Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el ESECOMM Trustlet en dispositivos móviles Samsung (chipsets Qualcomm) (CVE-2019-20603)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.x), O(8.0) y P(9.0) (chipsets Qualcomm). El ESECOMM Trustlet presenta una desreferencia del puntero NULL. El ID de Samsung es SVE-2019-13950 (Mayo de 2019).
Vulnerabilidad en el Authnr Trustlet en dispositivos móviles Samsung (chipsets Qualcomm) (CVE-2019-20602)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.x), O(8.0) y P(9.0) (chipsets Qualcomm). El Authnr Trustlet presenta una desreferencia del puntero NULL. El ID de Samsung es SVE-2019-13949 (Mayo de 2019).
Vulnerabilidad en la memoria RKP en dispositivos móviles Samsung (Exynos7570, 7580, 7870, 7880 y 8890) (CVE-2019-20601)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
24/08/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.x), O(8.x) y P(9.0) (Exynos7570, 7580, 7870, 7880 y 8890). La corrupción de la memoria RKP provoca una escritura arbitraria en la memoria protegida. El ID de Samsung es SVE-2019-13921-2 (Mayo de 2019).
Vulnerabilidad en el controlador MALI GPU en dispositivos móviles Samsung (chipsets Exynos8890) (CVE-2019-20600)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.0) y P(9.0) (chipsets Exynos8890). Se presenta un uso de la memoria previamente liberada en el controlador MALI GPU. El ID de Samsung es SVE-2019-13921-1 (Mayo de 2019).
Vulnerabilidad en Voice Assistant en dispositivos móviles Samsung (CVE-2019-20599)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.x), O(8.x) y P(9.0). Voice Assistant maneja inapropiadamente la audibilidad de notificación de una aplicación segura. El ID de Samsung es SVE-2018-13326 (Mayo de 2019).
Vulnerabilidad en Bixby en la pantalla de bloqueo en dispositivos móviles Samsung (CVE-2019-20598)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software O(8.x). Bixby filtra las palabras aprendidas del teclado y el contenido del portapapeles por medio de la pantalla de bloqueo. Los ID de Samsung son SVE-2018-12896, SVE-2018-12897 (Mayo de 2019).
Vulnerabilidad en SPENgesture en dispositivos móviles Samsung (CVE-2019-20597)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.1), O(8.x) y P(9.0). SPENgesture permite a aplicaciones arbitrarias leer o modificar registros de entrada del usuario. El ID de Samsung es SVE-2019-14170 (Junio de 2019).
Vulnerabilidad en GateKeeper Trustlet en dispositivos móviles Samsung (chipsets Exynos) (CVE-2019-20596)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
24/08/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.x) y O(8.x) (chipsets Exynos). Se presenta una divulgación de información en GateKeeper Trustlet. El ID de Samsung es SVE-2019-13958 (Junio de 2019).
Vulnerabilidad en la pila de Bluetooth en dispositivos móviles Samsung (CVE-2019-20595)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
24/08/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software P(9.0). Quick Panel permite habilitar o deshabilitar la pila de Bluetooth sin autenticación. El ID de Samsung es SVE-2019-14545 (Julio de 2019).
Vulnerabilidad en el cargador de arranque en dispositivos móviles Samsung (chipsets Exynos) (CVE-2019-20594)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.1) y P(9.0) (chipsets Exynos). Se presenta un desbordamiento de pila (heap) en el cargador de arranque. El ID de Samsung es SVE-2019-14371 (Julio de 2019).
Vulnerabilidad en dispositivos móviles Samsung (CVE-2019-20550)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software O(8.x) (publicada en China e India). La aplicación S Secure puede acceder al contenido de una aplicación bloqueada sin una contraseña. El ID de Samsung es SVE-2019-13805 (Octubre de 2019).
Vulnerabilidad en Routines en la pantalla de bloqueo en dispositivos móviles Samsung (CVE-2020-10834)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software P(9.0). Los atacantes pueden visualizar las notificaciones en la pantalla de bloqueo por medio de Routines. El ID de Samsung es SVE-2019-15074 (Febrero de 2020).
Vulnerabilidad en algunas aplicaciones web en la serie ioLogik 2500 y la utilidad de configuración IOxpress en Moxa (CVE-2020-7003)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie ioLogik 2500 firmware, Versión 3.0 o inferior, y la utilidad de configuración IOxpress, Versión 2.3.0 o inferior, la información confidencial es transmitida por medio de algunas aplicaciones web en texto claro.
