Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en kernel de Linux (CVE-2017-9986)
Gravedad:
AltaAlta
Publication date: 28/06/2017
Last modified:
30/06/2017
Descripción:
La función intr en el archivo sound/oss/msnd_pinnacle.c en el kernel de Linux hasta la versión 4.11.7 permite a usuarios locales causar una denegación de servicio (acceso por encima del limite) u otro posible impacto no especificado mediante el cambio del valor del puntero a la cabeza de la cola de mensajes entre la lectura de dicho valor de los dos kernels, también conocida como vulnerabilidad "double fetch".
Vulnerabilidad en kernel de Linux (CVE-2017-9984)
Gravedad:
AltaAlta
Publication date: 28/06/2017
Last modified:
24/08/2018
Descripción:
La función snd_msnd_interrupt en el archivo sound/isa/msnd/msnd_pinnacle.c en el kernel de Linux hasta la versión 4.11.7 permite a los usuarios locales causar una denegación de servicio (acceso por encima del limite) u otro posible impacto no especificado mediante el cambio del valor del puntero a la cabeza de la cola de mensajes entre la lectura de dicho valor de los dos kernels, también conocido como vulnerabilidad "double fetch".
Vulnerabilidad en kernel de Linux (CVE-2017-9985)
Gravedad:
AltaAlta
Publication date: 28/06/2017
Last modified:
24/08/2018
Descripción:
La función snd_msndmidi_input_read en el archivo sound/isa/msnd/msnd_midi.c en el kernel de Linux hasta la versión 4.11.7 permite a los usuarios locales causar una denegación de servicio (acceso por encima del limite) u otro posible impacto no especificado mediante el cambio del valor del puntero a la cabeza de la cola de mensajes entre la lectura de dicho valor de los dos kernels, también conocido como vulnerabilidad "double fetch".
Vulnerabilidad en ManageEngine Firewall Analyzer (CVE-2015-7780)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
Vulnerabilidad salto de directorio en ManageEngine Firewall Analyzer anterior a la versión 8.0.
Vulnerabilidad en ManageEngine Firewall Analyzer (CVE-2015-7781)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
ManageEngine Firewall Analyzer anterior a la versión 8.0 no restringe los permisos de acceso.
Vulnerabilidad en Internet Explorer (CVE-2014-6354)
Gravedad:
AltaAlta
Publication date: 27/06/2017
Last modified:
12/10/2018
Descripción:
Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11 presentan una vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario.
Vulnerabilidad en IBM QRadar (CVE-2016-9738)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
IBM QRadar 7.2 y 7.3 no requiere que los usuarios tengan contraseñas fuertes por defecto, lo que facilita que los atacantes comprometan las cuentas de usuario. IBM X-Force ID: 119783.
Vulnerabilidad en IBM QRadar (CVE-2016-9972)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
IBM QRadar 7.2 y 7.3 podría permitir que un atacante remoto obtenga información sensible, provocado por la imposibilidad de habilitar correctamente HTTP Strict Transport Security. Un atacante podría explotar esta vulnerabilidad para obtener información sensible empleando técnicas man-in-the-Middle (MitM). IBM X-Force ID: 120208.
Vulnerabilidad en IBM Qradar (CVE-2017-1234)
Gravedad:
BajaBaja
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
IBM Qradar 7.2 y 7.3 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código Javascript aleatorio en la interfaz Web lo que alteraría la funcionalidad planeada potencialmente llevando a la revelación de credenciales dentro de una sesión confiable. IBM X-Force ID: 123913.
Vulnerabilidad en OpenVPN (CVE-2017-7508)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
02/10/2019
Descripción:
Las versiones anteriores a 2.4.3 y anterior a 2.3.17 de OpenVPN, son vulnerables a la denegación de servicio remota cuando se reciben paquetes IPv6 malformados.
Vulnerabilidad en OpenVPN (CVE-2017-7522)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
06/07/2017
Descripción:
Las versiones de OpenVPN anteriores a 2.4.3 y 2.3.17, son vulnerables a una denegación de servicio por parte de un atacante remoto autenticado mediante el envío de un certificado con un carácter NULL insertado.
