Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el campo location del archivo vdms/ipmapping.jsp (CVE-2020-10372)
Gravedad:
BajaBaja
Publication date: 10/03/2020
Last modified:
12/03/2020
Descripción:
Ramp AltitudeCDN Altimeter versiones anteriores a la versión 2.4.0, permite un ataque de tipo XSS Almacenado autenticado por medio de l campo location del archivo vdms/ipmapping.jsp en el URI dms/rest/services/datastore/createOrEditValueForKey.
Vulnerabilidad en SAP Solution Manager (Diagnostics Agent). (CVE-2020-6198)
Gravedad:
AltaAlta
Publication date: 10/03/2020
Last modified:
12/03/2020
Descripción:
SAP Solution Manager (Diagnostics Agent), versión 720, permite conexiones no cifradas de fuentes no autenticadas. Esto permite a un atacante controlar todas las funciones remotas en el Agente debido a una Falta de Comprobación de Autenticación.
Vulnerabilidad en comprobación de autorización en la vista FIMENAV_COMPCERT en SAP ERP (CVE-2020-6199)
Gravedad:
MediaMedia
Publication date: 10/03/2020
Last modified:
12/03/2020
Descripción:
La vista FIMENAV_COMPCERT en SAP ERP (MENA Certificate Management), EAPPGLO versión 607, SAP_FIN versiones 618, 730 y SAP S/4HANA (MENA Certificate Management), S4CORE versiones 100, 101, 102, 103, 104; no tiene ninguna comprobación de autorización debido a que un atacante sin un grupo de autorización puede mantener cualquier certificado de la compañía, conllevando a una Falta de Comprobación de Autorización.
Vulnerabilidad en comprobación de la información de la ruta en SAP NetWeaver UDDI Server (CVE-2020-6203)
Gravedad:
MediaMedia
Publication date: 10/03/2020
Last modified:
12/03/2020
Descripción:
SAP NetWeaver UDDI Server (Services Registry), versiones 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50; permite a un atacante explotar la comprobación insuficiente de la información de la ruta proporcionada por los usuarios, así, los caracteres que representan "traverse to parent directory" son pasados a las API de archivo, conllevando a un Salto de Ruta.
Vulnerabilidad en la consulta de selección en SAP Treasury and Risk Management (Transaction Management). (CVE-2020-6204)
Gravedad:
MediaMedia
Publication date: 10/03/2020
Last modified:
12/03/2020
Descripción:
La consulta de selección en SAP Treasury and Risk Management (Transaction Management) (EA-FINSERV versiones 600, 603, 604, 605, 606, 616, 617, 618, 800 y S4CORE versiones 101, 102, 103, 104), devuelve más registros de los que deberían ser cuando selecciona y despliega el número de contrato, conllevando a una Falta de Comprobación de Autorización.
Vulnerabilidad en Citrix SD-WAN Center y NetScaler SD-WAN Center. (CVE-2019-11345)
Gravedad:
MediaMedia
Publication date: 10/03/2020
Last modified:
12/03/2020
Descripción:
Citrix SD-WAN Center versiones 10.2.x anteriores a la versión 10.2.1 y NetScaler SD-WAN Center versiones 10.0.x anteriores a la versión 10.0.7, permiten un ataque de tipo XSS.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Spring Cloud Config (CVE-2019-3799)
Gravedad:
MediaMedia
Publication date: 06/05/2019
Last modified:
12/03/2020
Descripción:
Spring Cloud Config, versiones 2.1.x anteriores a 2.1.2, versiones 2.0.x anteriores a 2.0.4, versiones 1.4.x anteriores a 1.4.6, y versiones anteriores no compatibles, permiten que aplicaciones entreguen archivos de configuración arbitrarios por medio del Módulo spring-cloud-config-server. Un usuario malicioso, o un atacante, puede enviar una petición usando una URL especialmente creada que puede provocar un ataque transversal a un directorio.
Vulnerabilidad en SugarCRM Community Edition (CVE-2018-17784)
Gravedad:
MediaMedia
Publication date: 10/10/2018
Last modified:
13/03/2020
Descripción:
Múltiples vulnerabilidades en YUI y FlashCanvas, embebidos en SugarCRM Community Edition 6.5.26 podrían permitir que un atacante remoto sin autenticar lleve a cabo un ataque Cross-Site Scripting (XSS) en un sistema objetivo.
Vulnerabilidad en Heketi (CVE-2017-15104)
Gravedad:
BajaBaja
Publication date: 18/12/2017
Last modified:
12/03/2020
Descripción:
Se ha detectado una vulnerabilidad de acceso en Heketi 5, donde el archivo de configuración heketi.json puede ser leído por cualquier usuario. Un atacante que tenga acceso local al servidor Heketi podría leer contraseñas en texto plano del archivo heketi.json.