Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el protocolo SNMP en NETSAS Enigma NMS (CVE-2019-16069)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
Un número de vulnerabilidades de tipo Cross-site Scripting (XSS) almacenado en NETSAS Enigma NMS versiones anteriores a 65.0.0, eso podría permitir a un actor de amenazas inyectar código malicioso directamente en la aplicación por medio del protocolo SNMP.
Vulnerabilidad en entradas de formulario de la aplicación web en NETSAS Enigma NMS (CVE-2019-16070)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
Se identificaron un número de vulnerabilidades de tipo Cross-site Scripting (XSS) almacenado en NETSAS Enigma NMS versiones 65.0.0 y anteriores, que podrían permitir a un actor de amenazas inyectar código malicioso directamente en la aplicación por medio de entradas de formulario de la aplicación web.
Vulnerabilidad en PATH_INFO en el URI api/ en ERPNext (CVE-2019-20521)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI api/.
Vulnerabilidad en PATH_INFO en el URI api/method/ en ERPNext (CVE-2019-20520)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI api/method/
Vulnerabilidad en PATH_INFO en el URI user/ en dirección de correo electrónico en ERPNext (CVE-2019-20519)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI user/, como es demostrado por una dirección de correo electrónico diseñada.
Vulnerabilidad en PATH_INFO en el URI project/ en ERPNextFO en el URI project/ en ERPNext (CVE-2019-20518)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI project/.
Vulnerabilidad en PATH_INFO en el URI contact/ en ERPNext (CVE-2019-20517)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI contact/.
Vulnerabilidad en PATH_INFO en el URI blog/ en ERPNext (CVE-2019-20516)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI blog/.
Vulnerabilidad en PATH_INFO en el URI addresses/ en ERPNext (CVE-2019-20515)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI addresses/.
Vulnerabilidad en PATH_INFO en el URI address/ en ERPNext (CVE-2019-20514)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ERPNext versión 11.1.47, permite un ataque de tipo XSS reflejado por medio del PATH_INFO en el URI address/.
Vulnerabilidad en el archivo setup/setup-datasource-standard.jsp en el parámetro password en Ignite Realtime Openfire (CVE-2019-20526)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
Ignite Realtime Openfire versión 4.4.1, permite un ataque de tipo XSS por medio del parámetro password del archivo setup/setup-datasource-standard.jsp.
Vulnerabilidad en el archivo setup/setup-datasource-standard.jsp en el parámetro driver en Ignite Realtime Openfire (CVE-2019-20525)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
Ignite Realtime Openfire versión 4.4.1, permite un ataque de tipo XSS por medio del parámetro driver del archivo setup/setup-datasource-standard.jsp.
Vulnerabilidad en support/certificates?user= en Open edX Ironwood (CVE-2019-20513)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
Open edX Ironwood.1, permite un ataque de tipo XSS reflejado de support/certificates?user=.
Vulnerabilidad en datos confidenciales en la base de datos SQL en NETSAS Enigma NMS (CVE-2019-16062)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
NETSAS Enigma NMS versiones 65.0.0 y anteriores, no cifran datos confidenciales almacenados dentro de la base de datos SQL. Es posible que un atacante exponga datos confidenciales sin cifrar.
Vulnerabilidad en el acceso a un puerto aplicable en los servicios de ONAP OOM (CVE-2019-12127)
Gravedad:
AltaAlta
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
En ONAP OOM hasta Dublin, mediante el acceso a un puerto aplicable (30234, 30290, 32010, 30270, 30224, 30281, 30254, 30285 y/o 30271), un atacante consigue acceso completo a los servicios de ONAP respectivos sin ninguna autenticación. Todas las configuraciones de ONAP Operations Manager (OOM) están afectadas.
Vulnerabilidad en el acceso a un puerto aplicable en los servicios de ONAP DCAE (CVE-2019-12126)
Gravedad:
AltaAlta
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
En ONAP DCAE hasta Dublin, mediante el acceso a un puerto aplicable (30234, 30290, 32010, 30270, 30224, 30281, 30254, 30285 y/o 30271), un atacante consigue acceso completo a los servicios de ONAP respectivos sin ninguna autenticación. Todas las configuraciones de ONAP Operations Manager (OOM) están afectadas.
Vulnerabilidad en el acceso a un puerto aplicable en los servicios de ONAP Logging (CVE-2019-12125)
Gravedad:
AltaAlta
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
En ONAP Logging hasta Dublin, mediante el acceso a un puerto aplicable (30234, 30290, 32010, 30270, 30224, 30281, 30254, 30285 y/o 30271), un atacante consigue acceso completo a los servicios de ONAP respectivos sin ninguna autenticación. Todas las configuraciones de ONAP Operations Manager (OOM) están afectadas.
Vulnerabilidad en el archivo index.php/partner/index en parámetro Banner en ilchCMS (CVE-2019-20524)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ilchCMS versión 2.1.23, permite un ataque de tipo XSS por medio del parámetro Banner del archivo index.php/partner/index.
Vulnerabilidad en el archivo index.php/partner/index en el parámetro Name en ilchCMS (CVE-2019-20523)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ilchCMS versión 2.1.23, permite un ataque de tipo XSS por medio del parámetro Name del archivo index.php/partner/index.
Vulnerabilidad en el archivo index.php/partner/index en el parámetro Link en ilchCMS (CVE-2019-20522)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
ilchCMS versión 2.1.23, permite un ataque de tipo XSS por medio del parámetro Link del archivo index.php/partner/index.
Vulnerabilidad en las restricciones de seguridad en IBM DataPower Gateway (CVE-2020-4205)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
IBM DataPower Gateway versiones 2018.4.1.0 hasta 2018.4.1.8, podría permitir a un usuario autenticado omitir las restricciones de seguridad y continuar accediendo al servidor incluso después de que los certificados de autenticación hayan sido revocados. ID de IBM X-Force: 174961.
Vulnerabilidad en controles de acceso en IBM DataPower Gateway (CVE-2020-4203)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
20/03/2020
Descripción:
IBM DataPower Gateway versiones 2018.4.1.0 hasta 2018.4.1.8, podría revelar potencialmente información altamente confidencial a un usuario privilegiado debido a controles de acceso inapropiados. ID de IBM X-Force: 174956.
Vulnerabilidad en el archivo setup/setup-datasource-standard.jsp en el parámetro serverURL en Ignite Realtime Openfire (CVE-2019-20527)
Gravedad:
MediaMedia
Publication date: 19/03/2020
Last modified:
19/03/2020
Descripción:
Ignite Realtime Openfire versión 4.4.1, permite un ataque de tipo XSS por medio del parámetro serverURL del archivo setup/setup-datasource-standard.jsp
Vulnerabilidad en el archivo qemu/qemu_driver.c en un trabajo de monitoreo en una consulta a un agente invitado en libvirt (CVE-2019-20485)
Gravedad:
BajaBaja
Publication date: 18/03/2020
Last modified:
15/06/2020
Descripción:
El archivo qemu/qemu_driver.c en libvirt versiones anteriores a 6.0.0, maneja inapropiadamente la conservación de un trabajo de monitoreo durante una consulta a un agente invitado, lo que permite a atacantes causar una denegación de servicio (bloqueo de la API).

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Zoho ManageEngine Password Manager Pro, inyección de macro en excel CSV (CVE-2020-9347)
Gravedad:
AltaAlta
Publication date: 16/03/2020
Last modified:
20/03/2020
Descripción:
** EN DISPUTA ** Zoho ManageEngine Password Manager Pro hasta la versión de 10.x tiene una vulnerabilidad de inyección de macro en Excel CSV a través de un nombre especialmente diseñado que es mal manejado por la función Exportar contraseñas. NOTA: el proveedor cuestiona la importancia de este informe porque espera que una aplicación externa proporcione la mitigación del riesgo de CSV y no planea agregar restricciones de CSV a sus propios productos.
Vulnerabilidad en Zoho ManageEngine Applications Manager (CVE-2019-19799)
Gravedad:
MediaMedia
Publication date: 13/03/2020
Last modified:
19/03/2020
Descripción:
Zoho ManageEngine Applications Manager anterior a la versión 14600 permite que un atacante remoto no autenticado revele información relacionada con la licencia a través del servlet WieldFeedServlet.