Vulnerabilidad en la función mp4ff_read_stsc en Freeware Advanced Audio Decoder 2 (CVE-2017-9219)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
La función mp4ff_read_stsc en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite que atacantes remotos provoquen una denegación de servicio (error de asignación de memoria y cierre inesperado de la aplicación) mediante un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_ctts en Freeware Advanced Audio Decoder 2 (CVE-2017-9257)
Gravedad:
AltaAlta
Publication date: 27/06/2017
Last modified:
02/10/2019
Descripción:
La función mp4ff_read_ctts en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite a atacantes remotos causar una denegación de servicio (bucle largo y consumo de CPU) utilizando un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_stco en Freeware Advanced Audio Decoder 2 (CVE-2017-9256)
Gravedad:
AltaAlta
Publication date: 27/06/2017
Last modified:
02/10/2019
Descripción:
La función mp4ff_read_stco en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite a atacantes remotos causar una denegación de servicio (bucle largo y consumo de CPU) utilizando un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_stco en Freeware Advanced Audio Decoder 2 (CVE-2017-9255)
Gravedad:
AltaAlta
Publication date: 27/06/2017
Last modified:
02/10/2019
Descripción:
La función mp4ff_read_stsc en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite a atacantes remotos causar una denegación de servicio (bucle largo y consumo de CPU) utilizando un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_stco en Freeware Advanced Audio Decoder 2 (CVE-2017-9254)
Gravedad:
AltaAlta
Publication date: 27/06/2017
Last modified:
02/10/2019
Descripción:
La función mp4ff_read_stts en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite a atacantes remotos causar una denegación de servicio (bucle largo y consumo de CPU) utilizando un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_stsd en Freeware Advanced Audio Decoder 2 (CVE-2017-9253)
Gravedad:
AltaAlta
Publication date: 27/06/2017
Last modified:
02/10/2019
Descripción:
La función mp4ff_read_stsd en common/mp4ff/mp4atom.c en libasn1fix.a en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite a atacantes remotos causar una denegación de servicio (bucle largo y consumo de CPU) utilizando un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_stts en Freeware Advanced Audio Decoder 2 (CVE-2017-9223)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
La función mp4ff_read_stts en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite que atacantes remotos provoquen una denegación de servicio (lectura de memoria inválida y cierre inesperado de la aplicación) mediante un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_parse_tag en Freeware Advanced Audio Decoder 2 (CVE-2017-9222)
Gravedad:
AltaAlta
Publication date: 27/06/2017
Last modified:
02/10/2019
Descripción:
La función mp4ff_parse_tag en common/mp4ff/mp4meta.c en libasn1fix.a en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite a atacantes remotos causar una denegación de servicio (bucle infinito y consumo de CPU) utilizando un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_mdhd en Freeware Advanced Audio Decoder 2 (CVE-2017-9221)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
La función mp4ff_read_mdhd en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite que atacantes remotos provoquen una denegación de servicio (lectura de memoria inválida y cierre inesperado de la aplicación) mediante un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_stco en Freeware Advanced Audio Decoder 2 (CVE-2017-9220)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
La función mp4ff_read_stco en common/mp4ff/mp4atom.c en libasn1fix.a en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite a atacantes remotos causar una denegación de servicio (error de asignación de memoria) utilizando un archivo mp4 manipulado.
Vulnerabilidad en la función mp4ff_read_stsd en Freeware Advanced Audio Decoder 2 (CVE-2017-9218)
Gravedad:
MediaMedia
Publication date: 27/06/2017
Last modified:
30/06/2017
Descripción:
La función mp4ff_read_stsd en common/mp4ff/mp4atom.c en Freeware Advanced Audio Decoder 2 (FAAD2) 2.7 permite que atacantes remotos provoquen una denegación de servicio (lectura de memoria inválida y cierre inesperado de la aplicación) mediante un archivo mp4 manipulado.
Vulnerabilidad en Exiv2 (CVE-2017-9953)
Gravedad:
MediaMedia
Publication date: 26/06/2017
Last modified:
30/06/2017
Descripción:
Hay una liberación invalida dentro de Image::printIFDStructure que lleva a un fallo de segmentación en Exiv2 en su versión 0.26. Una entrada manipulada llevará a un ataque remoto de denegación de servicio.
Vulnerabilidad en Dolibarr ERP/CRM (CVE-2017-9840)
Gravedad:
MediaMedia
Publication date: 25/06/2017
Last modified:
30/06/2017
Descripción:
Dolibarr ERP/CRM 5.0.3 y anteriores permite a usuarios con pocos privilegios subir archivos de tipos peligrosos, lo que puede resultar en la ejecución de código arbitrario dentro del contexto de la aplicación vulnerable.