Vulnerabilidad en Gallery en dispositivos móviles Samsung (CVE-2020-10853)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software P(9.0). Gallery filtra datos almacenados en caché. Los ID de Samsung son SVE-2019-16010, SVE-2019-16011, SVE-2019-16012 (Enero de 2020).
Vulnerabilidad en el controlador kperfmon en dispositivos móviles Samsung (CVE-2020-10851)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0). Se presenta un desbordamiento de pila (stack) en el controlador kperfmon. El ID de Samsung es SVE-2019-15876 (Enero de 2020).
Vulnerabilidad en el Gatekeeper trustlet en dispositivos móviles Samsung (Exynos7885, Exynos8895 y Exynos9810) (CVE-2020-10849)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0) (Exynos7885, Exynos8895 y Exynos9810). El Gatekeeper trustlet permite un ataque de fuerza bruta en la contraseña de bloqueo de pantalla. El ID de Samsung es SVE-2019-14575 (Enero de 2020).
Vulnerabilidad en la funcionalidad de desbloqueo OEM en dispositivos móviles Samsung (CVE-2020-10846)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.x) y Q(10.x). Los atacantes pueden habilitar la funcionalidad de desbloqueo OEM en dispositivos inscritos en KG, conllevando a que los binarios no deseados sean potencialmente descargados. El ID de Samsung es SVE-2019-16554 (Febrero de 2020).
Vulnerabilidad en el controlador tsmux en dispositivos móviles Samsung (chipsets S.LSI) (CVE-2020-10842)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0) (chipsets S.LSI). Se presenta una escritura fuera de los límites de la pila en el controlador tsmux. El ID de Samsung es SVE-2019-16295 (Febrero de 2020).
Vulnerabilidad en una tarjeta SIM en la Factory Reset Protection (FRP) en dispositivos móviles Samsung (CVE-2020-10839)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). Los atacantes pueden omitir la Factory Reset Protection (FRP) por medio de una tarjeta SIM. El ID de Samsung es SVE-2019-16193 (Febrero de 2020).
Vulnerabilidad en PROCA en dispositivos móviles Samsung (CVE-2020-10838)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0). PROCA permite un uso de la memoria previamente liberada y una ejecución de código arbitraria. El ID de Samsung es SVE-2019-16132 (Febrero de 2020).
Vulnerabilidad en el Esecomm Trustlet en dispositivos móviles Samsung (con TEEGRIS) (CVE-2020-10837)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0) (con TEEGRIS). El Esecomm Trustlet permite un desbordamiento de pila y una ejecución de código arbitrario. El ID de Samsung es SVE-2019-15984 (Febrero de 2020).
Vulnerabilidad en el Widevine Trustlet en dispositivos móviles Samsung (chipsets Exynos) (CVE-2020-10836)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0) (chipsets Exynos). El Widevine Trustlet permite operaciones de lectura y escritura en ubicaciones de memoria arbitrarias. El ID de Samsung es SVE-2019-15873 (Febrero de 2020).
Vulnerabilidad en el DeX Lockscreen en dispositivos móviles Samsung (CVE-2020-10833)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software Q(10.0). El DeX Lockscreen permite a atacantes acceder al panel rápido y a las notificaciones. El ID de Samsung es SVE-2019-16532 (Marzo de 2020).
Vulnerabilidad en un firmware arbitrario de la pantalla táctil en dispositivos móviles Samsung (CVE-2020-10831)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). Los atacantes pueden activar una actualización en un firmware arbitrario de la pantalla táctil. El ID de Samsung es SVE-2019-16013 (Marzo de 2020).
Vulnerabilidad en el modo de bloqueo en dispositivos móviles Samsung (CVE-2020-10830)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0). Los atacantes pueden visualizar las notificaciones ingresando muchos PIN en el modo de bloqueo. El ID de Samsung es SVE-2019-16590 (Marzo de 2020).
Vulnerabilidad en el controlador del kernel en dispositivos móviles Samsung (chipsets Broadcom) (CVE-2020-10829)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.0), P(9.0) y Q(10.0) (chipsets Broadcom). Un desbordamiento de la pila (heap) del controlador del kernel conduce a una ejecución de código arbitrario. El ID de Samsung es SVE-2019-15880 (Marzo de 2020).
Vulnerabilidad en el HDCP Trustlet en TEEGRIS en dispositivos móviles Samsung (chipsets Exynos) (CVE-2019-20545)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x) y P(9.0) (chipsets Exynos). Un desbordamiento de búfer en el HDCP Trustlet afecta la memoria segura de TEEGRIS. El ID de Samsung es SVE-2019-15283 (Noviembre de 2019).
