Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en varios parámetros almacenados para los tokens en el Token Processing Service (TPS) en pki-core (CVE-2019-10180)
Gravedad:
BajaBaja
Publication date: 31/03/2020
Last modified:
02/04/2020
Descripción:
Se detectó una vulnerabilidad en todas las versiones de pki-core 10.x.x, donde el Token Processing Service (TPS) no sanea apropiadamente varios parámetros almacenados para los tokens, resultando posiblemente en una vulnerabilidad de tipo Cross Site Scripting (XSS) Almacenado. Un atacante capaz de modificar los parámetros de cualquier token podría usar este fallo para engañar a un usuario autenticado para que ejecute código JavaScript arbitrario.
CVE-2019-14905
Gravedad:
MediaMedia
Publication date: 31/03/2020
Last modified:
16/04/2020
Descripción:
Se detectó una vulnerabilidad en Ansible Engine versiones 2.9.x anteriores a 2.9.3, versiones 2.8.x anteriores a 2.8.8, versiones 2.7.x anteriores a 2.7.16 y anteriores, donde en el módulo nxos_file_copy de Ansible puede ser usado para copiar archivos a una flash o bootflash en dispositivos NXOS. Un código malicioso podría diseñar el parámetro filename para llevar a cabo inyecciones de comandos de Sistema Operativo. Esto podría resultar en una pérdida de confidencialidad del sistema, entre otros problemas.
Vulnerabilidad en los encabezados de petición HTTP en io.micronaut:micronaut-http-client (CVE-2020-7611)
Gravedad:
AltaAlta
Publication date: 30/03/2020
Last modified:
02/04/2020
Descripción:
Todas las versiones de io.micronaut:micronaut-http-client versiones anteriores a 1.2.11 y todas las versiones desde 1.3.0 anteriores a 1.3.2, son vulnerables a una Inyección de Encabezado de Petición HTTP, debido a que no comprueban los encabezados de petición pasados hacia el cliente.
Vulnerabilidad en puntajes de los encabezados de correo electrónico en un modelo Machine Learning Classification copy-cat en Proofpoint Email Protection (CVE-2019-20634)
Gravedad:
MediaMedia
Publication date: 30/03/2020
Last modified:
27/08/2020
Descripción:
Se detectó un problema en Proofpoint Email Protection hasta el 08-09-2019. Mediante la recopilación de puntajes de los encabezados de correo electrónico de Proofpoint, es posible construir un modelo Machine Learning Classification copy-cat y extraer información de este modelo. Los conocimientos capturados permiten a un atacante diseñar correos electrónicos que reciban puntajes preferenciales, con el propósito de entregar correos electrónicos maliciosos.
Vulnerabilidad en el Archivo de Registro (Log File) en un plugin de Gradle con el flag de nivel de registro --info en Gradle Logger en com.gradle.plugin-publishing (CVE-2020-7599)
Gravedad:
BajaBaja
Publication date: 30/03/2020
Last modified:
02/04/2020
Descripción:
Todas las versiones de com.gradle.plugin-publishing anteriores a 0.11.0, son vulnerables a la Inserción de Información Confidencial en el Archivo de Registro (Log File). Cuando un autor del plugin publica un plugin de Gradle mientras ejecuta Gradle con el flag de nivel de registro --info, Gradle Logger registra una URL pre-firmada de AWS. Si este registro de compilación es visible públicamente (como lo es en muchos sistemas de CI públicos populares como TravisCI), esta URL pre-firmada por AWS permitiría que un actor malicioso reemplace un plugin subido recientemente por el suyo.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: