Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo admin/save-settings.php en cualquier parámetro POST en la configuración global en Chadha PHPKB Standard Multi-Language (CVE-2020-10389)
Gravedad:
MediaMedia
Publication date: 12/03/2020
Last modified:
16/03/2020
Descripción:
El archivo admin/save-settings.php en Chadha PHPKB Standard Multi-Language versión 9, permite a atacantes remotos lograr una Ejecución de Código mediante la inyección de un código PHP en cualquier parámetro POST cuando se guarda la configuración global.
Vulnerabilidad en el archivo admin/manage-tickets.php en ordenamiento del parámetro GET en Chadha PHPKB Standard Multi-Language (CVE-2020-10475)
Gravedad:
BajaBaja
Publication date: 12/03/2020
Last modified:
26/03/2020
Descripción:
Una vulnerabilidad de tipo XSS reflejado en el archivo admin/manage-tickets.php en Chadha PHPKB Standard Multi-Language versión 9, permite a atacantes inyectar script web o HTML arbitrario por medio del ordenamiento del parámetro GET.
Vulnerabilidad en un certificado embebido en los servicios basados ??en web en diversos dispositivos PHOENIX CONTACT TC (CVE-2020-9435)
Gravedad:
MediaMedia
Publication date: 12/03/2020
Last modified:
16/03/2020
Descripción:
PHOENIX CONTACT TC ROUTER 3002T-4G versiones hasta 2.05.3, TC ROUTER 2002T-3G versiones hasta 2.05.3, TC ROUTER 3002T-4G VZW versiones hasta 2.05.3, TC ROUTER 3002T-4G ATT versiones hasta 2.05.3, TC CLOUD CLIENTE 1002-4G versiones hasta 2.03.17, y los dispositivos TC CLOUD CLIENTE 1002-TXTX versiones hasta 1.03.17, contienen un certificado embebido (y clave) que es usado por defecto para los servicios basados ??en web en el dispositivo. Los ataques de suplantación, de tipo man-in-the-middle o de descifrado pasivo son posibles si el certificado genérico no es reemplazado por un certificado específico del dispositivo durante la instalación.
Vulnerabilidad en una petición POST en una URL en diversos dispositivos PHOENIX CONTACT TC (CVE-2020-9436)
Gravedad:
AltaAlta
Publication date: 12/03/2020
Last modified:
16/03/2020
Descripción:
PHOENIX CONTACT TC ROUTER 3002T-4G versiones hasta 2.05.3, TC ROUTER 2002T-3G versiones hasta 2.05.3, TC ROUTER 3002T-4G VZW versiones hasta 2.05.3, TC ROUTER 3002T-4G ATT versiones hasta 2.05.3, TC CLOUD CLIENTE 1002-4G versiones hasta 2.03.17, y los dispositivos TC CLOUD CLIENTE 1002-TXTX versiones hasta 1.03.17, permiten a usuarios autenticados inyectar comandos del sistema por medio de una petición POST modificada en una URL específica.
Vulnerabilidad en el archivo admin/imagepaster/image-upload.php en el directorio admin/js/ en Chadha PHPKB Standard Multi-Language (CVE-2020-10386)
Gravedad:
MediaMedia
Publication date: 12/03/2020
Last modified:
16/03/2020
Descripción:
El archivo admin/imagepaster/image-upload.php en Chadha PHPKB Standard Multi-Language versión 9, permite a atacantes remotos lograr una Ejecución de Código al cargar un archivo .php en el directorio admin/js/.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Puppet Server y PuppetDB proporcionan información útil de rendimiento y depuración (CVE-2020-7943)
Gravedad:
MediaMedia
Publication date: 11/03/2020
Last modified:
24/03/2020
Descripción:
Puppet Server y PuppetDB proporcionan información útil de rendimiento y depuración a través de sus puntos finales API de métricas. Para PuppetDB esto puede contener cosas como nombres de host. Puppet Server informa los nombres y títulos de los recursos para los tipos definidos (que pueden contener información confidencial), así como los nombres de las funciones y los nombres de las clases. Anteriormente, estos puntos finales estaban abiertos a la red local. PE 2018.1.13 y 2019.5.0, Puppet Server 6.9.2 y 5.3.12 y PuppetDB 6.9.1 y 5.2.13 deshabilitan la API de métricas trapperkeeper-metrics / v1 y solo permiten el acceso / v2 en localhost de forma predeterminada. Esto afecta a las versiones de software: transmisión de Puppet Enterprise 2018.1.x anterior a 2018.1.13 Puppet Enterprise anterior a 2019.5.0 Puppet Server anterior a 6.9.2 Puppet Server anterior a 5.3.12 PuppetDB anterior a 6.9.1 PuppetDB anterior a 5.2.13 resuelto en: Puppet Enterprise 2018.1.13 Puppet Enterprise 2019.5.0 Puppet Server 6.9.2 Puppet Server 5.3.12 PuppetDB 6.9.1 PuppetDB 5.2.13