Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en vectores no especificados en OpenBlocks IoT VX2 (CVE-2020-5536)
Gravedad:
MediaMedia
Publication date: 03/03/2020
Last modified:
05/03/2020
Descripción:
OpenBlocks IoT VX2 versiones anteriores a Ver.4.0.0 (Serie de versiones Ver.3), permite a un atacante en el mismo segmento de red omitir la autenticación e inicializar el dispositivo por medio de vectores no especificados.
Vulnerabilidad en archivos propiedad de root en ESET Cyber Security en macOS (CVE-2019-19792)
Gravedad:
AltaAlta
Publication date: 03/03/2020
Last modified:
06/03/2020
Descripción:
Un problema de permisos en ESET Cyber Security versiones anteriores a 6.8.300.0 para macOS, permite a un atacante local escalar privilegios al añadir datos en archivos propiedad de root.
Vulnerabilidad en el analizador de bencoding en los diccionarios bencoded anidados en BitTorrent uTorrent (CVE-2020-8437)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
21/07/2021
Descripción:
El analizador de bencoding en BitTorrent uTorrent versiones hasta 3.5.5 (build 45505) analiza inapropiadamente los diccionarios bencoded anidados lo que permite a un atacante remoto causar una denegación de servicio.
Vulnerabilidad en longitud de clave en la implementación de la clave de 128 bits de SRTP en los teléfonos SIP Mitel de la serie 6800 y 6900 (CVE-2019-18863)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
21/07/2021
Descripción:
Una vulnerabilidad de longitud de clave en la implementación de la clave de 128 bits de SRTP en los teléfonos SIP Mitel de la serie 6800 y 6900, versiones anteriores a 5.1.0.2051 SP2, podría permitir a un atacante iniciar un ataque de tipo man-in-the-middle cuando SRTP es usado en una llamada. Una explotación con éxito puede permitir a un atacante interceptar información confidencial.
Vulnerabilidad en el archivo de contraseñas almacenadas en Thunderbird (CVE-2020-6794)
Gravedad:
MediaMedia
Publication date: 02/03/2020
Last modified:
21/07/2021
Descripción:
Si un usuario ha guardado las contraseñas antes de Thunderbird versión 60 y luego más tarde estableció una contraseña maestra, una copia no cifrada de estas contraseñas aún son accesibles. Esto es debido a que el archivo de contraseñas almacenadas más antiguo no fue eliminado cuando los datos fueron copiados a un nuevo formato a partir de Thunderbird versión 60. La nueva contraseña maestra es agregada sólo en el nuevo archivo. Esto podría permitir la exposición de los datos de las contraseñas almacenadas fuera de las expectativas del usuario. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.5.
Vulnerabilidad en el archivo quickweb.exe en un parámetro host o domain en Pablo Quick 'n Easy Web Server (CVE-2019-19943)
Gravedad:
MediaMedia
Publication date: 28/02/2020
Last modified:
21/07/2021
Descripción:
El servicio HTTP en el archivo quickweb.exe en Pablo Quick 'n Easy Web Server versión 3.3.8, permite una Corrupción de Memoria de la Pila No Autenticada Remota por medio de un parámetro host o domain de gran tamaño. Puede ser posible lograr una ejecución de código remota debido a una doble liberación.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la opción ftps-extensions en la FTP ALG en los servicios SRX en el servidor FTPS (CVE-2015-5361)
Gravedad:
MediaMedia
Publication date: 28/02/2020
Last modified:
14/09/2021
Descripción:
Background por lo regular en, el trafico FTP no cifrado, la FTP ALG puede inspeccionar el canal de control no cifrado y abrir sesiones relacionadas para el canal de datos FTP. Estas sesiones relacionadas (puertas) son específicas para las IPs de origen y destino y los puertos del cliente y del servidor. La intención del diseño de la opción ftps-extensions (que está desactivada por defecto) es proporcionar una funcionalidad similar cuando el SRX asegura el cliente FTP/FTPS. Como el canal de control está cifrado, el ALG de FTP no puede inspeccionar la información específica del puerto y abrirá un canal de datos TCP más amplio (puerta) desde la IP del cliente a la IP del servidor en todos los puertos TCP de destino. En entornos de clientes FTP/FTPS a una red empresarial o a Internet, este es el comportamiento deseado, ya que permite escribir la política del cortafuegos a los servidores FTP/FTPS en puertos de control conocidos sin utilizar una política con IP de destino ANY y puerto de destino ANY. Problema La opción ftps-extensions no está pensada ni se recomienda cuando el SRX protege el servidor FTPS, ya que la sesión de canal de datos amplio (puerta) permitirá al cliente FTPS acceder temporalmente a todos los puertos TCP del servidor FTPS. La sesión de datos está asociada al canal de control y se cerrará cuando se cierre la sesión del canal de control. Dependiendo de la configuración del servidor FTPS, del balanceador de carga que lo soporte y de los valores de tiempo de espera de inactividad del SRX, el servidor/balanceador de carga y el SRX pueden mantener el canal de control abierto durante un periodo de tiempo prolongado, permitiendo el acceso de un cliente FTPS durante un periodo igual. Nota la opción ftps-extensions no está habilitada por defecto.