Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en imágenes de docker en GitLab EE/CE (CVE-2020-10952)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
GitLab EE/CE versiones 8.11 hasta 12.9.1, permite a usuarios bloqueados extraer y empujar imágenes de docker.
Vulnerabilidad en parámetros en una funcionalidad de carga en GitLab EE/CE (CVE-2020-10955)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
22/05/2020
Descripción:
GitLab EE/CE versiones 11.1 hasta 12.9, es vulnerable a una manipulación de parámetros en una funcionalidad de carga que permite a un usuario no autorizado leer el contenido disponible bajo carpetas específicas.
Vulnerabilidad en una funcionalidad de nota de importación de proyecto en GitLab (CVE-2020-10956)
Gravedad:
AltaAlta
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
GitLab versiones 8.10 y posteriores a 12.9, es vulnerable a un ataque de tipo SSRF en una funcionalidad de nota de importación de proyecto.
Vulnerabilidad en un comando tmsh en BIG-IP y BIG-IQ (CVE-2020-5858)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
En BIG-IP versiones 15.0.0-15.0.1.2, 14.1.0-14.1.2.2, 13.1.0-13.1.3.2, 12.1.0-12.1.5 y 11.5.2-11.6.5.1 y BIG-IQ versiones 7.0. 0, 6.0.0-6.1.0 y 5.2.0-5.4.0, los usuarios con roles no administradores (por ejemplo, Guest o Resource Administrator) con acceso al shell tmsh pueden ejecutar comandos arbitrarios con privilegios elevados por medio de un comando tmsh diseñado.
Vulnerabilidad en un failover de red de High Availability (HA) en Device Service Cluster (DSC) en BIG-IP (CVE-2020-5860)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
En BIG-IP versiones 15.0.0-15.1.0.2, 14.1.0-14.1.2.3, 13.1.0-13.1.3.2, 12.1.0-12.1.5.1 y 11.5.2-11.6.5.1 y BIG-IQ versiones 7.0. 0, 6.0.0-6.1.0 y 5.2.0-5.4.0, en un failover de red de High Availability (HA) en Device Service Cluster (DSC), el servicio failover no requiere una forma fuerte de autenticación y el trafico failover red HA no está cifrado por Transport Layer Security (TLS).
Vulnerabilidad en el controlador DPDK/ENA en sistemas AWS en TTM en BIG-IP (CVE-2020-5862)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
En BIG-IP versiones 15.1.0-15.1.0.1, 15.0.0-15.0.1.1 y 14.1.0-14.1.2.2, bajo determinadas condiciones, TMM puede bloquear o detener el procesamiento de tráfico nuevo con el controlador DPDK/ENA en sistemas AWS mientras envía tráfico. Este problema no afecta a ninguna otra plataforma, hardware o virtual, ni a ningún otro proveedor de cloud ya que el controlador afectado es específico de AWS.
Vulnerabilidad en BIOS para Lenovo Notebooks en Lenovo Service Engine (LSE) (CVE-2015-5684)
Gravedad:
AltaAlta
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
MITRE está completando este ID porque fue asignado antes de que Lenovo se convirtiera en un CNA. Se reportó una vulnerabilidad de desbordamiento del búfer (corregida y divulgada públicamente en 2015) en el Lenovo Service Engine (LSE), afectando a varias versiones de BIOS para Lenovo Notebooks, que podría permitir a un usuario remoto ejecutar código arbitrario sobre el sistema.
Vulnerabilidad en Lenovo System Update (CVE-2015-7336)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
MITRE está completando este ID porque fue asignado antes de que Lenovo se convirtiera en un CNA. Se reportó una vulnerabilidad (corregida y divulgada públicamente en 2015) en Lenovo System Update versión 5.07.0008 y anteriores, que podría permitir que la comprobación de firma de una actualización sea omitida.
Vulnerabilidad en peticiones de Contraseña Perdida con wildcards en el valor de Token en ((OTRS)) Community Edition y OTRS (CVE-2020-1772)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
23/09/2020
Descripción:
Es posible diseñar peticiones de Contraseña Perdida con wildcards en el valor de Token, permite a un atacante recuperar Token(s) válidos, generados por usuarios que ya solicitaron nuevas contraseñas. Este problema afecta a: ((OTRS)) Community Edition versiones 5.0.41 y anteriores, versiones 6.0.26 y anteriores. OTRS; versiones 7.0.15 y anteriores.
Vulnerabilidad en un directorio del sistema específico en la interfaz de administración de dispositivos UltraLog Express (CVE-2020-3920)
Gravedad:
MediaMedia
Publication date: 27/03/2020
Last modified:
01/04/2020
Descripción:
La interfaz de administración de dispositivos UltraLog Express, no realiza apropiadamente una autenticación del acceso en algunas páginas y funciones específicas. Cualquier usuario puede acceder a la página privilegiada para administrar cuentas por medio de un directorio del sistema específico.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: