Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el método de fusión en propiedades de Object.prototype en utilitify (CVE-2019-10808)
Gravedad:
MediaMedia
Publication date: 11/03/2020
Last modified:
13/03/2020
Descripción:
utilitify versiones anteriores a la versión 1.0.3, permite la modificación de las propiedades de objeto. El método de fusión podría ser engañado para agregar o modificar propiedades de Object.prototype.
Vulnerabilidad en "constructor" o "__proto__" en propiedades de Object.prototype en minimist. (CVE-2020-7598)
Gravedad:
MediaMedia
Publication date: 11/03/2020
Last modified:
13/06/2020
Descripción:
minimist versiones anteriores a la versión 1.2.2, podría ser engañado para agregar o modificar propiedades de Object.prototype usando una carga útil de "constructor" o "__proto__".
Vulnerabilidad en el componente de biblioteca Spotfire de TIBCO Spotfire Analytics Platform for AWS Marketplace (CVE-2020-9408)
Gravedad:
AltaAlta
Publication date: 11/03/2020
Last modified:
13/03/2020
Descripción:
El componente de biblioteca Spotfire de TIBCO Software Inc.'s TIBCO Spotfire Analytics Platform for AWS Marketplace y TIBCO Spotfire Server, contienen una vulnerabilidad que teóricamente permite a un atacante con permisos de escritura en la Biblioteca Spotfire, pero sin el permiso de grupo "Script Author", modificar atributos de archivos y objetos guardados en la biblioteca de modo que el sistema los trate como seguros. Esto podría permitir a un atacante causar que Spotfire Web Player, Analyst clients y TERR Service ejecuten código arbitrario con los privilegios de la cuenta system que inició esos procesos. Las versiones afectadas son TIBCO Spotfire Analytics Platform for AWS Marketplace: versiones 10.8.0 y por debajo y TIBCO Spotfire Server: versiones 7.11.9 y por debajo, versiones 7.12.0, 7.13.0, 7.14.0, 10.0. 0, 10.0.1, 10.1.0, 10.2.0, 10.3.0, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5 y 10.3.6, versiones 10.4.0, 10.5. 0, 10.6.0, 10.6.1, 10.7.0 y 10.8.0. Todas de TIBCO Software Inc.
Vulnerabilidad en un DTD en una petición XML en Zoho ManageEngine Desktop Central. (CVE-2020-8540)
Gravedad:
AltaAlta
Publication date: 11/03/2020
Last modified:
13/03/2020
Descripción:
Una vulnerabilidad de tipo XML external entity (XXE) en Zoho ManageEngine Desktop Central antes de la actualización del 07-Mar-2020, permite a usuarios no autenticados remotos leer archivos arbitrarios o dirigir ataques de tipo server-side request forgery (SSRF) por medio de un DTD especialmente diseñado en una petición XML.
Vulnerabilidad en plantillas de peticiones de fusión en GitLab Enterprise Edition. (CVE-2019-13011)
Gravedad:
MediaMedia
Publication date: 10/03/2020
Last modified:
24/08/2020
Descripción:
Se detectó un problema en GitLab Enterprise Edition versiones 8.11.0 hasta la versión 12.0.2. Mediante el uso de fuerza bruta, un usuario con acceso a un proyecto, pero no a su repositorio, podría crear una lista de nombres de plantillas de peticiones de fusión. Presenta un complejidad algorítmica excesiva.
Vulnerabilidad en el mecanismo de control de acceso en un dispositivo Western Digital SanDisk X600 (CVE-2019-10705)
Gravedad:
MediaMedia
Publication date: 10/03/2020
Last modified:
13/03/2020
Descripción:
Un dispositivo Western Digital SanDisk X600, en determinadas configuraciones, una vulnerabilidad en el mecanismo de control de acceso de la unidad puede permitir a los datos ser descifrados sin conocimiento de las credenciales de autenticación apropiadas.
Vulnerabilidad en el método de autenticación de la actualización de firmware en los dispositivos Western Digital (CVE-2019-10706)
Gravedad:
MediaMedia
Publication date: 10/03/2020
Last modified:
13/03/2020
Descripción:
Los dispositivos Western Digital SanDisk X300, X300s, X400 y X600: El método de autenticación de la actualización de firmware se basa en un resumen simétrico de HMAC. La clave utilizada para comprobar este resumen está presente en un área protegida del dispositivo y, si es extraída, podría ser usada para instalar un firmware arbitrario en otros dispositivos.
Vulnerabilidad en el algoritmo wear-leveling en los dispositivos Western Digital SanDisk (CVE-2019-11686)
Gravedad:
BajaBaja
Publication date: 10/03/2020
Last modified:
13/03/2020
Descripción:
Los dispositivos Western Digital SanDisk X300, X300s, X400 y X600: Una vulnerabilidad en el algoritmo wear-leveling de la unidad puede causar que los parámetros sensibles criptográficamente (como las claves de cifrado de datos) permanezcan en el medio de la unidad después de su borrado previsto.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: