de clave en la implementación de la clave de 128 bits de SRTP en los teléfonos SIP Mitel de la serie 6800 y 6900, versiones anteriores a 5.1.0.2051 SP2, podría permitir a un atacante iniciar un ataque de tipo man-in-the-middle cuando SRTP es usado en una llamada. Una explotación con éxito puede permitir a un atacante interceptar información confidencial.
Vulnerabilidad en el archivo de contraseñas almacenadas en Thunderbird (CVE-2020-6794)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
14/03/2020
Descripción:
Si un usuario ha guardado las contraseñas antes de Thunderbird versión 60 y luego más tarde estableció una contraseña maestra, una copia no cifrada de estas contraseñas aún son accesibles. Esto es debido a que el archivo de contraseñas almacenadas más antiguo no fue eliminado cuando los datos fueron copiados a un nuevo formato a partir de Thunderbird versión 60. La nueva contraseña maestra es agregada sólo en el nuevo archivo. Esto podría permitir la exposición de los datos de las contraseñas almacenadas fuera de las expectativas del usuario. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.5.
Vulnerabilidad en el archivo quickweb.exe en un parámetro host o domain en Pablo Quick 'n Easy Web Server (CVE-2019-19943)
Gravedad:
MediaMedia
Publication date: 28/02/2020
Last modified:
05/03/2020
Descripción:
El servicio HTTP en el archivo quickweb.exe en Pablo Quick 'n Easy Web Server versión 3.3.8, permite una Corrupción de Memoria de la Pila No Autenticada Remota por medio de un parámetro host o domain de gran tamaño. Puede ser posible lograr una ejecución de código remota debido a una doble liberación.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la opción ftps-extensions en la FTP ALG en los servicios SRX en el servidor FTPS (CVE-2015-5361)
Gravedad:
MediaMedia
Publication date: 28/02/2020
Last modified:
19/08/2020
Descripción:
Antecedentes para el tráfico FTP no cifrado normal, el FTP ALG puede inspeccionar el canal de control no cifrado y abrir sesiones relacionadas para el canal de datos FTP. Estas sesiones relacionadas (puertas) son específicas de las direcciones IP y los puertos de origen y destino del cliente y el servidor. La intención de diseño de la opción de extensiones ftps (que está deshabilitada de manera predeterminada) es proporcionar una funcionalidad similar cuando el SRX asegura el cliente FTP/FTPS. Como el canal de control está encriptado, el FTP ALG no puede inspeccionar la información específica del puerto y abrirá un canal de datos TCP (puerta) más amplio desde la IP del cliente a la IP del servidor en todos los puertos TCP de destino. En entornos de cliente FTP/FTPS para una red empresarial o Internet, este es el comportamiento deseado, ya que permite que la política de firewall se escriba en servidores FTP/FTPS en puertos de control conocidos sin usar una política con IP de destino CUALQUIERA y puerto de destino CUALQUIERA . Problema La opción ftps-extensiones no está destinada o recomendada cuando el SRX asegura el servidor FTPS, ya que la sesión de canal de datos amplio (puerta) permitirá al cliente FTPS acceso temporal a todos los puertos TCP en el servidor FTPS. La sesión de datos está asociada al canal de control y se cerrará cuando se cierre la sesión del canal de control. Dependiendo de la configuración del servidor FTPS, que admite el equilibrador de carga y los valores de inactividad de SRX, el servidor/equilibrador de carga y SRX pueden mantener el canal de control abierto durante un período prolongado de tiempo, permitiendo que un cliente FTPS acceda por igual duración. Nota la opción ftps-extensions no está habilitada de forma predeterminada.