Vulnerabilidad en el ICC Trustlet en dispositivos móviles Samsung (chipsets Exynos) (CVE-2019-20544)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x) y P(9.0) (chipsets Exynos). Se presenta una escritura fuera de límites en el ICC Trustlet. El ID de Samsung es SVE-2019-15274 (Noviembre de 2019).
Vulnerabilidad en el controlador knox_kap en los dispositivos móviles Samsung (CVE-2019-20538)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0). Se presenta un desbordamiento de la pila (heap) en el controlador knox_kap. El ID de Samsung es SVE-2019-14857 (Noviembre de 2019).
Vulnerabilidad en la aplicación S Secure en los dispositivos móviles Samsung. (CVE-2019-20533)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se descubrió un problema en dispositivos móviles Samsung con versiones de software N(7.x), O(8.x) y P(9.0) (publicada en China o India). La aplicación S Secure puede publicar aplicaciones ocultas sin contraseña. El ID de Samsung es SVE-2019-13996 (Diciembre de 2019).
Vulnerabilidad en el campo de etiqueta Community Names SNMP en OnCommand System Manager (CVE-2019-17276)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
OnCommand System Manager versiones 9.3 anteriores a la versión 9.3P18 y versiones 9.4 anteriores a la versión 9.4P2, son susceptibles a una vulnerabilidad de tipo cross site scripting que podría permitir a un atacante autenticado inyectar scripts arbitrarios en el campo de etiqueta Community Names SNMP.
Vulnerabilidad en el servidor web en la serie ioLogik 2500 y la utilidad de configuración IOxpress en Moxa (CVE-2019-18242)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie ioLogik 2500 firmware, Versión 3.0 o por debajo, y la utilidad de configuración IOxpress, Versión 2.3.0 o por debajo, las peticiones frecuentes y múltiples de uso a corto plazo pueden causar que el servidor web presente un fallo.
Vulnerabilidad en los algoritmos criptográficos en IBM API Connect (CVE-2019-4553)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
24/08/2020
Descripción:
IBM API Connect versiones V5.0.0.0 hasta 5.0.8.7iFix3, utiliza algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. ID de IBM X-Force: 165958.
Vulnerabilidad en archivos cargados por administradores en Acyba AcyMailing (CVE-2020-10934)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
07/04/2020
Descripción:
Acyba AcyMailing versiones anteriores a la versión 6.9.2, maneja inapropiadamente archivos cargados por administradores.
Vulnerabilidad en Show Popup en la aplicación Telegram para Android (CVE-2020-10570)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
La aplicación Telegram versiones hasta 5.12 para Android, cuando Show Popup está habilitado, podría permitir a atacantes físicamente próximos omitir restricciones previstas en la lectura y respuesta de mensajes. Esto podría interpretarse como una omisión de la funcionalidad de código de acceso.
Vulnerabilidad en una petición en los parámetros HTTP en ELOG Electronic Logbook (CVE-2020-8859)
Gravedad:
MediaMedia
Publication date: 23/03/2020
Last modified:
26/03/2020
Descripción:
Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio sobre las instalaciones afectadas de ELOG Electronic Logbook versión 3.1.4-283534d. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro del procesamiento de los parámetros HTTP. Una petición diseñada puede desencadenar la desreferencia de un puntero null. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio. Fue ZDI-CAN-10115.
Vulnerabilidad en una DLL reflexiva en EcoStruxure Control Expert, Unity Pro, Modicon M340, Modicon M580 (CVE-2020-7475)
Gravedad:
AltaAlta
Publication date: 23/03/2020
Last modified:
26/03/2020
Descripción:
Una CWE-74: Una Neutralización Inapropiada de Elementos Especiales en la Salida Usada por un Componente Aguas Abajo ("Inyection"), una DLL reflexiva, la vulnerabilidad se presenta en EcoStruxure Control Expert (todas las versiones anteriores a 14.1 Hot Fix), Unity Pro (todas las versiones), Modicon M340 (todas las versiones anteriores a V3.20), Modicon M580 (todas las versiones anteriores a V3.10), que, si es explotada, podría permitir a atacantes transferir códigos maliciosos hacia el controlador.
Vulnerabilidad en las funciones sprintf() y strcpy() en la funcionalidad "I/O-Check" del servicio iocheckd de WAGO PFC 200 (CVE-2019-5186)
Gravedad:
MediaMedia
Publication date: 23/03/2020
Last modified:
26/03/2020
Descripción:
Se presenta una vulnerabilidad de desbordamiento de búfer de la pila explotable en la funcionalidad "I/O-Check" del servicio iocheckd de WAGO PFC 200. Un atacante puede enviar un paquete especialmente diseñado para activar el análisis de este archivo caché. En 0x1eb9c, el nombre del elemento de interfaz extraído del archivo xml es usado como argumento para /etc/config-tools/config_interfaces interface=(contents of interface element) usando la función sprintf(). El búfer de destino sp+0x40 es desbordado con la llamada a la función sprintf() para cualquier valor de la interfaz que sea mayor de 512-len("/etc/config-tools/config_interfaces interface=") en longitud. Más tarde, en 0x1ea08 la función strcpy() es usada para copiar el contenido del búfer de la pila que se desbordó sp+0x40 en sp+0x440. El búfer sp+0x440 está inmediatamente adyacente a sp+0x40 sobre la pila. Por lo tanto, no presenta terminación NULL en el búfer sp+0x40 ya que se desbordó en sp+0x440. La función strcpy() resultará en un acceso no válido a la memoria. Un valor de longitud 0x3c4 de la interfaz causará que el servicio se bloquee.
Vulnerabilidad en las funciones sprintf() y strcpy() en la funcionalidad "I/O-Check" del servicio iocheckd de WAGO PFC 200 (CVE-2019-5185)
Gravedad:
MediaMedia
Publication date: 23/03/2020
Last modified:
26/03/2020
Descripción:
Se presenta una vulnerabilidad de desbordamiento del búfer de la pila explotable en la funcionalidad "I/O-Check" del servicio iocheckd de WAGO PFC 200. Un atacante puede enviar un paquete especialmente diseñado para activar el análisis de este archivo caché. En 0x1ea28, el valor de estado extraído del archivo xml es usado como un argumento para /etc/config-tools/config_interfaces interface=X1 state= usando la función sprintf(). El búfer de destino sp+0x40 es desbordado con la llamada a la función sprintf() para cualquier valor de estado que sea mayor de 512-len("/etc/config-tools/config_interfaces interface=X1 state=") de longitud. Más tarde, en 0x1ea08 la función strcpy() es usada para copiar el contenido del búfer de la pila que se desbordó sp+0x40 en sp+0x440. El búfer sp+0x440 está inmediatamente adyacente a sp+0x40 sobre la pila. Por lo tanto, no presenta terminación NULL en el búfer sp+0x40 ya que se desbordó en sp+0x440. La función strcpy() resultará en un acceso no válido a la memoria. Un valor de estado de longitud 0x3c9 causará que el servicio se bloquee.
Vulnerabilidad en una IOCTL 0x120004 en la biblioteca KfeCo10X64.sys en Rivet Killer Control Center (CVE-2019-15665)
Gravedad:
AltaAlta
Publication date: 20/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en Rivet Killer Control Center versiones anteriores a 2.1.1352. Una IOCTL 0x120004 en la biblioteca KfeCo10X64.sys presentó un fallo al comprobar un desplazamiento pasado como un parámetro durante una operación de la memoria, conllevando a una primitiva escritura arbitraria que puede conllevar a una ejecución de código o a una escalada de privilegios.
Vulnerabilidad en una IOCTL 0x120444 en la biblioteca KfeCo10X64.sys en Rivet Killer Control Center (CVE-2019-15662)
Gravedad:
MediaMedia
Publication date: 20/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en Rivet Killer Control Center versiones anteriores a 2.1.1352. Una IOCTL 0x120444 en la biblioteca KfeCo10X64.sys presentó un fallo al comprobar un desplazamiento pasado como un parámetro durante una operación de la memoria, conllevando a una primitiva lectura arbitraria que puede ser usada como parte de una cadena para escalar privilegios.
Vulnerabilidad en una IOCTL 0x120004 en la biblioteca KfeCo10X64.sys en Rivet Killer Control Center (CVE-2019-15661)
Gravedad:
AltaAlta
Publication date: 20/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en Rivet Killer Control Center versiones anteriores a 2.1.1352. Una IOCTL 0x120004 en la biblioteca KfeCo10X64.sys presentó un fallo al comprobar parámetros, conllevando a un desbordamiento del búfer en la región stack de la memoria, lo que conlleva a una ejecución de código o a una escalada de privilegios.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en rConfig permite la inyección de comando (CVE-2020-10879)
Gravedad:
AltaAlta
Publication date: 23/03/2020
Last modified:
26/03/2020
Descripción:
rConfig anterior a la versión 3.9.5 permite la inyección de comandos enviando una solicitud GET especialmente diseñada a lib / crud / search.crud.php ya que el parámetro nodeId se pasa directamente a la función exec sin escapar.