Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición de una collección en las configuraciones de autorización en Apache Solr (CVE-2018-11802)
Gravedad:
MediaMedia
Publication date: 01/04/2020
Last modified:
03/04/2020
Descripción:
En Apache Solr, el clúster puede ser particionado en varias colecciones y solo un subconjunto de nodos realmente aloja una colección determinada. Sin embargo, si un nodo recibe una petición de una colección que no aloja, envía la petición hacia un nodo relevante y sirve la petición. Solr omite todas las configuraciones de autorización para tales peticiones. Esto afecta a todas las versiones de Solr anteriores a 7.7 que usa el mecanismo de autorización predeterminado de Solr (RuleBasedAuthorizationPlugin).
Vulnerabilidad en el kube-apiserver en YAML en el componente Kubernetes API Server (CVE-2019-11254)
Gravedad:
MediaMedia
Publication date: 01/04/2020
Last modified:
13/04/2020
Descripción:
El componente Kubernetes API Server en versiones 1.1-1.14 y versiones anteriores a 1.15.10, 1.16.7 y 1.17.3, permite a un usuario autorizado que envía cargas maliciosas de YAML causar que el kube-apiserver consuma ciclos de CPU excesivos mientras analiza YAML.
Vulnerabilidad en iOS y iPadOS de Apple (CVE-2020-3890)
Gravedad:
MediaMedia
Publication date: 01/04/2020
Last modified:
03/04/2020
Descripción:
Se abordó el problema con una eliminación mejorada. Este problema es corregido en iOS versión 13.4 y iPadOS versión 13.4. Los grupos de mensajes eliminados aún pueden ser sugeridos como una autocompletación.
Vulnerabilidad en un dispositivo iOS bloqueado en iOS, iPadOS, watchOS 6.2 de Apple (CVE-2020-3891)
Gravedad:
BajaBaja
Publication date: 01/04/2020
Last modified:
03/04/2020
Descripción:
Se abordó un problema lógico con una gestión de estado mejorada. Este problema es corregido en iOS versión 13.4 y iPadOS versión 13.4, watchOS versión 6.2. Una persona con acceso físico a un dispositivo iOS bloqueado puede responder mensajes incluso cuando las respuestas están deshabilitadas.
Vulnerabilidad en una aplicación en iOS, iPadOS, tvOS, Safari, iTunes para Windows y iCloud para Windows de Apple (CVE-2020-3894)
Gravedad:
BajaBaja
Publication date: 01/04/2020
Last modified:
13/06/2020
Descripción:
Se abordó una condición de carrera con una comprobación adicional. Este problema es corregido en iOS versión 13.4 y iPadOS versión 13.4, tvOS versión 13.4, Safari versión 13.1, iTunes para Windows versión 12.10.5, iCloud para Windows versión 10.9.3, iCloud para Windows versión 7.18. Una aplicación puede ser capaz de leer la memoria restringida.
Vulnerabilidad en el procesamiento de contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows y iCloud para Windows de Apple (CVE-2020-3895)
Gravedad:
AltaAlta
Publication date: 01/04/2020
Last modified:
13/06/2020
Descripción:
Se abordó un problema de corrupción de la memoria con un manejo de la memoria mejorado. Este problema es corregido en iOS versión 13.4 y iPadOS versión 13.4, tvOS versión 13.4, watchOS versión 6.2, Safari versión 13.1, iTunes para Windows versión 12.10.5, iCloud para Windows versión 10.9.3, iCloud para Windows versión 7.18. Un procesamiento de contenido web diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria.
Vulnerabilidad en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows y iCloud para Windows de Apple (CVE-2020-3897)
Gravedad:
AltaAlta
Publication date: 01/04/2020
Last modified:
13/06/2020
Descripción:
Se abordó un problema de confusión de tipos con un manejo de la memoria mejorado. Este problema es corregido en iOS versión 13.4 y iPadOS versión 13.4, tvOS versión 13.4, watchOS versión 6.2, Safari versión 13.1, iTunes para Windows versión 12.10.5, iCloud para Windows versión 10.9.3, iCloud para Windows versión 7.18. Un atacante remoto puede ser capaz de causar una ejecución de código arbitraria.
