Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los requisitos de contraseña en la serie PT-7528 y la serie PT-7828 en Moxa (CVE-2020-6995)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie PT-7528 firmware, versión 4.0 o inferior, y la serie PT-7828 firmware, versión 3.9 o inferior, la aplicación usa requisitos de contraseña débiles, lo cual puede permitir a un atacante conseguir acceso no autorizado.
Vulnerabilidad en el servicio web en la serie PT-7528 y la serie PT-7828 en Moxa (CVE-2020-6993)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie PT-7528 firmware, versión 4.0 o inferior, y la serie PT-7828 firmware, versión 3.9 o inferior, un atacante puede conseguir acceso a información confidencial del servicio web sin autorización.
Vulnerabilidad en código de servicio embebido para acceso a la consola en la serie PT-7528 y la serie PT-7828 en Moxa (CVE-2020-6985)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie PT-7528 firmware, versión 4.0 o inferior, y la serie PT-7828 firmware, versión 3.9 o inferior, estos dispositivos usan un código de servicio embebido para acceder a la consola.
Vulnerabilidad en el servidor web en la serie PT-7528 y la serie PT-7828 en Moxa (CVE-2020-6989)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie PT-7528 firmware, versiones 4.0 o inferiores y la serie PT-7828 firmware, versiones 3.9 o inferiores, un desbordamiento del búfer en el servidor web permite a atacantes remotos causar una condición de denegación de servicio o ejecutar código arbitrario.
Vulnerabilidad en un algoritmo criptográfico en la serie PT-7528 y la serie PT-7828 en Moxa (CVE-2020-6987)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie PT-7528 firmware, versiones 4.0 o inferiores y la serie PT-7828 firmware, versiones 3.9 o inferiores, los productos afectados utilizan un algoritmo criptográfico débil, que puede permitir una divulgación de información confidencial.
Vulnerabilidad en una clave criptográfica embebida en la serie PT-7528 y la serie PT-7828 en Moxa (CVE-2020-6983)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
En Moxa la serie PT-7528 firmware, versiones 4.0 o inferiores y la serie PT-7828 firmware, versiones 3.9 o inferiores, los productos afectados utilizan una clave criptográfica embebida, lo que aumenta la posibilidad de que datos confidenciales puedan ser recuperados.
Vulnerabilidad en el cargador de arranque en up_parm en dispositivos móviles Samsung (chipsets Exynos) (CVE-2019-20567)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
30/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.x), O(8.x) y P(9.0) (chipsets Exynos). Un desbordamiento de la pila (heap) de up_parm conlleva a una ejecución de código en el cargador de arranque. El ID de Samsung es SVE-2019-14993 (Septiembre de 2019).
Vulnerabilidad en la aplicación Gallery en dispositivos móviles Samsung (CVE-2019-20555)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.x). La aplicación Gallery permite a atacantes visualizar todas las imágenes de un dispositivo bloqueado. El ID de Samsung es SVE-2019-15189 (Octubre de 2019).
Vulnerabilidad en el controlador del kernel en los dispositivos móviles Samsung (chipsets Exynos) (CVE-2019-20542)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.1), O(8.x) y P(9.0) (chipsets Exynos). Se presenta un desbordamiento de la pila (stack) en el controlador del kernel. El ID de Samsung es SVE-2019-15034 (Noviembre de 2019).
Vulnerabilidad en el cargador de arranque seguro en el búfer USB en dispositivos móviles Samsung (chipsets Exynos) (CVE-2020-10850)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0) (chipsets Exynos). El cargador de arranque seguro presenta un desbordamiento de búfer del búfer USB, conllevando a una ejecución de código arbitrario. El ID de Samsung es SVE-2019-15872 (Enero de 2020).
Vulnerabilidad en el controlador hdcp2 en dispositivos móviles Samsung (chipsets S.LSI) (CVE-2020-10843)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0) (chipsets S.LSI). Se presenta condiciones de carrera en el controlador hdcp2. El ID de Samsung es SVE-2019-16296 (Febrero de 2020).
Vulnerabilidad en un kfree en los controladores vipx y vertex en dispositivos móviles Samsung (chipsets Exynos 9610) (CVE-2020-10841)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0) (chipsets Exynos 9610). Se presenta un kfree arbitrario en los controladores vipx y vertex. El ID de Samsung es SVE-2019-16294 (Febrero de 2020).
Vulnerabilidad en el puntero del kernel en el controlador vipx en dispositivos móviles Samsung (chipsets Exynos 9610) (CVE-2020-10840)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0) (chipsets Exynos 9610). Se presenta un filtrado del puntero del kernel en el controlador vipx. El ID de Samsung es SVE-2019-16293 (Febrero de 2020).