Vulnerabilidad en Winmail Server (CVE-2017-9846)
Gravedad:
MediaMedia
Publication date: 24/06/2017
Last modified:
11/06/2020
Descripción:
Winmail Server 6.1 permite ejecución de código remoto por usuarios autentificados quienes aprovechan el directorio transversal en la llamada move_folder_file de netdisk.php para mover un archivo -php de la carpeta FTP a la carpeta web.
Vulnerabilidad en IBM Sterling File Gateway (CVE-2017-1326)
Gravedad:
MediaMedia
Publication date: 22/06/2017
Last modified:
02/10/2019
Descripción:
IBM Sterling File Gateway no restringe correctamente las peticiones de usuario en base al nivel de permisos. Esto permite que los usuarios actualicen datos relacionados con otros usuarios manipulando los parámetros que se pasan en la petición POST. IBM X-Force ID: 126060.
Vulnerabilidad en IdeaBlade Breeze Breeze.Server.NET (CVE-2017-9424)
Gravedad:
AltaAlta
Publication date: 22/06/2017
Last modified:
30/06/2017
Descripción:
IdeaBlade Breeze Breeze.Server.NET en versiones anteriores a la 1.6.5 permite que atacantes remotos ejecuten código arbitrario. Esto está relacionado con el uso de TypeNameHandling en la deserialización JSON.
Vulnerabilidad en Solaris de Oracle Sun Systems Products Suite (CVE-2017-3630)
Gravedad:
MediaMedia
Publication date: 22/06/2017
Last modified:
02/10/2019
Descripción:
Hay una vulnerabilidad en el componente Solaris de Oracle Sun Systems Products Suite (subcomponente: Kernel). Las versiones compatibles que se ven afectadas son 10 y 11. Vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Solaris para comprometerlo. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizaciones no autorizadas, insertar o eliminar el acceso a algunos de los datos accesibles de Solaris, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Solaris y la capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Solaris . CVSS 3.0 Puntuación Base 5.3 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en Solaris de Oracle Sun Systems Products Suite (CVE-2017-3629)
Gravedad:
AltaAlta
Publication date: 22/06/2017
Last modified:
02/10/2019
Descripción:
Se ha detectado una vulnerabilidad en el componente Solaris de Oracle Sun Systems Products Suite (subcomponente: Kernel). Las versiones compatibles que se ven afectadas son 10 y 11. Vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Solaris para comprometerlo. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Solaris. CVSS 3.0 Puntuación Base 7.8 (Impactos de confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Acronis True Image (CVE-2017-3219)
Gravedad:
AltaAlta
Publication date: 21/06/2017
Last modified:
09/10/2019
Descripción:
Acronis True Image hasta e incluyendo la versión 2017 Build 8053 realiza actualizaciones de software mediante HTTP. Las actualizaciones descargadas solo se verifican por medio de un hash MD5 proporcionado por el servidor.
Vulnerabilidad en productos Lenovo ToolsCenter (CVE-2017-3743)
Gravedad:
BajaBaja
Publication date: 19/06/2017
Last modified:
30/06/2017
Descripción:
Si múltiples usuarios han iniciado sesión simultáneamente en un único sistema en el que un usuario está enviando un comando mediante Lenovo ToolsCenter Advanced Settings Utility (ASU), UpdateXpress System Pack Installer (UXSPI) o Dynamic System Analysis (DSA) a un segundo ordenador, los otros usuarios podrían ver el ID de usuario y la contraseña en texto claro que se emplearon para acceder al segundo ordenador durante el tiempo que tarde en procesarse el comando.
Vulnerabilidad en Lenovo XClarity Administrator (CVE-2017-3745)
Gravedad:
BajaBaja
Publication date: 19/06/2017
Last modified:
30/06/2017
Descripción:
En Lenovo XClarity Administrator (LXCA) en versiones anteriores a la 1.3.0, si se descargan datos del servicio desde LXCA, un usuario no administrativo podría obtener acceso a información de contraseñas de usuarios que se han autenticado previamente en el servidor LDAP interno de LXCA, incluyendo las cuentas administrativas y las cuentas de servicio con privilegios administrativos. Esto solo es un problema para los usuarios que han empleado la autenticación local con LXCA y no la autenticación remota contra servidores LDAP o ADFS externos.