Vulnerabilidad en iOS, iPadOS, tvOS, Safari, iTunes para Windows y iCloud para Windows de Apple (CVE-2020-3899)
Gravedad:
AltaAlta
Publication date: 01/04/2020
Last modified:
13/06/2020
Descripción:
Se abordó un problema de consumo de memoria con un manejo de la memoria mejorado. Este problema es corregido en iOS versión 13.4 y iPadOS versión 13.4, tvOS versión 13.4, Safari versión 13.1, iTunes para Windows versión 12.10.5, iCloud para Windows versión 10.9.3, iCloud para Windows versión 7.18. Un atacante remoto puede ser capaz de causar una ejecución de código arbitraria.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el componente export de GetApps(com.xiaomi.mipicks) en los dispositivos Xiaomi MIUI (CVE-2020-9530)
Gravedad:
MediaMedia
Publication date: 06/03/2020
Last modified:
03/04/2020
Descripción:
Se ha detectado un problema en los dispositivos Xiaomi MIUI versión V11.0.5.0.QFAEUXM. El componente export de GetApps(com.xiaomi.mipicks) maneja inapropiadamente la funcionalidad de abrir otros componentes. Los atacantes necesitan inducir a usuarios a abrir páginas web específicas en un entorno de red específico. Al saltar al componente WebView de Messaging(com.android.MMS) y cargando páginas web maliciosas, puede ocurrir un filtrado de información. Esto es corregido en la versión: 2001122; 11.0.1.54.
Vulnerabilidad en IBM Spectrum Protect Plus protegiendo a Microsoft SQL o Microsoft Exchange (CVE-2019-4703)
Gravedad:
BajaBaja
Publication date: 24/02/2020
Last modified:
24/08/2020
Descripción:
IBM Spectrum Protect Plus versiones 10.1.0 y 10.5.0, cuando protege a Microsoft SQL o Microsoft Exchange, podría permitir a un atacante con un conocimiento intimo del sistema obtener información altamente confidencial.
Vulnerabilidad en Una pérdida de memoria en la función nfp_abm_u32_knode_replace () en drivers (CVE-2019-19076)
Gravedad:
AltaAlta
Publication date: 18/11/2019
Last modified:
24/08/2020
Descripción:
** EN DISPUTA ** Una pérdida de memoria en la función nfp_abm_u32_knode_replace () en drivers / net / ethernet / netronome / nfp / abm / cls.c en el kernel de Linux antes de 5.3.6 permite a los atacantes causar una denegación de servicio (consumo de memoria) , también conocido como CID-78beef629fd9. NOTA: Esto se ha discutido como una vulnerabilidad no válida. El commit upstream 78beef629fd9 fue revertido.
Vulnerabilidad en la función nfp_flower_spawn_vnic_reprs() en el kernel de Linux. (CVE-2019-19081)
Gravedad:
AltaAlta
Publication date: 18/11/2019
Last modified:
24/08/2020
Descripción:
Una pérdida de memoria en la función nfp_flower_spawn_vnic_reprs() en el archivo drivers/net/ethernet/netronome/nfp/flower/main.c en el kernel de Linux versiones anteriores a la versión 5.3.4, permite a atacantes causar una denegación de servicio (consumo de memoria), también se conoce como CID-8ce39eb5a67a.
CVE-2019-19080
Gravedad:
AltaAlta
Publication date: 18/11/2019
Last modified:
24/08/2020
Descripción:
Cuatro pérdidas de memoria en la función nfp_flower_spawn_phy_reprs() en el archivo drivers/net/ethernet/netronome/nfp/flower/main.c en el kernel de Linux versiones anteriores a la versión 5.3.4, permiten a atacantes causar una denegación de servicio (consumo de memoria), también se conoce como CID-8572cea1461a .
Vulnerabilidad en la configuración de Syndesis para Cross-Origin Resource Sharing (CVE-2019-14860)
Gravedad:
MediaMedia
Publication date: 08/11/2019
Last modified:
03/04/2020
Descripción:
Se detectó que la configuración de Syndesis para Cross-Origin Resource Sharing fue establecida para permitir todos los orígenes. Un atacante podría utilizar esta falta de protección para conducir ataques de phishing y acceder aún más a información no autorizada.
Vulnerabilidad en osquery (CVE-2018-6336)
Gravedad:
MediaMedia
Publication date: 31/12/2018
Last modified:
18/09/2020
Descripción:
Se ha descubierto un problema en osquery. Un binario universal/fat manipulado puede evadir las comprobaciones de firma de código de terceros. Al no completar la inspección completa del binario universal/fat, el usuario de la herramienta de terceros creerá que el código ha sido firmado por Apple, pero el código malicioso no firmado se ejecutará en su lugar. Esto afecta a las versiones de osquery anteriores a la v3.2.7.