Vulnerabilidad en la decodificación de mensajes CP de banda base en dispositivos móviles Samsung (para chipsets del módem Exynos) (CVE-2020-10835)
Gravedad:
AltaAlta
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con cualquier versión de software (antes de Febrero de 2020 para chipsets del módem Exynos). Se presenta un desbordamiento del búfer en la decodificación de mensajes CP de la banda base. Los ID de Samsung son SVE-2019-15816 y SVE-2019-15817 (Febrero de 2020).
Vulnerabilidad en los controladores Wi-Fi del kernel en dispositivos móviles Samsung (chipsets Exynos) (CVE-2020-10832)
Gravedad:
MediaMedia
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software P(9.0) (chipsets Exynos). Los controladores Kernel Wi-Fi permiten operaciones de lectura o escritura fuera de límites (por ejemplo, un desbordamiento del búfer). Los ID de Samsung son SVE-2019-16125, SVE-2019-16134, SVE-2019-16158, SVE-2019-16159, SVE-2019-16319, SVE-2019-16320, SVE-2019-16337, SVE-2019- 16464, SVE-2019-16465, SVE-2019-16467 (Marzo de 2020).
Vulnerabilidad en SamsungPay mini en la Factory Reset Protection (FRP) en los dispositivos móviles Samsung (CVE-2019-20543)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software P(9.0). Los atacantes pueden omitir la Factory Reset Protection (FRP) por medio de SamsungPay mini. El ID de Samsung es SVE-2019-15090 (Noviembre de 2019).
Vulnerabilidad en el controlador principal de la pantalla táctil en los dispositivos móviles Samsung (chipsets Exynos) (CVE-2019-20540)
Gravedad:
BajaBaja
Publication date: 24/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software N(7.x), O(8.x) y P(9.0) (chipsets Exynos). Se presenta una lectura excesiva del búfer y un posible filtrado de información en el controlador principal de la pantalla táctil. El ID de Samsung es SVE-2019-14942 (Noviembre de 2019).
Vulnerabilidad en Ghost CMS (CVE-2020-8134)
Gravedad:
MediaMedia
Publication date: 20/03/2020
Last modified:
26/03/2020
Descripción:
Una vulnerabilidad de tipo Server-side request forgery (SSRF) en Ghost CMS versiones anteriores a 3.10.0, permite a un atacante escanear redes locales o externas o si no interactuar con sistemas internos.
Vulnerabilidad en una IOCTL 0x120404 en la biblioteca KfeCo10X64.sys en Rivet Killer Control Center (CVE-2019-15664)
Gravedad:
MediaMedia
Publication date: 20/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en Rivet Killer Control Center versiones anteriores a 2.1.1352. Una IOCTL 0x120404 en la biblioteca KfeCo10X64.sys presentó un fallo al comprobar un desplazamiento pasado como un parámetro durante una operación de la memoria, conllevando a una lectura fuera de límites que puede ser usada como parte de una cadena para escalar privilegios (problema 2 de 2).
Vulnerabilidad en una IOCTL 0x120404 en la biblioteca KfeCo10X64.sys en Rivet Killer Control Center (CVE-2019-15663)
Gravedad:
MediaMedia
Publication date: 20/03/2020
Last modified:
26/03/2020
Descripción:
Se detectó un problema en Rivet Killer Control Center versiones anteriores a 2.1.1352. Una IOCTL 0x120404 en la biblioteca KfeCo10X64.sys presentó un fallo al comprobar un desplazamiento pasado como un parámetro durante una operación de la memoria, conllevando a una lectura fuera de límites que puede ser usada como parte de una cadena para escalar privilegios (problema 1 de 2).

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Red Hat JBoss Data Virtualization (CVE-2014-0171)
Gravedad:
MediaMedia
Publication date: 15/01/2015
Last modified:
26/03/2020
Descripción:
Vulnerabilidad de entidad externa XML (XXE) en StaxXMLFactoryProvider2 en Odata4j, usado en Red Hat JBoss Data Virtualization anterior a 6.0.0 parche 4, permite a atacantes remotos leer archivos arbitrarios a través de peticiones modificadas a un endpoint REST.
Vulnerabilidad en Monkey HTTP Server (CVE-2014-5336)
Gravedad:
MediaMedia
Publication date: 26/08/2014
Last modified:
26/03/2020
Descripción:
Monkey HTTP Server anterior a 1.5.3, cuando File Descriptor Table (FDT) está habilitado y los mensajes de error personalizados están configurados, permite a atacantes remotos causar una denegación de servicio (consumo del descriptor de ficheros) a través de una solicitud HTTP que provoca un mensaje de error.
Vulnerabilidad en la función mk_request_header_process en Monkey HTTP Daemon (CVE-2013-3843)
Gravedad:
MediaMedia
Publication date: 13/06/2014
Last modified:
26/03/2020
Descripción:
Desbordamiento de buffer basado en pila en la función mk_request_header_process en mk_request.c en Monkey HTTP Daemon (monkeyd) anterior a 1.2.1 permite a atacantes remotos causar una denegación de servicio (caída) y posiblemente ejecutar código arbitrario a través de una cabecera HTTP manipulada.
Vulnerabilidad en el plugin Mandril Security en Monkey HTTP Daemon (CVE-2013-2182)
Gravedad:
MediaMedia
Publication date: 13/06/2014
Last modified:
26/03/2020
Descripción:
El plugin Mandril Security en Monkey HTTP Daemon (monkeyd) anterior a 1.5.0 permite a atacantes remotos evadir restricciones de acceso a través de una URI manipulada, tal y como fue demostrado por una barra codificada.
Vulnerabilidad en Monkey HTTP Daemon (CVE-2013-2163)
Gravedad:
MediaMedia
Publication date: 13/06/2014
Last modified:
26/03/2020
Descripción:
Monkey HTTP Daemon (monkeyd) anterior a 1.2.2 permite a atacantes remotos causar una denegación de servicio (bucle infinito) a través de un desplazamiento igual al tamaño del archivo en la cabecera Range HTTP.
Vulnerabilidad en Monkey (CVE-2013-3724)
Gravedad:
MediaMedia
Publication date: 01/08/2013
Last modified:
26/03/2020
Descripción:
La función mk_request_header_process en mk_request.c en Monkey 1.1.1, permite a atacantes remotos provocar una denegación de servicio (caída de trama y agotamiento de servicio) a través del carácter "\0" en una petición HTTP.
Vulnerabilidad en el Directory Listing Monkey HTTP Daemon (CVE-2013-2181)
Gravedad:
MediaMedia
Publication date: 29/07/2013
Last modified:
26/03/2020
Descripción:
Vulnerabilidad de XSS en el plugin Directory Listing en Monkey HTTP Daemon (monkeyd) 1.2.2, permite a atacantes inyectar secuencias de comandos web o HTML a través de un nombre de archivo.
Vulnerabilidad en Monkey HTTP Daemon (CVE-2012-5303)
Gravedad:
MediaMedia
Publication date: 05/10/2012
Last modified:
26/03/2020
Descripción:
Monkey HTTP Daemon v0.9.3 podría permitir a usuarios locales a sobrescribir ficheros a través de un ataque de enlaces simbólicos en un fichero PID, como se demostró con un path distinto desde el path por defecto /var/run/monkey.pid.
Vulnerabilidad en Monkey HTTP Daemon (CVE-2012-4442)
Gravedad:
MediaMedia
Publication date: 05/10/2012
Last modified:
26/03/2020
Descripción:
Monkey HTTP Daemon v0.9.3 retiene los IDs de grupos suplementarios de la cuenta root durante las operaciones con UID efectivos no root, lo que podría permitir a usuarios locales evitar las restricciones de lectura establescidas mediante el aprovechamiento de una condición de carrera en un control de permisos de ficheros.
Vulnerabilidad en Monkey HTTP Daemon (CVE-2012-4443)
Gravedad:
MediaMedia
Publication date: 05/10/2012
Last modified:
26/03/2020
Descripción:
Monkey HTTP Daemon v0.9.3 usa un UID real de root y un GID real de root durante la ejecución de secuencias de comandos CGI, lo que podría permitir a usuarios locales ganar privilegios mediante el aprovechamiento del acceso de escritura a cgi-bin
CVE-2004-0276
Gravedad:
MediaMedia
Publication date: 23/11/2004
Last modified:
26/03/2020
Descripción:
La función get_real_string de Monkey HTTPD Daemon (monkeyd) 0.8.1 y anteriores permite a atacantes remotos causar una denegación de servicio (caída) mediante una petición HTTP con una secuencia de caractéres "%" y un campo Host no presente.
CVE-2003-0218
Gravedad:
AltaAlta
Publication date: 12/05/2003
Last modified:
26/03/2020
Descripción:
Desbordamiento de búfer en la función PostMethod() de Monkey HTTP Daemon (monkeyd) 0.6.1 y anteriores permite a atacantes remotos ejecutar código arbitrario mediante una petición POST con un cuerpo largo.